Genetec : « les réseaux de vidéoprotection doivent tous réaliser une réelle convergence avec les autres réseaux IP avec un très haut niveau de sécurité »

Cyberisques News partner: event Paris le 9 novembre 2017 

 

Genetec : « les réseaux de vidéoprotection doivent tous réaliser une réelle convergence avec les autres réseaux IP avec un très haut niveau de sécurité »

 

 

 

Doit-on considérer les caméras et systèmes IP de vidéoprotection comme des objets connectés a sécuriser d'urgence ? L'équipementier Genetec répond oui sans hésitation et explique comment procéder.

 

 

Ces réseaux pour la plupart fermés hier s'ouvrent progressivement et c'est bien là le nœud du problème. Car avec leur « ouverture » sur Internet si de nouvelles perspectives peuvent apparaître (Cfr section BONUS en fin d'article), la sécurité des caméras IP et autres IoT par ailleurs ne semble pas disposer d'un niveau encore acceptable. Pourtant, ces réseaux vidéo  connaissent une évolution en terme de cybersécurité comparable a celle des systèmes de téléphonie passés durant les années 90 de l'analogique au numérique. Ainsi, le chiffrement préoccupe de plus en plus les ingénieurs de chez Genetec. Ils équipent de solutions crypto plus en plus de caméra en déplacant « l''intelligence » du serveur vers les devices. L'idée étant de ne pas échanger des informations non chiffrées sur le réseau.

 

Genetec-2017

Source : Genetec 2017

 

C'est dans cette perspective qu'un des leaders mondiaux en vidéoprotection et contrôle d’accès IP, Genetec a organisé une table ronde dans le cadre du « Cybersécurité Tour » le 9 novembre dernier à Paris. Animée par Cyberisques News, ce panel réunissait quatre participants représentants les « métiers » de la vidéoprotection, des contrôles d’accès et de la cybersécurité : Francis Lachance, Directeur Groupe Produits Vidéo chez GENETEC, Philippe Collot intégrateur cybersécurité Manhattan, Christian Banken coordinateur région bruxelloise et Gilles Robine Chef du service de protection zonale à la Préfecture de Police de Paris. Un cinquième intervenant a rejoint le « groupe » lorsque le sujet RGPD / GDPR a été abordé : Dominique Legrand, Président de l'Association nationale de la vidéoprotection.

L'une des thématiques essentielles a été les moyens de mettre en place une sécurité « haute » superposée à la sécurité « basique » des composants IoT et autres « devices » IP existants sur les réseaux publics. Plus d'un milliard d'IoT (objets connectés) fonctionnent déjà dans le monde. Gadget ou nouvelles solutions « Pro », impossible d'ignorer via leur présence les risques cyber nouveaux qu'ils peuvent engendrer ; De même que des caméras IP peuvent servir à la constitution de réseaux de botnets les IoT peuvent permettre d'accéder à des réseaux privés, de tracer leurs utilisateurs indépendamment de la taille des entreprises et organisations.

Selon les chiffres cités par Cyberisques News seules 20% des applications de l'Internet des Objets sont aujourd’hui soumises à des tests pour vérifier la présence de vulnérabilités. Près de 2 cyber-attaques réussies sur 3 le sont en raison d'une erreur humaine d'utilisateurs. A noter aussi que certains RSSI et responsables sûreté par crainte de dysfonctionnement hésitent a appliquer les « patch » nécessaires pour réduire l'exploitation de vulnérabilités par des cyber-attaquants. Autre aspect incontournable dans l'évolution des réseaux de vidéoprotection : la compatibilité du traitement des images avec le règlement européen GDPR et leurs stockage et traitement au sein des services Cloud. Rappelons que plus de 70% des budgets informatiques seront consacrés au cloud d’ici 3 ans selon IDC ( rapport FutureScape 2017).

Une analyse que confirme la dernière enquête réalisée par Coleman Parkes en septembre 2017 qui révèle que plus de la moitié des infrastructures informatiques françaises (52%) basculeront dans le cloud d'ici un an (Source Interoute).

 

 

Nécessité de mettre en place une politique de cybersécurité accrue dédiée aux Systèmes de Vidéoprotection et nouvelle génération de « device IP »

L'interconnexion de systèmes auparavant « isolés » du réseau Internet offre désormais avec l'interconnexion au réseau des réseaux une porte d'entrée aux actes de cybermalveillance. D’où la nécessité de mettre en place une sécurité « haute » superposée à la sécurité « basique » des composants et adresses IP existants. Les Systèmes de Vidéoprotection connaissent une évolution en terme de cybersécurité comparable a celle des systèmes Scada depuis leur interconnexion avec Internet. La sûreté de fonctionnement rejoint la cybersécurité des datas et traitements ;

Pour Francis Lachance: «La sûreté de fonctionnement rejoint la cybersécurité des datas. C'est le cas par exemple avec le partage de vidéos. Cette « sûreté » doit être pensée dès la conception du produit. Aujourd'hui la plupart des réseaux étant raccordés à Internet, il est indispensable de faire appel à des solutions d'authentification forte pour « tracer » les données vidéos par exemple. C'est notamment le cas avec les services de gestion de clé pour la gestion des données « vidéos » de plus en plus disséminées notamment chez les hébergeurs « cloud ». Dans un sens on peut dire que le Cloud « enterre » le stockage d'informations vidéo sur les DVD par exemple. »

 

 

Importance économique des nouveaux cadres réglementaires propres à la « data privée» avec la mise en place en mai 2018 du GDPR

Les évolutions en termes de traitement de volume de datas notamment « privées » inquiètent les autorités et la CNIL (en France). Le nouveau règlement européen en vigueur en mai 2018 dresse une liste d'obligations concernant l'ensemble des responsables de traitements de « données à caractère perso ». Nomination d'un DPO et mise en place de process organisationnels, juridiques et techniques pour être « GDPR compliance » via les notions de « privacy by design » réclamées par le GDPR / RGPD. Pour Genetec cette approche se traduit par un procédure de certification en cours auprès de l'ANSSI comme dans d'autres pays (* lire le CP ci dessous) , des solutions de autorisation, cryptographie et certification sur les systèmes et la protection des données « client » à caractère perso sur les clouds des prestataires retenus par l'équipementier. Le GDPR peut constituer également un avantage concurrentiel non négligeable pour les organisations qui seront les plus « compliance ».

Selon Dominique Legrand Président de l' Association nationale de la vidéoprotection AN2V : « Le règlement européen de protection des données à caractère personnel RGPD / GDPR est une opportunité pour tous à commencer par les entreprises qui vont devoir « faire le ménage » dans la gestion de leurs données notamment les données vidéo. Ces dernières en effet sont concernées par le GDPR qui veut davantage protéger les données personnelles. Le rôle du futur DPO a ce titre est essentiel. Je crois aussi que c'est une opportunité pour consolider une prise de conscience au sein de toutes les organisations sur la responsabilité des entreprises et de leurs partenaires dans les traitement de données à caractère personnel. ». Une analyse partagée par Francis Lachance : « Dans le cadre du GDPR / RGPD les notions de type droit à l'oubli nécessitent désormais de retrouver et éventuellement effacer certains informations à la demande de citoyens européens. Cette fonctionnalité suppose le stockage de données sur des infrastructures Cloud. D'une manière plus « globale », pour un équipementier tel que Genetec, le GDPR se traduit sur nos fonctionnalités par la mise en place de services de certificats et de chiffrement. Un seul mot guide notre stratégie : confiance. »

Une confiance qui doit aussi reposer sur l'ensemble des utilisateurs. Le dernier rapport mondial Global State of Information Security Survey dirigé annuellement par PwC qui indique en effet que les incidents externes ont eu tendance à diminuer entre 2016 et 2017 (23% des attaques par des hackers en 2017 contre 26% en 2016 par exemple) alors que le vecteur le plus récurrent demeure interne, les répondants à l’enquête indiquant que 30% des incidents en 2017 ont été provoqués par leurs employés et 26% par des anciens employés.

@jpbichard

 

BONUS :

Iot : Amazon chez Vous ?

https://www.theverge.com/2017/10/25/16538834/amazon-key-in-home-delivery-unlock-door-prime-cloud-cam-smart-lock

 

Genetec :

https://www.genetec.com/fr

https://www.genetec.com/solutions/all-products/omnicast/kiwivision-video-analytics.

 

Encadré 1 : Vidéoprotection et cybersécurité : ce qu'ils en disent

Christian Banken, utilisateur CIRB Bruxelles

« Avec près de 15 000 caméras réparties sur 6 réseaux distincts notre priorité c'est avant tout l'usage de fonctions de traçabilité. Pour Nous, la séparation des réseaux « physiques » liés à la vidéoprotection existe encore par rapport aux réseaux informatiques. Pour le GDPR c'est a Nous d'imposer nos règles notamment sur les interprétations que les juristes à l'origine de ce texte laissent aux services techniques. »

Gilles Robine, utilisateur, Préfecture de Police de Paris

« Avec plus de 3000 caméras dédiées à la protection du public, nous nous refusons pour le moment a introduire des caméras sous IP. Nous fonctionnons en îlot isolé du reste du continent. Toutefois des évolutions telles que celles liées à des nouveaux usages comme les caméras embarquées supposent l'emploi de réseau 4G. Pour l'heure nous n' avons pas identifié d'attaques sur nos réseaux mais je redoute les fuites de données avec des extraits vidéo sur des plates formes de réseaux sociaux. Notre problématique essentielle c'est la traçabilité. Pour le GDPR, je crois que le plus important c'est de ne pas se laisser « brider ».

Philippe Collot, intégrateur cybersécurité Manhattan

« Le objets IP et notamment les IoT offrent de nombreuses failles aux cyber-attaquants simplement parce qu'ils sont très peu protégés. Le meilleur fabricant de caméras IP peut ainsi négliger la sécurité rendant ces équipements par ailleurs excellents au niveau vidéo mais peu crédibles au niveau sécurité. Aujourd'hui en terme de traitement des données, les données vidéo rejoignent dans leur sécurité les obligations « cyber » des données informatiques traditionnelles. La convergence des réseaux vidéos avec les réseaux informatiques traditionnels en termes de cybersécurité est incontournable. »

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Communication corporate: 

* Le module Genetec Privacy Protector, issu de KiwiSecurity, a été recertifié par l’EuroPriSe, avec le prestigieux label "GDPR-ready"

 

La technologie de masquage et de pixellisation des images intégrée à Genetec Security Center est le seul produit certifié par l’European Privacy Seal (EuroPriSe), pour deux ans, pour la quatrième fois consécutive.

 

PARIS, le 13 novembre 2017 – Genetec Inc.un leader des solutions unifiées de sécurité, de sûreté publique, d’opérations et de business intelligence, annonce aujourd’hui que la solution KiwiVision® Privacy Protector® de KiwiSecurity a été recertifiée par l’European Privacy Seal (EuroPriSe). L’European Privacy Seal récompense les produits informatiques qui sont compatibles avec les lois européennes sur la protection des données, et qui performent en termes de protection de la vie privée. KiwiVision Privacy Protector est le module d’anonymisation des vidéos en temps réel unifié de GenetecTM Security Center, la plateforme de sécurité globale et à architecture ouverture de Genetec, qui combine la vidéosurveillance, le contrôle d’accès, la reconnaissance automatique des plaques d’immatriculation (LAPI), les communications et les analyses.

 

GDPR-ready

 

En plus de cette recertification, l’EuroPriSe Authority (basée à Bonn en Allemagne) a ajouté de nouveaux tests et critères qui assurent la conformité des produits aux nouvelles exigences législatives du Règlement général sur la protection des données (GDPR), qui entrera en vigueur le 25 mai 2018. Les capacités de Privacy Protector en la matière ont été analysées, et le logiciel est le seul du secteur de la surveillance et de la sécurité à avoir réussi le test.

 

« Nous sommes heureux que KiwiVision Privacy Protector, qui est désormais une fonctionnalité intégrante de Genetec Security Center, soit recertifié pour la quatrième fois consécutive par l’autorité de certification de l’European Privacy Seal », déclare Sebastian Meissner, Head of the EuroPriSe Certification Authority. « Cette recertification s’accompagne par ailleurs d’une distinction particulière : Privacy Protector est "GDPR-ready", ce qui signifie que la solution répond aux plus hautes exigences de conformité relatives aux standards de respect de la vie privée de l’Union Européenne (UE). »

 

Pour qu’un logiciel ou un matériel obtienne le label "GDPR-ready" de l’European Privacy Seal, le code source est testé pour s’assurer qu’il ne présente aucune faille qui pourrait être exploitée ou piratée pour compromettre la protection de la vie privée (anonymisation destructive), et qu’il est donc conforme à la GDPR. Le test est conduit par un organisme indépendant et impartial, et tous les critères sont rendus publics. Le label EuroPriSe est valide pour deux ans et doit être repassé après ce laps de temps ; ainsi, la conformité du produit aux dernières politiques et lois sur la vie privée de l’UE est toujours assurée.

 

« Dans le cadre de son engagement à toujours aider ses clients, Genetec prend le respect de la vie privée, l’autorisation, l’encodage et le stockage sécurisé des données très au sérieux », affirme Cyrille Becker, Directeur Général Europe de Genetec. « Nous sommes ravis que KiwiVision Privacy Protector ait à nouveau reçu la recertification EuroPriSe ; cela va permettre à Genetec d’atteindre un niveau encore plus élevé de confiance auprès de ses clients. »

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires