Quelle méthode d’évaluation de la robustesse des équipements de sécurité face aux cyberattaques?

Quels sont les enjeux face à une nécessaire robustesse aux cyberattaques ?

Actuellement, nous travaillons principalement sur les évolutions relatives à  la «cybersécurité». Les marchés de la sécurité et de la sûreté connaissent en effet une mutation technique très importante : la plupart des systèmes sont aujourd'hui déployés en "tout IP", et de plus en plus de solutions sont dorénavant proposées avec des objets connectés (caméras IP, détecteurs sur réseau..) qui communiquent via des réseaux courte ou longue portée, dédiés ou pas aux objets connectés, mais permettant leur exploitation par des interfaces web accessibles depuis smartphones, tablettes, etc..
A ces évolutions technologiques, sont associées de nouvelles vulnérabilités auxquelles ni les acteurs de la sécurité traditionnelle ni les utilisateurs finaux des systèmes de sécurité et sûreté déployés ne sont suffisamment sensibilisés. Le domaine de la vidéosurveillance est particulièrement concerné par ces vulnérabilités, très présentes sur les caméras IP et aujourd’hui bien connues des hackers.
Nous avons donc mené des études visant à identifier les mesures de prévention et des moyens de protection possibles à mettre en œuvre pour lutter contre cette nouvelle menace.
Notre ambition est donc d'"upgrader" les métiers de la sécurité et sûreté "traditionnelle", par la mise en place de critère d'évaluation de la robustesse des produits aux cyberattaques, par l'application de recommandations pour la réalisation d'installations sur réseau IP, mais aussi et surtout par la formation des acteurs de la sécurité et sûreté à la prise en compte des problématiques spécifiques au risque numérique.
 

Plusieurs référentiels existent pour la vidéosurveillance et la cybersécurité. 

Le référentiel APSAD R82 a pour objectif d’accompagner les utilisateurs, prescripteurs et installateurs dans la conduite d’un projet de conception et d’installation des systèmes de vidéosurveillance et vidéo-protection. Il définit les exigences techniques minimales, aide à la rédaction d’un cahier des charges et propose une méthodologie bien spécifique d’analyse des besoins et des risques.
La dernière version de notre référentiel dédié aux installations de vidéosurveillance prend en compte les dernières évolutions en matière de vidéosurveillance et porte aussi l’attention des installateurs sur le risque numérique en proposant quelques principes généraux.
  
Le référentiel APSAD D32, "document technique pour l'installation de systèmes de sécurité ou de sûreté sur un réseau informatique", est destiné aux installateurs de systèmes de sécurité et sûreté (vidéosurveillance, intrusion..) pour une mise en œuvre de ces systèmes garantissant la disponibilité, l'intégrité et la confidentialité des données propres au système.
Il propose une analyse de risque spécifique au risque numérique, permettant de définir un niveau de sûreté de l'installation. Ce niveau de sûreté est ensuite décliné en recommandations pour la conception de l'installation (niveau de protection du matériel déployé, configuration réseau..), pour la réalisation de l’installation, mais aussi pour son exploitation et sa maintenance, en proposant notamment des bonnes pratiques relevant de l’ « hygiène » numérique (mises à jour régulière, gestion des identifiants / mots de passe).
Il est donc un complément naturel aux référentiels APSAD R81 et APSAD R82... lorsque les installations sont réalisées sur réseau IP.
 

Nous avons développé une méthode d'évaluation de la robustesse des équipements de sécurité aux cyberattaques. 

La méthode d'évaluation développée (spécification technique ST LPMES DEC 17-04  pour l’évaluation de la robustesse aux cyberattaques des systèmes de sécurité et sûreté sur réseau IP) consiste à évaluer les interfaces IP, les protocoles de communication et les logiciels de gestion :

Évaluation des interfaces IP

• Dans un premier temps, nous réalisons une recherche de vulnérabilité large sur le produit par l'application de différents logiciels du marché. Cette phase aboutit au listing des vulnérabilités "théoriques" du produit.
• Dans un second temps, il s'agit de confirmer les vulnérabilités découvertes, en cherchant à les exploiter grâce à des outils (ceux utilisés par les hackers, le plus souvent libres au téléchargement sur internet !) permettant la réalisation de cyberattaques. Si les attaques portées par les experts de CNPP leur permettent de porter atteinte aux données alors la vulnérabilité est confirmée.
• Les vulnérabilités confirmées sont ensuite classées selon leur criticité. La criticité d'une vulnérabilité est haute si la complexité de l'attaque est faible (accessible à un novice) et si son impact est grave (obtention des identifiants/ mots de passe d'un compte administrateur pour un système de vidéosurveillance, par exemple).Cette classification permet au fabricant, après essai d’obtenir une cartographie des vulnérabilités recensées sur son produit.

Évaluation des protocoles de communication :

• Les communications réalisées par les produits vers des composants externes (télésurveillance, logiciels PC, applications smartphone...) sont testés au regard de leur capacité à assurer la confidentialité, l'intégrité et la disponibilité des données et du système. Pour cela, les échanges sont interceptés, étudiés, modifiés et rejoués via des outils dédiés.

Évaluation des logiciels de gestion :

• Les logiciels fournis par le constructeur pour l'exploitation ou la configuration du système sont testés sur plusieurs critères : la gestion de l'authentification de l'utilisateur, la confidentialité et l'intégrité des données traitées par le logiciel, la disponibilité du logiciel et la gestion de ses mises à jour.