Questions/réponses sur la cybersécurité

Pour toute autre questions, consultez la base de données FAQ d'Axis.

La cybersécurité vise à protéger les systèmes et services informatiques des cyberattaques. Les pratiques de cybersécurité comprennent des processus de prévention des dommages et de restauration des ordinateurs, des systèmes et services de communications électroniques, des communications filaires et électroniques, ainsi que des informations stockées afin de garantir leur disponibilité, leur intégrité, leur sécurité, leur authenticité, leur confidentialité et leur non-répudiation.

La cybersécurité consiste à gérer les risques sur une plus longue période. Les risques ne peuvent jamais être éliminés, mais uniquement atténués.

La cybersécurité tourne autour des produits, des personnes, de la technologie et des processus en cours.

Il s'agit donc d'identifier et d'évaluer divers aspects de votre organisation, y compris l'inventaire des périphériques, systèmes, logiciels et firmwares, l'établissement d'objectifs critiques ; la documentation des procédures et des politiques de sécurité ; l'application d'une stratégie de gestion des risques et l'établissement permanent de risques liés à vos biens.

Cela implique la mise en œuvre de contrôles de sécurité et de mesures visant à protéger les données, les périphériques, les systèmes et les installations que vous avez identifiés comme priorités contre les cyberattaques.

Cela implique également de développer et de mettre en œuvre des activités qui vous aideront à détecter les cyberattaques afin de pouvoir prendre des mesures en temps utile. Cela peut, par exemple, impliquer l'utilisation d'un système SIEM (Security Information and Event Management) ou d'un système SOAR (Security Orchestration, Automation and Response) qui gère les données des périphériques réseau et des logiciels de gestion, qui analyse les données relatives aux comportements anormaux ou les cyberattaques potentielles, puis analyse ces données pour fournir des alertes en temps réel. Les périphériques Axis sont connectés aux journaux SYS et aux journaux SYS distants, qui sont la principale source de données de votre système SIEM ou SOAR.

La gestion de la cybersécurité implique également l'élaboration et la mise en œuvre de procédures pour répondre à un incident de cybersécurité dès qu'il est détecté. Vous devez tenir compte des réglementations locales et des politiques internes, ainsi que des exigences de confidentialité des incidents de cybersécurité. Axis propose un guide AXIS OS Forensic Guide qui peut vous aider à comprendre si un périphérique Axis a été compromis lors d'une attaque de cybersécurité.

Il est également important de développer et de mettre en œuvre des activités pour maintenir la résilience et récupérer ou restaurer des fonctions ou des services déficients en raison d'un incident de cybersécurité. Les applications de gestion des dispositifs Axis, par exemple, facilitent la restauration des dispositifs Axis en prenant en charge des points de restauration, qui sont des « instantanés » enregistrés de la configuration système à un moment donné. En l'absence d'un point de restauration approprié, l'outil peut aider à rétablir tous les périphériques à leurs états par défaut et à récupérer des modèles de configuration enregistrés via le réseau.

Les risques de cybersécurité (tels que définis par le glossaire de sécurité Internet RFC 4949) sont les prévisions de perte exprimées en tant que probabilité qu'une menace particulière exploite une vulnérabilité particulière avec un résultat nuisible particulier.

Il est important de définir des politiques et processus système clairs pour parvenir à une réduction adéquate des risques à long terme. L'une des méthodes recommandées consiste à mettre en place un cadre de protection ITbien défini, tel que ISO 27001, NIST ou similaire. Même si cette tâche peut sembler écrasante pour les petites organisations, il vaut nettement mieux disposer d'une documentation, même minimale, sur la politique et les processus.

Pour plus d'informations sur l'évaluation des risques et leur hiérarchisation, consultez le guide de référence sur la cybersécurité.

Une menace peut être définie comme tout ce qui peut compromettre ou endommager vos biens ou vos ressources. En général, les personnes ont tendance à associer les cybermenaces à des personnes malveillantes et des logiciels malveillants. En réalité, les impacts négatifs sont souvent dus à des accidents, des usages abusifs non intentionnels ou une panne matérielle. Les attaques peuvent être classées comme opportunistes ou ciblées. Aujourd'hui, la majorité des attaques sont opportunistes : elles se produisent simplement parce qu'une fenêtre d'opportunité se présente. De telles attaques utilisent des vecteurs d'attaque peu coûteux tels que le hameçonnage et le sondage. L'application d'un niveau de protection standard atténue la plupart des risques liés aux attaques opportunistes.

Il est plus difficile de se protéger contre les personnes malveillantes qui ciblent un système spécifique avec un objectif spécifique. Les attaques ciblées utilisent les mêmes vecteurs d'attaque à faible coût que les attaques opportunistes. Toutefois, si les attaques initiales échouent, elles sont plus déterminées et prêtes à consacrer du temps et des ressources pour utiliser des méthodes plus sophistiquées pour atteindre leurs objectifs. Pour celles-ci, il s'agit en grande partie de savoir quelle est l'enjeu.

Usage abusif délibéré ou accidentel d'un système

Les personnes ayant un accès légitime à un système sont l'une des menaces les plus courantes pour un système. Elles peuvent accéder à des services sur lesquels elles ne disposent pas d'autorisations. Elles peuvent provoquer des actes de vol ou d'endommagement délibérés du système. Ces personnes peuvent également faire des erreurs. En s'efforcent de résoudre les problèmes, elles risquent de réduire de façon considérable les performances du système. Ces individus sont également sensibles de pratiquer l'ingénierie sociale, c'est-à-dire des astuces qui permettent d'inciter les utilisateurs légitimes à fournir des informations sensibles. Ces personnes peuvent perdre ou déplacer des composants critiques (cartes d'accès, téléphones, ordinateurs portables, documentation, etc.). Les ordinateurs de ces personnes peuvent être compromis et infecter de manière non intentionnelle un système avec des logiciels malveillants.

Les protections recommandées comprennent la définition d'une politique et d'un processus de compte utilisateur, la création d'un système d'authentification d'accès suffisant, la gestion des comptes utilisateurs et des privilèges au fil du temps, la réduction de l'exposition et une formation sur la cybersécurité.

Axis aide à faire face à cette menace avec des guides de renforcement et des logiciels de gestion de dispositifs et de gestion vidéo.

Altération physique et sabotage

Les équipements exposés physiquement peuvent être sabotés, détournés, volés, déconnectés, redirigés ou coupés.

Les protections recommandées comprennent le placement des équipements réseau (par exemple, les serveurs et les commutateurs) dans des zones verrouillées, le montage de caméras de sorte qu'elles soient difficiles d'accès, l'utilisation d'un boîtier protégé lorsqu'elles sont physiquement exposées, et la protection des câbles dans des murs ou des conduits.

Axis aide à contrer cette menace avec un boîtier de protection pour les périphériques, des vis inviolables, des caméras capables de crypter les cartes SD, la détection de sabotage et la détection de boîtier ouvert.

Exploitation des vulnérabilités logicielles

Tous les produits basés sur des logiciels présentent des vulnérabilités (connues ou inconnues) qui peuvent être exploitées. La plupart des vulnérabilités sont à faible risque, ce qui signifie qu'elles sont très difficiles à exploiter ou que leur impact négatif est limité. Il peut arriver que des vulnérabilités exploitables ayant un impact négatif important soient découvertes. MITRE héberge une vaste base de données de vulnérabilités et expositions communes (Common Vulnerabilities & Exposures - CVE) afin d’aider les autres à atténuer les risques.

Les protections recommandées comprennent un processus de correctifs continu qui contribue à réduire le nombre de vulnérabilités connues dans un système, la réduction de l'exposition au réseau afin de rendre plus difficile l'analyse et l'exploitation des vulnérabilités connues, et la collaboration avec des sous-fournisseurs de confiance qui appliquent des politiques et des processus qui réduisent les défauts, qui fournissent des correctifs et sont transparents sur les vulnérabilités critiques découvertes.

Axis répond à la menace avec le Axis Security Development Model (Modèle de développement de sécurité Axis), qui vise à minimiser les vulnérabilités exploitables dans les logiciels Axis ; et avec la Axis Vulnerability Management Policy (Politique de gestion des vulnérabilités Axis), qui identifie, résout et annonce les vulnérabilités dont les clients doivent avoir connaissance afin de prendre les mesures appropriées. (Depuis avril 2021, Axis est une Common Vulnerabilities and Exposures Numbering Authority (autorité de numérotation des vulnérabilités et expositions communes) pour les produits Axis, ce qui nous permet d'adapter nos processus aux processus industriels standard de MITRE Corporation.) Axis fournit également des guides de renforcement avec des recommandations sur la façon de réduire l'exposition et d'ajouter des contrôles afin de réduire le risque d'exploitation. Axis propose aux utilisateurs différents suivis des logiciels de dispositifs pour maintenir à jour le système d'exploitation d'un dispositif Axis. Deux des suivis principaux sont :

1. Le suivi actif, qui fournit des mises à jour des logiciels de dispositifs prenant en charge de nouvelles fonctions et fonctionnalités, ainsi que des résolutions de bogues et des correctifs de sécurité.

2. Le suivi de prise en charge à long terme (long-term support - LTS), qui propose des mises à jour des logiciels de dispositifs prenant en charge les résolutions de bogues et les correctifs de sécurité tout en minimisant les risques d'incompatibilité avec des systèmes tiers.

Attaque de la chaîne d'approvisionnement

Une attaque de chaîne d'approvisionnement est une cyberattaque qui cherche à endommager une organisation en visant des éléments moins sécurisés de la chaîne d'approvisionnement. Cette attaque s'effectue en compromettant les logiciels/systèmes d'exploitation/produits et en faisant pression pour qu'un administrateur les installe sur le système. Un produit peut ainsi être compromis lors de l'expédition vers le propriétaire du système.

Les protections recommandées comprennent une politique d'installation des seuls logiciels à partir de sources fiables et vérifiées, la vérification de l'intégrité du logiciel par comparaison de la somme de contrôle du logiciel (digest) avec la somme de contrôle du fournisseur avant l'installation, la vérification des livraisons de produits pour vérifier l'intégrité du logiciel.

Axis contre-attaque cette menace de plusieurs façons. Axis édite un logiciel avec une somme de contrôle pour permettre aux administrateurs de valider l'intégrité avant de procéder à l'installation. Dans le cadre du chargement d'un nouveau système d'exploitation de périphérique, les périphériques en réseau Axis acceptent uniquement les logiciels signés par Axis. Le démarrage sécurisé sur les périphériques en réseau Axis garantit également que seul le système d'exploitation signé par Axis exécute les périphériques. Et chaque périphérique dispose d'un ID de périphérique Axis unique, qui permet au système de vérifier que le périphérique est un produit Axis authentique. Les détails de ces fonctionnalités de cybersécurité sont fournis dans le livre blanc sur Axis Edge Vault.

Pour plus d'informations sur les menaces, consultez notre guide de référence sur la cybersécurité.

Les vulnérabilités offrent des possibilités d'attaque ou d'accès à un système. Elles peuvent être le résultat de défauts, de fonctionnalités ou d'erreurs humaines. Des personnes malveillantes peuvent chercher à exploiter les vulnérabilités connues, en associant souvent une ou plusieurs vulnérabilités. La majorité des violations réussies sont dues à des erreurs humaines, à des systèmes mal et à des systèmes peu entretenus – souvent en raison de l'absence de politiques adéquates, de responsabilités non définies et d'une faible sensibilisation organisationnelle.

Une API (interface de programmation d'applications) et des services logiciels peuvent comporter des défauts ou des fonctionnalités exploitables lors d'une attaque. Aucun fournisseur ne peut jamais garantir que ses produits n'ont pas de défauts. Si les failles sont connues, les risques peuvent être atténués au moyen de mesures de contrôle de sécurité. D'un autre côté, si un hacker découvre une nouveau défaut inconnu, le risque est accru, car la victime n'a pas eu le temps de protéger le système.

The Common Vulnerability Scoring System (CVSS) est un moyen de classer la gravité d'une vulnérabilité logicielle. Il s'agit d'une formule qui estime le degré de facilité d'exploitation et ses impacts négatifs. Le score est une valeur entre 0 et 10, 10 représentant la gravité la plus élevée. Vous trouverez souvent un numéro CVSS dans les rapports CVE (Common Vulnerability and Exposure) publiés.

Axis utilise le CVSS comme l'une des mesures visant à déterminer le niveau critique d'une vulnérabilité identifiée dans le logiciel/le produit.

La page web Resources (Ressources) vous donne accès à des guides de renforcement (par exemple, AXIS OS Hardening Guide (Guide de renforcement d'AXIS OS), AXIS Camera Station System Hardening Guide (Guide de renforcement du système AXIS Camera Station Pro)  et Axis Network Switches Hardening Guide (Guide de renforcement des commutateurs réseau Axis)), à des documents sur les règles, et à bien d'autres ressources. Axis propose également des cours en e-learning sur la cybersécurité.

Allez sur la page relative aux logiciels de périphériques et recherchez votre produit.

Pour mettre à niveau le logiciel de votre dispositif, vous pouvez utiliser le logiciel de gestion vidéo ou de gestion des dispositifs Axis.

Visitez le site status.axis.com.

Vous pouvez vous inscrire au Service de notification de sécurité Axis.

Voir Gestion des vulnérabilités d'Axis.

Lisez l'article Intégrer la cybersécurité au développement des logiciels Axis.

Consultez la page relative à l'approche du cycle de vie de la cybersécurité.

En découvrir plus :

• Axis Edge Vault

• AXIS OS

• Un support de cybersécurité tout au long du cycle de vie des dispositifs

Oui, Axis est certifiée ISO/IEC 27001:2023. La société dispose d'un système de gestion de la sécurité de l'information (SGSI) qui répond aux exigences en ce qui concerne le développement et le fonctionnement des logiciels, des services cloud et de l'infrastructure informatique.

Axis Communications UK Ltd. est certifiée Cyber Essentials (numéro de certificat : IASME-CE-017710) et Cyber Essentials Plus (IASME-CEP-004245).

Les dispositifs Axis exécutant AXIS OS 11ou une version ultérieure sont certifiés conformes à la norme de cybersécurité ETSI EN 303 645. Les produits réseau AXIS OS portent également le label de sécurité informatique (IT-Sicherheitskennzeichen) de l'Agence fédérale allemande pour la sécurité des technologies de l'information (BSI - Bundesamt für Sicherheit in der Informationstechnik).

Pour plus de détails et pour obtenir les dernières informations sur la conformité et les certifications d'AXIS en matière de cybersécurité, veuillez consulter le site Axis Trust Center.

Consultez l'article sur NIS 2.