Vidéoprotection : comment maîtriser la sécurisation des données ?

La sécurisation des données de vidéoprotection : un enjeu majeur pour les collectivités

Depuis la fin des années 1980, la vidéoprotection fait partie du paysage urbain français. Si l’évolution technologique de ce type de dispositif pose de nombreuses questions d’ordre éthique et juridique, la sécurisation des données collectées, enregistrées ou consultées est un enjeu majeur pour les villes. Pourquoi ? Parce que les attaques informatiques se multiplient et que plusieurs municipalités en ont déjà fait les frais.

C’est par exemple le cas d’Aix-les-Bains, la Rochelle, Seine-Saint-Denis ou encore les services de la ville de Vannes attaqués en 2016 par des pirates informatiques. Cette fois-ci, plus de peur que de mal : les ordinateurs vérolés ont pu être identifiés rapidement afin de limiter la diffusion du virus à l’ensemble du système informatique. Une attaque qui a cependant marqué les esprits et conduit la ville de Vannes à engager un responsable de la sécurité des systèmes d’informatique.

Face à des pirates capables de rentrer dans la vie des citoyens, les collectivités prennent conscience des dangers auxquels elles s’exposent :

• Diffusion des données personnelles à des personnes malveillantes
• Risque de paralysie de certains établissements
• Interruption d’un service à destination des administrés
• Pertes financières
• Mauvaise image de la collectivité

Pour éviter le pire et conserver la confiance « numérique » des usagers, il semble indispensable d’assurer la sécurité des services.

Vidéoprotection et sécurisation des données : que dit la loi ?

L’installation de systèmes de vidéoprotection qui filment la voie publique et les lieux ouverts au public – zones marchandes, rues, gares, centres commerciaux, piscines municipales, etc. – est encadrée par le code de la sécurité intérieure. Une demande doit être faite auprès du préfet territorialement compétent afin d’obtenir une autorisation valable 5 ans et potentiellement renouvelable.

Selon l’article L. 252-2 du code de la sécurité intérieure, l’utilisation d’un dispositif de vidéoprotection doit être motivé par un certain nombre d’enjeux, comme la régulation des flux de transport, la protection des bâtiments ou la prévention des risques naturels ou technologiques. Quant au visionnage des images, « il ne peut être assuré que par des agents individuellement désignés et habilités ». Ces derniers doivent également être formés et sensibilisés aux règles de mise en œuvre et aux dangers des cyberattaques afin de garantir un niveau de sécurité suffisant.

Sécurisation des données de vidéoprotection : les mesures pratiques à suivre

Pour être en règle avec la loi et assurer la sécurisation des données des systèmes de vidéoprotection, voici plusieurs mesures à mettre en place.

Faire converger les données au centre de gestion du système de vidéoprotection

Parce qu’il est impossible d’être partout à la fois, mieux vaut optimiser le temps et limiter les risques de fuites potentielles ou d’attaques. Comment ? En reliant toutes les caméras au centre de gestion du système de vidéoprotection. L’objectif est de faire remonter les données à un seul et même endroit qui stocke les flux des images avant de les analyser.

Sécuriser physiquement les équipements dans les locaux

Alarmes anti-intrusion, détecteurs de fumée, contrôle d’accès renforcé, liste à jour des personnes autorisée à pénétrer dans certaines zones, localisation des équipements dans les locaux… il est impératif de protéger physiquement les matériels informatiques et de tout faire pour limiter les risques de défaillance.

Renforcer la sécurité des données

Si l’accès aux locaux doit être contrôlé, plusieurs précautions élémentaires doivent être prises pour lutter contre les cyberattaques au sein même des systèmes informatiques :

• Cloisonner le système informatique de vidéoprotection du système informatique bureautique afin d’éviter la propagation d’un virus à l’ensemble du réseau informatique.
• Authentifier chaque utilisateur de manière individuelle et robuste, avec par exemple des mots de passe forts ou un accès à plusieurs niveaux, afin de limiter les possibilités d’accès illégitimes au réseau.
• Gérer les logiciels antivirus en effectuant des mises à jour régulières et installer un « pare-feu » performant.  
• Contrôler et limiter les branchements de supports mobiles comme les clés USB et les disques dures externes.

Recommandations pour aller encore plus loin dans la sécurisation des données de vos concitoyens

Voici des bonnes pratiques à adopter pour renforcer la sécurité des systèmes informatiques de contrôle d’accès et de vidéoprotection.  

Horodotage

Le temps est une information cruciale au sein des systèmes de contrôle d’accès et de vidéoprotection car il permet de caractériser chaque évènement généré. Il est donc recommandé de synchroniser l’ensemble des horloges des équipements à l’aide du protocole NTP depuis une source de temps fiable.

Signaux compromettants

Savez-vous que les équipements de vidéoprotection sont capables de produire des rayonnements électromagnétiques parasites ? Et qu’ils peuvent être à l’origine de fuites d’informations sensibles ? Voilà pourquoi il est important de prendre en compte ces signaux compromettants lors de l’installation des caméras à l’intérieur des locaux.

Infrastructure de gestion de clés

Certains protocoles et chiffrements de données vidéos archivées reposent sur des clés cryptographiques qui nécessitent la création et la délivrance de certificats. Il convient alors de mettre en place une infrastructure de gestion de clés qui tient compte des spécificités du système de contrôle et de vidéoprotection, mais aussi des disponibilités des autorités de certification.

Principes cryptographiques

Authentification d’un badge de contrôle d’accès, configuration des dispositifs de contrôle d’accès, confidentialité des vidéos sauvegardées sur le disque dur… Autant de domaines qui nécessitent des mécanismes cryptographiques qui doivent respecter les règles fixées par l’Agence nationale de la sécurité des systèmes d’information (ANSS) : utilisation de clés symétriques, bi-clés asymétriques, chiffrement sauvegardé sur le disque dur, etc.

Bien d’autres pratiques peuvent être mises en place, comme le renforcement de la gestion des droits d’accès via une technologie sans contact, ou les formations ciblées en cybersécurité et technologie de sûreté pour les intervenants chargés.