Votre système de sécurité est-il lui-même sécurisé ?
Caméras IP, lecteurs de badges, contrôleurs d'accès : ces équipements sont connectés au réseau. Rarement gouvernés par l'IT (technologies de l'information), ils échappent à votre stratégie de résilience cybersécurité. L'ANSSI l'a formellement établi.
L'angle aveugle de la cybersécurité
Vos équipements de sécurité ne sont pas des boîtiers isolés. L'ANSSI est formelle dans son guide de référence : les systèmes de contrôle d'accès, de détection intrusion, de vidéoprotection doivent être considérés comme des systèmes d'information à part entière.
Pourquoi ? Parce qu'ils ont un firmware, tournent sur un OS, communiquent sur votre réseau, exactement comme tout serveur.
La conséquence : Ils peuvent être compromis.
Or, ils échappent systématiquement à votre gouvernance IT. Gérés par le prestataire sécurité, rarement audités, jamais inclus dans votre stratégie de sécurité globale.
Le risque concrètement :
- Une caméra compromise → point d'entrée potentiel sur l'ensemble du réseau
- Un contrôleur d'accès mal configuré → droits illégitimes obtenus sur le système
- Un flux non chiffré → interception possible des informations confidentielles, des commandes, des mots de passe
- Un système non sécurisé → compromission possible de votre innocuité
Un équipement de sécurité mal cybersécurisé devient lui-même un vecteur d'attaque.
Les 6 vulnérabilités principales identifiées par l'ANSSI
1. Mots de passe constructeurs non remplacés avant déploiement
Les mots de passe par défaut restent en place. Remplacement systématique par des mots de passe robustes.
2. Firmwares non mis à jour
Des alertes critiques peuvent êtres émises sur des caméras IP. L'absence de suivi = exposition directe aux vulnérabilités connues.
3. Communication inter-équipements et inter-systèmes non chiffrées en transit
Les échanges circulent en clair. Interception possible des informations confidentielles, des commandes, des mots de passe.
4. Interfaces d'administration accessibles depuis Internet sans sécurisation
VPN absent, authentification faible ou nulle, pas de restriction d'accès, l'interface est exposée.
5. Absence de segmentation réseau entre équipements de sécurité et SI général
Un équipement compromis peut accéder au reste de votre infrastructure.
6. Absence de gouvernance
Pas de maintenance, pas de suivi des mises à jour, pas de procédure incident, vous ne savez pas ce que vous avez ni comment vous le protégez.
Le cadre réglementaire renforce ces exigences
La directive NIS2 impose aux entités essentielles (EE) et importantes (EI) :
- Cybersécurité obligatoire des systèmes
- Continuité d'activité et résilience exigées
- Gestion et notification des incidents
APSAD @Cyber (normes applicables aux installateurs de sécurité) définit des exigences techniques strictes pour la sécurité électronique.
→ Le message clé : Sécurité physique et cybersécurité sont indissociables. Votre installateur doit appliquer les mêmes exigences que votre DSI.
Ce que vous devez exiger de votre installateur
Avant de signer ou de renouveler un contrat, ces 6 points sont non-négociables :
Remplacement systématique des mots de passe constructeurs à l'installation Chiffrement des flux de communication et des accès administration Isolement des équipements sur réseau dédié (physique ou logique) Désactivation des interfaces non nécessaires (ports inutilisés, accès distants) Mise à jour régulière des firmwares + suivi des alertes constructeurs Journalisation des accès et événements pour traçabilité
Qui vous accompagne dans ce diagnostic ?
ISO Sécurité est certifiée NF Services APSAD @Cyber aux plus hauts niveaux et certifié CNAPS pour les activités de télésurveillance. Toutes nos équipes sont formées au MOOC ANSSI. Nous maîtrisons les environnements technologiques des principaux constructeurs et éditeurs logiciels du marché de la sécurité électronique.
Positionnement opérateur global : conception, installation, maintenance, télésurveillance, intervention sur alarmes, reporting.
Nous couvrons toute la chaîne de sûreté électronique.
Vos équipements de sécurité méritent d'être sécurisés. Échangeons.