L’évolution technologique et la législation déterminent aujourd’hui la direction à suivre pour les fabricants de solutions de sécurité.
La législation donne une nouvelle impulsion au secteur de la sécurité. Les réglementations européennes telles que le RGPD et l’IA Act incitent les fabricants non seulement à protéger la vie privée, mais aussi à démontrer la cybersécurité et l’authenticité des images.
La connexion de n’importe quel appareil informatique crée également une porte d’entrée potentielle pour les attaquants, surtout lorsque les appareils ne sont pas correctement « verrouillés » après l’installation. Le fabricant de solutions de sécurité Axis Communications tente de gérer cette tension par la « security-by-design » et un examen éthique interne : tout ce qui est techniquement possible ne doit pas nécessairement être mis sur le marché.
La législation montre la voie
« Axis Communications développe des solutions de sécurité, notamment des caméras, depuis de nombreuses années », commence Erik Baeten, conseiller en sécurité chez Axis Communications. « De nombreuses caméras sont aujourd’hui utilisées à des fins de Business Intelligence et d’Operational Efficiency. Depuis quelques années, nous constatons un changement net dans ce domaine, car la technologie ne cesse de progresser. »
Bon nombre de ces changements sont dictés par l’évolution des réglementations. « Au sein de l’Union européenne, il existe diverses législations qui font en sorte que la technologie évolue dans une direction précise », explique-t-il. Un exemple bien connu est le RGPD, qui se concentre sur la protection des données à caractère personnel en Europe.
Mais cela va plus loin. Des législations telles que NIS2 et l’IA Act influencent également le développement des caméras, par exemple. « Ce sont quelques-unes des législations qui déterminent la direction que les fabricants doivent prendre pour développer leurs appareils conformément aux règles. »
Outils et technologies
« L’objectif de telles législations est de construire des systèmes difficiles à pirater », poursuit M. Baeten. « En ce qui concerne les caméras en particulier, il est crucial que les données générées par vos systèmes, telles que les vidéos et les métadonnées, ne tombent pas entre de mauvaises mains. »
lire aussi
Les deepfakes sapent la confiance numérique dans votre entreprise : que pouvez-vous faire ?
L’authenticité des images est également primordiale. « Il existe désormais divers outils et techniques permettant de prouver que le matériel vidéo est authentique et provient donc directement de la caméra sans que personne n’ait pu manipuler les images », affirme-t-il. Les législations poussent l’industrie à créer de tels outils.
Vidéos chiffrées
L’une de ces techniques de sécurité repose sur des clés de chiffrement. « Les vidéos ne sont pas transportées sur le réseau sous forme d’images vidéo brutes, car cela est beaucoup trop sensible », déclare M. Baeten. « La caméra envoie les images chiffrées au destinataire, où elles sont ensuite déchiffrées. »
Une autre manière de transférer des vidéos en toute sécurité est ce que M. Baeten appelle la Signed Video. « Les images de la caméra sont envoyées avec une signature spécifique. Ce n’est que si vous possédez cette signature que vous pouvez consulter le matériel », explique-t-il. De plus, cette clé permet également de prouver que la vidéo est le matériel vidéo original et authentique.
Intelligent, plus intelligent, l’IA
Lorsqu’il s’agit de nouvelles technologies, nous ne pouvons évidemment pas ignorer l’IA. Le monde de la sécurité compte également diverses applications d’IA. « Pour en revenir aux législations directrices, c’est l’IA Act qui en constitue la base ici », précise M. Baeten. L’IA Act est une législation européenne qui stipule que toute personne développant un algorithme d’IA doit décrire clairement son objectif, la manière dont il sera utilisé et les ensembles de données exploités.
« Nous développons nous-mêmes des algorithmes d’IA avec des objectifs précis, liés aux fonctions d’une caméra. » M. Baeten illustre : « Grâce aux outils d’IA, nous pouvons par exemple classifier différents véhicules, comme la détection de camions. Nous voulons uniquement recevoir des alertes fiables, car chaque alarme déclenchée doit faire l’objet d’un suivi, ce qui engendre des coûts », affirme-t-il.
Les algorithmes d’IA sont également de plus en plus utilisés pour d’autres domaines qui dépassent le cadre de la sécurité. « Dans le secteur de la santé, ces technologies d’IA sont par exemple appliquées pour vérifier si quelqu’un est tombé de son lit ou devient agité », explique M. Baeten.
Objectif de la technologie
Ces développements (d’IA) peuvent rendre divers processus plus intelligents et assurer une certaine efficacité, mais M. Baeten est conscient qu’ils peuvent aussi être détournés. « Nous voulons améliorer le monde grâce à nos technologies, mais nous sommes conscients qu’il peut y avoir un revers à la médaille », poursuit-il. C’est pourquoi Axis Communications a instauré un Code of Conduct.
« Avec la commission, nous essayons d’abord de déterminer, au cas par cas, l’utilité d’une technologie donnée. De plus, nous nous demandons si cette technologie peut être appliquée de manière simple sans pouvoir être utilisée contre nous », explique-t-il. Selon lui, cela conduit au fait que certaines technologies ne sont tout simplement pas utilisées ou commercialisées.
Comme exemple concret, M. Baeten cite la reconnaissance faciale : « C’est techniquement possible, mais l’impact collatéral sur la vie privée est trop important car on analyse en réalité tous les visages. Le préjudice net peut être plus important que le bénéfice. »
Porte ouverte
En outre, la technologie peut également entrouvrir la porte aux cybercriminels. « Malheureusement, tous les fabricants ne consacrent pas autant de temps à la cybersécurité de leurs appareils », déplore M. Baeten. « Chaque appareil IP, comme une caméra, est raccordé à un réseau. Ces appareils se connectent à leur tour au monde extérieur, l’internet, pour télécharger des mises à jour, par exemple. » C’est une porte d’entrée que l’on ouvre. « Tout ce qui peut sortir peut, en fin de compte, aussi entrer. »
Chaque appareil est un point d’entrée vers l’ensemble de votre réseau.
Erik Baeten, conseiller en sécurité chez Axis Communications
Selon M. Baeten, les fabricants sont dans une position délicate. « Il est impossible de livrer un appareil totalement verrouillé, car le client ne pourrait plus le connecter à son réseau. Axis veille donc à ce que ses partenaires reçoivent des formations sur la manière de sécuriser un réseau et de connecter les caméras de manière sûre, afin de créer un ensemble bien protégé. »
Points faibles
Les entreprises doivent être conscientes de la cybersécurité de leurs appareils. « Nos appareils se retrouvent souvent dans des environnements de haut niveau, précisément parce que nous insistons tant sur la cybersécurité, et l’on remarque que la sensibilisation y est très forte », confie M. Baeten.
Aujourd’hui, les cybercriminels ne s’attaqueront pas directement à une grande banque bien protégée, mais plutôt à un petit prestataire connecté à la banque. Via cette porte d’entrée, ils peuvent ensuite s’infiltrer, par exemple en envoyant un e-mail de phishing.
lire aussi
L’angle mort de l’IoT : quel est le niveau de sécurité des appareils intelligents ?
« En tant que fabricant, nous devons prendre le plus de mesures possible pour créer le moins de points faibles possible », affirme-t-il. « Cela va des mesures pour les caméras aux formations ou guides sur la manière de verrouiller le système de caméras, en passant par des formations réseau sur la fiabilité d’un réseau. »
« Nous n’attendons pas le monde extérieur, nous embauchons nous-mêmes des personnes pour rechercher les failles de nos systèmes », déclare M. Baeten. L’ouverture est un aspect important, c’est pourquoi nous faisons également partie du programme Common Vulnerabilities and Exposures (CVE), nous communiquons de manière transparente sur nos vulnérabilités et nous effectuons les correctifs nécessaires.
Réel ou non ?
Bien que nous ayons commencé cet article par une série de législations qui déterminent la direction pour les fabricants, cette réglementation est aussi le talon d’Achille des développements technologiques. « La législation est toujours un peu en retard sur la technologie », constate M. Baeten. « La technologie existe depuis longtemps, et la législation commence seulement à apparaître. »
Il s’inquiète principalement pour les générations futures. « Nos jeunes devront apprendre à porter un regard critique sur toutes les données qui leur sont présentées et apprendre à faire la distinction entre ce qui est fiable et ce qui ne l’est pas, entre le vrai et le faux », conclut M. Baeten.
« C’est à nous de former la génération suivante aux techniques telles que la Signed Video ou les clés de chiffrement mentionnées précédemment. Les technologies dont nous disposons actuellement doivent garantir que tout puisse être tracé jusqu’à une source fiable », conclut-il.