Comme le rapportent souvent les médias, le monde de la cybersécurité peut être vu comme le "Far West". Il existe désormais une large gamme d'appareils Internet des objets (IoT) connectés au Web, ce qui en fait un sujet brûlant. Parmi ces appareils figurent les caméras de sécurité. Les appareils IoT sont des ordinateurs qui utilisent des logiciels qui les rendent vulnérables. Comme le dit le célèbre évangéliste de la cybersécurité Mikko Hypponen, "Si un appareil est intelligent, il est vulnérable!"
Hypponen a raison. Au quotidien, de nouvelles vulnérabilités se retrouvent dans les logiciels, quel que soit le fabricant. En 2019, plus de 12 000 vulnérabilités dans le monde ont été rendues publiques et signalées en tant que CVE (Common Vulnerability and Exposure) dans la base de données nationale sur les vulnérabilités (NVD) [1]. Malheureusement, les vulnérabilités sont acquises. Ce qui compte vraiment, c'est la manière dont une entreprise gère et résout les vulnérabilités.
La connaissance des vulnérabilités de cybersécurité est d'une importance vitale pour vous protéger, vous, votre entreprise et Internet, mais il est également important de comprendre qu'une vulnérabilité n'est pas synonyme de "porte dérobée" et n'est pas nécessairement une indication de "qualité bon marché".
Mais il y a des entreprises qui intègrent des garanties dans leurs processus de développement pour réduire les risques. Vous pourriez les voir comme des "shérifs", prenant des mesures pour rendre ce Far West un peu plus sûr.
Pourquoi Hikvision choisit "Secure-by-Design"
Les caméras de sécurité, comme tous les autres appareils IoT, sont vulnérables aux cyberattaques. Heureusement, les fabricants d'appareils IoT peuvent réduire considérablement ces vulnérabilités lors de la production d'appareils, en utilisant un processus appelé "Secure-by-Design".
La mise en œuvre de Secure-by-Design nécessite un engagement de la part de l'équipe de direction du fabricant et un investissement sérieux dans les ressources et la technologie, ce qui peut entraîner un processus de production plus long et un coût plus élevé de l'appareil IoT. Le coût est souvent la raison pour laquelle certains fabricants d'appareils IoT n'utilisent pas Secure-by-Design (et sont en effet moins chers).
Hikvision est un producteur d'appareils IoT qui prend la sécurité et la confidentialité très au sérieux et a implémenté Secure-by-Design dans son processus de production. La direction soutient ce processus et a même mis en place une structure interne dédiée à la cybersécurité chargée de la cybersécurité des produits. Ce groupe est également le point de contact central pour toutes les autres questions de cybersécurité.
Le cycle de vie du développement de la sécurité Hikvision (HSDLC) est une partie essentielle du programme de cybersécurité de Hikvision. Des contrôles de cybersécurité ont lieu à chaque étape du développement du produit - de la conception à la livraison. Par exemple, les tests de produits ont lieu pendant la phase de vérification, la société invite également régulièrement des sociétés de sécurité bien connues et des plates-formes de test publiques à effectuer des tests de pénétration. Cela signifie-t-il que tous les produits Hikvision sont immunisés contre le piratage? Non, cette garantie ne peut être donnée, mais le HSDLC témoigne d'un fabricant qui met tout en œuvre pour produire des produits aussi cyber-sécurisés que possible.
En plus du processus Secure-by-Design, Hikvision a ouvert un laboratoire du Source Code Transparency Center (SCTC) en Californie en 2018, étant le premier laboratoire du secteur à ouvrir un tel centre. Dans ce centre, le gouvernement américain, canadien et les organismes d'application de la loi peuvent afficher et évaluer le code source des appareils IoT Hikvision (caméras IP et enregistreurs vidéo sur réseau).
Il est important de souligner qu’aucun produit n’est sécurisé à 100%. Hikvision a mis en place un programme de gestion des vulnérabilités lorsqu'une vulnérabilité est découverte dans un produit. À ce jour, les vulnérabilités qui ont été signalées à Hikvision et / ou rendues publiques, ont été corrigées dans le dernier micrologiciel Hikvision et sont facilement disponibles sur le site Web de Hikvision. En outre, Hikvision est un CNA CVE, et s'est engagé à continuer à travailler avec des pirates informatiques tiers et des chercheurs en sécurité, pour trouver, corriger et publier des mises à jour des produits en temps opportun. Ces vulnérabilités sont collectées dans la base de données nationale sur les vulnérabilités (NVD) et sont publiques. Hikvision recommande aux clients qui souhaitent acheter des caméras de sécurité de se renseigner sur les pratiques de cybersécurité d'un fabricant et s'ils disposent d'un programme de gestion des vulnérabilités.
Questions de cybersécurité à considérer
La cybersécurité des appareils IoT est un sujet qui doit être abordé de manière sérieuse et elle devrait jouer un rôle essentiel dans le processus de développement de produit, à partir de la phase de conception d'un produit IoT. Cela demande du temps, des investissements et des connaissances.
Considérez les questions suivantes :
- Dois-je faire confiance au fabricant d'une caméra de sécurité à bas prix ?
- Ce fabricant dispose-t-il d'une organisation dédiée à la cybersécurité ?
- Comment ce fabricant gère-t-il les vulnérabilités ?
Ce sont les questions que chacun doit se poser lors d'un achat, qu'il s'agisse d'un appareil photo ou de tout autre produit IoT.
Il n'y a pas de garantie absolue de sécurité à 100%, mais Hikvision a des pratiques de pointe pour assurer la cybersécurité de ses caméras. La coopération, avec ses clients, installateurs, distributeurs et partenaires, et une transparence totale sont des éléments clés pour réussir à sécuriser les appareils IoT.
Lorsque vous lisez les actualités sur la cybersécurité, nous vous invitons à regarder au-delà des gros titres et à vraiment connaître les entreprises qui produisent les appareils IoT. Avant d'acheter une caméra de sécurité ou tout appareil IoT, consultez les pratiques de cybersécurité du fabricant, recherchez une entreprise dotée d'un programme de gestion des vulnérabilités robuste, une entreprise qui s'aligne sur Secure-by-Design et Privacy-by-Design et une entreprise qui emploie des professionnels de la cybersécurité prêts et désireux de répondre à vos questions. Rappelez-vous, il y a des shérifs là-bas, ainsi que des bandits.
[1] Source: site Web CVE de la société MITRE