Vous êtes sur la page 1sur 5

PREMIER MINISTRE

Secrtariat gnral Paris, le 14 fvrier 2013


de la dfense
et de la scurit nationale N 524/ANSSI/SDE
Agence nationale de la scurit
des systmes dinformation

RECOMMANDATIONS DE SECURITE
POUR LA MISE EN UVRE DE DISPOSITIFS DE VIDEOPROTECTION

Les dispositifs de vidoprotection constituent une mesure classique de scurit physique, mise en
uvre au sein dun grand nombre de sites sensibles. Gnralement constitus dun ensemble de
camras qui transmettent, travers un rseau support, des images un centre de supervision o elles
sont analyses ou stockes, ces dispositifs ont longtemps repos sur des protocoles spcifiques et des
transmissions essentiellement analogiques. Cependant, les volutions rcentes ont amen loffre en
matire de vidoprotection faire largement appel des protocoles standards, en particulier des
communications de type IP, et paralllement proposer des fonctionnalits, notamment de tl-
administration, de plus en plus volues.
De ce fait, les dispositifs de vidoprotection sapparentent dsormais, dans une large mesure, des
systmes dinformation classiques, aussi bien en termes de protocoles (diffusion de flux en vido sur
IP, administration base sur HTTP), que de systmes dexploitation, ou encore de mcanismes
dauthentification et de contrle daccs. A ce titre, ces dispositifs sont potentiellement exposs aux
mmes vulnrabilits que les autres systmes dinformation, vulnrabilits dont lexploitation
pourrait porter atteinte la fonction de scurit que ces dispositifs assurent. Ce risque est dautant
plus significatif que lutilisation de protocoles standard peut inciter les entits qui dploient ces
dispositifs mutualiser le rseau support correspondant avec le reste de leur systme dinformation.
Une telle mutualisation est susceptible daugmenter la surface dattaque des dispositifs de
vidoprotection eux-mmes, et dexposer par ailleurs le reste du systme dinformation des
attaques issues des quipements de vidoprotection.
Le prsent document dcrit un ensemble de mesures et de principes darchitecture, dont la mise en
uvre vise contrer ces vulnrabilits potentielles, ou du moins en limiter limpact. Les
recommandations quil formule portent sur lensemble des composants dun dispositif de
vidoprotection : dploiement physique des capteurs, architecture du rseau support, configuration
des quipements et du centre de supervision. Il ne traite en revanche en aucun cas de lefficacit du
dispositif de vidoprotection, et ne recommande pas de produits en particulier. Enfin, lapplication de
ces recommandations techniques ne dispense pas du respect des rglementations en vigueur, et ne
doit pas se substituer une analyse de risques dtaille propre chaque dploiement.

51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01.71.75.84.65 - Tlcopie 01.71.75.84.90


2

1 Analyse succincte des menaces


Les risques lis lexploitation dventuelles vulnrabilits dans les dispositifs de vidoprotection
relvent pour lessentiel des trois catgories suivantes :
- Atteinte la confidentialit des donnes de vidoprotection : les flux vido et
ventuellement audio capts par les camras peuvent tre intercepts, par coute passive sur
le rseau support ou interception de rayonnements parasites compromettants. La sensibilit
des flux qui sont susceptibles dtre intercepts dpend naturellement du positionnement des
camras lintrieur ou lextrieur des locaux quelles contribuent protger.
- Atteinte la disponibilit de la vidoprotection : lexploitation de vulnrabilits logiques
dans les diffrents quipements actifs du rseau de vidoprotection (camras, quipements de
routage, serveurs de collecte) peut permettre un attaquant de dsactiver tout ou partie du
dispositif. Une attaque de ce type peut par ailleurs tre dissimule par linjection de flux
vido illgitimes crs par lattaquant ou le rejeu de flux lgitimes antrieurs.
- Intrusion dans le reste du systme dinformation : lorsque le rseau support des
quipements de vidoprotection est mutualis avec le systme dinformation de lentit
utilisatrice (rseau bureautique, serveurs internes ou externes), la prise de contrle dun
quipement de vidoprotection par un attaquant peut permettre ce dernier de mener dans un
second temps une intrusion plus gnrale au sein du systme dinformation. Ce risque est
dautant plus significatif que, de par la nature mme de leur fonction, les camras de
vidoprotection sont souvent plus exposes des attaques physiques que les autres
quipements du systme dinformation (camras dployes lextrieur des btiments, ou
dans des zones peu frquentes).

2 Architecture du rseau support


Afin de contrer les risques dintrusion au sein du systme dinformation, et de limiter les possibilits
datteinte gnralise lensemble du dispositif de vidoprotection, il est primordial disoler le
rseau support associ, et de mettre en uvre un cloisonnement adapt au sein de ce dernier. Ce
principe disolation et de cloisonnement se dcline selon plusieurs modalits pratiques :
- Une connectivit filaire est privilgier pour les quipements de vidoprotection. En
effet, si certaines camras rcentes supportent diffrents modes de communication sans-fil
(wifi ou tlphonie 3G essentiellement), la mise en uvre de ces fonctionnalits augmente
trs significativement lexposition des quipements des attaques logiques.
- Le rseau support du dispositif de vidoprotection ne doit en aucun cas tre mutualis
avec dautres composantes du systme dinformation de lentit utilisatrice. Une
isolation physique complte (cblage et quipements de routage ddis) doit tre privilgie
par rapport une simple isolation logique (VLAN par exemple), qui noffre pas un niveau de
robustesse comparable. Au-del de lisolation par rapport au systme dinformation
gnraliste, il est galement recommand de ne pas mutualiser le rseau de vidoprotection et
celui associ au contrle daccs physique (lecteurs de badges, serrures lectroniques, etc.).
En effet, au-del de la diffrence de finalits et des rles complmentaires de ces deux types
de dispositifs, les quipements qui y sont respectivement raccords prsentent souvent des
niveaux dexposition diffrents de potentielles atteintes physiques. Cest le cas par exemple
lorsque les camras de vidoprotection sont positionnes exclusivement lintrieur du
primtre accs contrl, tandis que certains lecteurs de badges sont par construction
lextrieur de celui-ci.
3

- Le dispositif de vidoprotection ne doit pas tre directement accessible depuis Internet.


En particulier, les ventuelles interfaces dadministration des quipements ne doivent pas tre
accessibles depuis Internet.
- Il est recommand, lorsque cela est possible, disoler entre eux les rseaux de
vidoprotection interne et externe, lorsque des camras sont positionnes aussi bien
lintrieur des btiments protgs que dans leur primtre extrieur. En effet, les camras
extrieures sont naturellement plus exposes, et une action malveillante sur celles-ci ne doit
pas permettre de porter atteinte la confidentialit des flux intrieurs. Lorsque cela est
possible, lemploi dquipements diffrents au sein des deux dispositifs de vidoprotection
apporte une scurit supplmentaire, en limitant les risques de voir une mme vulnrabilit
exploite sur les deux rseaux.
- Un fort cloisonnement logique doit tre tabli entre les capteurs au sein du rseau
support. En particulier, dans la mesure o les diffrents capteurs nont pas de raison lgitime
de communiquer entre eux directement, il est recommand de configurer les quipement de
routage et commutateurs d'accs de telle sorte que chaque camra ne puisse tablir de
communication quavec les serveurs dadministration et de collecte des flux, et en aucun cas
avec les autres camras. Un tel cloisonnement peut par exemple tre obtenu par la mise en
uvre sur les commutateurs d'accs d'un mcanisme d'isolation de type PVLAN (RFC5517),
empchant les dialogues directs entre camras, voire de VLAN ddis chaque camra dans
un dispositif de taille limite.
- Il est souhaitable de contrler les accs directs au rseau support. La prvention des accs
illgitimes doit sappuyer sur un contrle des points daccs physiques, en vitant de laisser
apparents et accessibles des ports daccs au rseau. Lorsque les quipements le supportent, il
est galement souhaitable dimposer une authentification cryptographique des accs au
rseau, par exemple par la mise en uvre du protocole 802.1X pour le contrle daccs aux
ports rseau.

3 Choix et configuration des quipements de vidoprotection


Les considrations de scurit doivent galement intervenir dans le choix des capteurs de
vidoprotection, ainsi que dans la configuration de ces quipements. Il est rappel ici que les modles
rcents de camras IP sapparentent trs largement, en dpit dun facteur de forme diffrent, des
ordinateurs classiques, aussi bien au niveau du matriel lui-mme (micro-processeurs usuels,
connectivit standard de type USB ou port srie, etc.) que des composants logiciels quil excute
(systme dexploitation de type Linux, serveur web ou console daccs distant, etc.). A ce titre, les
recommandations de scurit portant sur ces quipements rejoignent largement celles qui sont plus
gnralement conseilles pour des matriels informatiques de type PC. On retiendra plus
particulirement les mesures suivantes :
- Les flux rseau mis et reus par les quipements doivent autant que possible tre
chiffrs et authentifis, avec un protocole cryptographique interdisant le rejeu de flux
antrieurs. Cette mesure doit porter aussi bien sur les flux de remonte vido que sur les
connexions dadministration distante des camras. De nombreux modles de camras IP
supportent des options de protection cryptographique des flux rseaux, mais il est en gnral
ncessaire de les activer spcifiquement dans la configuration des quipements. Il est par
ailleurs souhaitable de privilgier dans ce cadre des protocoles cryptographiques gnriques
et prouvs comme TLS ou IPsec, plutt que des protocoles propritaires spcifiques un
type dquipement, dont il est difficile de vrifier la robustesse a priori. Le lecteur est par
4

ailleurs invit consulter les recommandations du Rfrentiel gnral de scurit 1 pour le


choix et le dimensionnement des mcanismes cryptographiques.
- On veillera dsactiver, si cela est possible, les interfaces locales dadministration des
quipements dploys, lorsque de telles interfaces existent. Il est notamment courant que les
camras IP proposent une administration par port srie, avec ou sans authentification. Si de
telles interfaces trouvent toute leur utilit dans la configuration initiale des quipements, il est
en revanche souhaitable, au regard des possibilits daccs physique que pourrait avoir un
attaquant, de les dsactiver logiquement lors du dploiement effectif des capteurs.
- Les mots de passe par dfaut des camras doivent tre remplacs par des mots de passe
spcifiques, robustes 2 , et dans la mesure du possible diversifis. Le ou les mots de passe
contrlant laccs aux fonctions dadministration sont gnralement pr-positionns des
valeurs par dfaut lors de la fabrication des quipements. Il est primordial de remplacer ces
valeurs par dfaut par des mots de passe robustes avant le dploiement des quipements. Il est
galement recommand de ne pas utiliser les mmes mots de passe sur lensemble des
capteurs du dispositif de vidoprotection. De mme, lorsque lauthentification repose sur des
certificats, il est recommand de remplacer ceux installs par dfaut sur les quipements par
des certificats produits par une infrastructure de gestion de cl matrise par lorganisme.
- De manire gnrale, il est recommand de dsactiver les fonctions et interfaces
dadministration qui ne sont pas rellement utilises dans le cadre du dploiement
considr. Il est en effet courant pour les quipements rcents de proposer un ensemble de
fonctionnalits avances (par exemple rorientation de la camra) dont la mise en uvre nest
pas forcment ncessaire dans un cadre donn. Dans ce cas, la dsactivation de ces
fonctionnalits, lorsquelle est possible, rduira dautant la surface dattaque des quipements.
Il est souhaitable de prendre en compte ces recommandations ds la conception du dispositif de
vidoprotection. La possibilit de raliser les diffrentes oprations de configuration voques ci-
dessus, en particulier la dfinition des mcanismes cryptographiques mettre en uvre, doit
constituer un critre pour la slection des modles dquipements dployer. Au-del de ces
considrations, il convient de souligner quil nest en gnral pas possible de juger a priori du niveau
de robustesse des mcanismes de scurit mis en uvre au sein dun quipement. Par consquent, il
est recommand de faire mener une analyse indpendante de la scurit des quipements
slectionns, par exemple en les soumettant une procdure de Certification de Scurit de
Premier Niveau (CSPN) 3 .

4 Scurit du centre de supervision


Le centre de supervision du dispositif de vidoprotection, typiquement localis au sein du poste de
scurit de lentit concerne, est en gnral constitu dun ensemble de serveurs et de postes de
travail qui ralisent la centralisation et le stockage des flux de vidoprotection, et permettent leur
analyse et ladministration du parc de capteurs. lment central du dispositif, ce centre de
supervision dispose de privilges levs et est le seul (sous rserve de respect des recommandations
darchitecture nonces plus haut) pouvoir communiquer avec lensemble des capteurs. Il ncessite
par consquent une attention particulire en termes de scurit.
En plus des mesures classiques de scurit physique, en particulier la localisation des quipements
dans des locaux poste de scurit ou salle machines accs restreint, le centre de supervision doit
ainsi faire lobjet dune isolation par rapport au reste du systme dinformation (au mme titre que le

1
www.ssi.gouv.fr/rgs.
2
www.ssi.gouv.fr/mots-de-passe.
3
www.ssi.gouv.fr/cspn.
5

reste du rseau support, voir supra) et dune application stricte des rgles classiques dhygine
informatique 4 . On veillera ainsi plus particulirement :
- lauthentification nominative et sur la base de mcanismes robustes des utilisateurs ;
- lutilisation dun rseau ddi ladministration des quipements du centre de supervision,
si ceux-ci sont administrs par le rseau ;
- la mise en uvre dune politique adapte de suivi des versions et de mise jour des
composants logiciels ;
- au strict contrle des branchements de priphriques amovibles ;
- et enfin la journalisation des oprations, notamment celles portant sur ladministration du
parc de camras et des serveurs de collecte des flux, et au contrle rgulier de ces journaux.
Il est par ailleurs souhaitable de faire vrifier le niveau de scurit du centre de supervision par un
audit indpendant.

5 Problmatiques de signaux compromettants


Outre les menaces lies aux possibilits dattaques physiques ou logiques, les quipements de
vidoprotection, comme tous les quipements lectroniques, sont susceptibles de produire des
rayonnements lectromagntiques parasites qui peuvent vhiculer des informations sensibles issues
des traitements en cours dexcution sur lquipement.
En fonction de la sensibilit des locaux surveills et de leur configuration gographique, ces
problmatiques de signaux compromettants devront potentiellement tre prises en compte lors du
dploiement de camras intrieures, selon les modalits dfinies par la rglementation en vigueur 5 .

6 Aspects contractuels en cas de sous-traitance


Enfin, au-del des mesures techniques dcrites dans les sections prcdentes, il convient de signaler
les risques inhrents au recours ventuel un prestataire externe pour dployer et administrer un parc
de camras de vidoprotection. Cette pratique relativement courante est notamment susceptible, selon
la nature du prestataire et du contrat qui le lie son client, dentraner la duplication de lensemble
des flux des camras en dehors du systme dinformation du client, voire en dehors du territoire
national. La couverture de ces risques, lorsque le recours une externalisation du service savre
ncessaire, passe par le respect de bonnes pratiques organisationnelles et contractuelles, selon la
dmarche dcrite dans le guide Matriser les risques de linfogrance externalisation des systmes
dinformation 6 publi par lANSSI. Dans le contexte particulier dun dispositif de vidoprotection
dont la centralisation des flux serait ralise par un prestataire tiers, il convient notamment de porter
une attention particulire :
- la localisation des donnes collectes par le prestataire, aux mesures de scurit lies leur
stockage, et labsence de duplication et de communication de ces donnes des tiers (y
compris dans le cadre des procdures de maintenance des quipements de collecte) ;
- lventuelle mutualisation des services de collecte ou dadministration entre les diffrents
clients ; il est en particulier souhaitable dviter toute mutualisation des quipements mis en
place par le prestataire entre ses clients institutionnels et les autres clients.

4
www.ssi.gouv.fr/hygiene-informatique.
5
www.ssi.gouv.fr/fr/reglementation-ssi/signaux-parasites-compromettants-spc.
6
www.ssi.gouv.fr/externalisation.