Les systèmes de sûreté -- vidéoprotection, contrôle d'accès, détection d'intrusion -- reposent aujourd'hui massivement sur les technologies IP. Cette convergence vers le réseau informatique apporte des gains considérables en fonctionnalités et en intégration, mais expose également ces systèmes à des cybermenaces qui n'existaient pas dans le monde analogique. Piratage de caméras, prise de contrôle de contrôleurs d'accès, interception de flux vidéo : les risques sont réels et documentés. La cybersécurité des systèmes de sûreté doit être intégrée dès la conception par le bureau d'études.
Menaces : un panorama des attaques sur les systèmes de sûreté
Piratage de caméras IP : le précédent Mirai
En 2016, le botnet Mirai a compromis des centaines de milliers de caméras IP et d'enregistreurs vidéo réseau (NVR) dans le monde entier, les transformant en machines d'attaque pour lancer des attaques DDoS massives. Ces équipements étaient vulnérables en raison de mots de passe par défaut non modifiés et de firmwares obsolètes. Depuis Mirai, les variantes se sont multipliées et les caméras IP restent parmi les cibles privilégiées des attaquants.
Attaques sur les systèmes de contrôle d'accès
Les contrôleurs d'accès (UTL - Unités de Traitement Local) gèrent les autorisations d'accès, les badges et les identifiants biométriques. Un accès non autorisé à ces équipements permet de déverrouiller des portes à distance, d'ajouter des badges frauduleux ou d'effacer les journaux d'événements. Les protocoles de communication non chiffrés entre les lecteurs et les contrôleurs (notamment Wiegand) constituent une surface d'attaque supplémentaire.
Interception de flux vidéo et attaques sur les NVR
Les flux vidéo transmis en RTSP non chiffré peuvent être interceptés par tout attaquant ayant accès au réseau. Les NVR, qui concentrent l'ensemble des enregistrements, constituent des cibles de choix : leur compromission permet l'exfiltration de données de surveillance, la suppression de preuves vidéo ou l'injection de faux flux (attaque de type "replay").
Vulnérabilités courantes : les failles récurrentes
Les audits de sécurité des systèmes de vidéoprotection et de contrôle d'accès révèlent des vulnérabilités récurrentes :
- Mots de passe par défaut : un nombre encore significatif d'équipements sont déployés avec les identifiants constructeur par défaut (admin/admin, admin/12345). Des moteurs de recherche spécialisés comme Shodan indexent en permanence ces équipements exposés sur Internet.
- Firmwares obsolètes : les caméras et les contrôleurs d'accès ne bénéficient souvent pas de mises à jour régulières, laissant des vulnérabilités connues (CVE) exploitables pendant des mois, voire des années.
- Protocoles non chiffrés : utilisation de RTSP, HTTP, Telnet ou FTP en clair, permettant l'interception des identifiants et des flux de données.
- Ports ouverts inutiles : services d'administration activés par défaut (SSH, Telnet, SNMP v1/v2c) avec des configurations par défaut non sécurisées.
- Absence de segmentation réseau : les équipements de sûreté partagent le même réseau que les postes de travail et les serveurs métier, permettant un mouvement latéral en cas de compromission.
Bonnes pratiques de sécurisation
Segmentation VLAN et réseau dédié
La première mesure de protection consiste à isoler les systèmes de sûreté sur un réseau dédié segmenté par VLAN. Les caméras, les NVR, les contrôleurs d'accès et les centrales d'intrusion doivent communiquer sur des VLAN distincts, avec des règles de filtrage strictes entre ces segments et le reste du réseau. Cette segmentation limite la surface d'attaque et empêche le mouvement latéral en cas de compromission d'un équipement.
Chiffrement des communications
- HTTPS/TLS : toutes les interfaces d'administration des équipements doivent être accessibles exclusivement via HTTPS avec des certificats valides.
- SRTP (Secure Real-time Transport Protocol) : chiffrement des flux vidéo en transit, empêchant l'interception et la visualisation non autorisée.
- 802.1X : authentification des équipements au niveau du port switch via des certificats ou des identifiants, empêchant la connexion d'équipements non autorisés au réseau.
Mise à jour et durcissement (hardening)
Une politique de gestion des correctifs (patch management) doit être appliquée aux équipements de sûreté comme à tout autre composant IT. Le durcissement comprend la désactivation des services inutiles, le changement des mots de passe par défaut, la restriction des protocoles d'administration, la désactivation de l'accès cloud si non nécessaire et la configuration de listes de contrôle d'accès (ACL) sur les interfaces réseau.
Normes et réglementations
Directive NIS2
La directive européenne NIS2 (Network and Information Security), transposée en droit français, élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. Les opérateurs de services essentiels et les entités importantes doivent mettre en oeuvre des mesures de gestion des risques cyber couvrant l'ensemble de leurs systèmes d'information, y compris les systèmes de sûreté physique lorsqu'ils sont connectés au réseau.
Recommandations ANSSI
L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) publie des guides de bonnes pratiques applicables aux systèmes de sûreté : durcissement des systèmes d'exploitation, architecture réseau sécurisée, gestion des identités et des accès, journalisation et surveillance. La certification CSPN (Certification de Sécurité de Premier Niveau) ou les Critères Communs (CC) peuvent être exigés pour les équipements déployés dans des sites sensibles, comme détaillé dans notre guide sur le contrôle d'accès ANSSI type 1.
Norme EN 50710 : maintenance à distance
La norme européenne EN 50710 encadre les conditions de maintenance à distance des systèmes de sûreté. Elle définit les exigences de sécurité des connexions distantes, l'authentification des opérateurs, la traçabilité des interventions et les conditions de mise en oeuvre des accès VPN.
Architecture réseau sécurisée pour la sûreté
Réseau dédié et DMZ
L'architecture de référence repose sur un réseau physiquement ou logiquement dédié aux systèmes de sûreté, avec une zone démilitarisée (DMZ) pour les services devant être accessibles depuis l'extérieur (serveur de management vidéo, portail d'accès distant). Les flux entre la DMZ et le réseau interne de sûreté sont contrôlés par un pare-feu configuré en mode "deny all" par défaut.
VPN site-to-site
Pour les architectures multi-sites, la communication entre les systèmes de sûreté des différents sites s'effectue via des tunnels VPN IPsec site-to-site, garantissant le chiffrement et l'intégrité des données en transit. Cette approche est indispensable pour la centralisation de la supervision et la télémaintenance. La conception de cette architecture réseau doit être intégrée dès les études de conception.
Journalisation et SIEM
L'ensemble des événements de sécurité (tentatives de connexion, modifications de configuration, alertes d'intégrité) doit être collecté et centralisé dans un SIEM (Security Information and Event Management). Cette journalisation permet la détection d'incidents en temps réel, l'investigation post-incident et la conformité aux exigences réglementaires.
Le rôle du bureau d'études : security by design
La cybersécurité des systèmes de sûreté ne peut pas être traitée après coup. Elle doit être intégrée dès la phase de conception par le bureau d'études, selon une approche "security by design". Cela implique :
- La rédaction d'exigences de cybersécurité dans les CCTP (cahiers des clauses techniques particulières), avec des critères de sélection des équipements incluant la maturité sécurité du constructeur.
- La conception d'une architecture réseau segmentée et durcie, documentée dans les schémas de principe.
- La spécification des protocoles de communication sécurisés (HTTPS, SRTP, OSDP v2, 802.1X).
- La définition d'une politique de gestion des mots de passe, des certificats et des mises à jour firmware.
- La prise en compte des exigences NIS2 et des recommandations ANSSI dans le dimensionnement et la configuration des systèmes.
- L'intégration de la cybersécurité dans les tests de réception (pen-testing, scan de vulnérabilités).
La conformité réglementaire, notamment la réglementation vidéoprotection et le RGPD, renforce ces exigences. Chez Suretec Ingénierie, nous intégrons systématiquement la dimension cybersécurité dans nos études de conception pour garantir que vos systèmes de sûreté soient protégés aussi bien contre les menaces physiques que numériques.