• WAIO
  • MPULSE30

La cybersécurité en question : Centre National de Prévention et de Protection

Ronan Jezequel, ingénieur développement au CNPP (Centre National de Prévention et de Protection), nous fait part de ses recherches sur les risques liés à la vidéosurveillance et la cybersécurité.
L’Officiel Horlogerie & Bijouterie : Pouvez-vous nous parler de vos développements en cours ?

Ronan Jezequel : Actuellement, nous travaillons principalement sur les évolutions relatives à la « cybersécurité ». Les marchés de la sécurité et de la sûreté connaissent en effet une mutation technique très importante. En effet, la plupart des systèmes sont aujourd’hui déployés en « tout IP », et de plus en plus de solutions sont dorénavant proposées avec des objets connectés.

Ces évolutions technologiques sont associées à de nouvelles vulnérabilités

Ni les acteurs de la sécurité traditionnelle ni les utilisateurs finaux des systèmes de sécurité/sûreté déployée ne sont suffisamment sensibilisés. Le domaine de la vidéosurveillance est particulièrement concerné par ces vulnérabilités, très présentes sur les caméras IP et aujourd’hui bien connues des hackers.

Le CNPP a donc mené des études visant à identifier les mesures de prévention et des moyens de protection possibles à mettre en œuvre pour lutter contre cette nouvelle menace. Notre ambition est donc d’upgrader les métiers de la sécurité/sûreté « traditionnelle ». Il s’agit de mettre en place des critères d’évaluation de la robustesse des produits aux attaques numériques. Mais aussi et surtout par la formation des acteurs de la sécurité/sûreté à la prise en compte des problématiques spécifiques au risque numérique.

L’OHB : Plusieurs référentiels existent pour la vidéosurveillance et la cybersécurité. Pouvez-vous nous en parler ?

R. Jezequel : La règle APSAD R82, a pour objectif d’accompagner les utilisateurs, prescripteurs et installateurs dans la conduite d’un projet de conception et d’installation des systèmes de vidéosurveillance/vidéo protection. Il définit les exigences techniques minimales, aide à la rédaction d’un cahier des charges et propose une méthodologie d’analyse des besoins et des risques.

La version la plus récente de notre référentiel dédié aux installations de vidéosurveillance prend en compte les dernières évolutions en matière de vidéosurveillance et porte aussi l’attention des installateurs sur le risque numérique. Le référentiel CNPP 4032, « guide pour l’installation de systèmes de sécurité ou de sûreté sur un réseau informatique » est quant à lui, un guide de bonnes pratiques à l’attention des installateurs de systèmes de sécurité/sûreté. Il propose une analyse des risques spécifiques au numérique, permettant de définir un niveau de sûreté de l’installation.

Ce niveau de sûreté est ensuite décliné en recommandations pour la conception de l’installation pour sa mise en œuvre ainsi que pour son exploitation et sa maintenance. Il propose notamment des bonnes pratiques relevant de l’« hygiène » numérique. Il est donc un complément naturel aux règles d’installations CNPP (R81, R82..) lorsque les installations sont réalisées sur réseau IP.

L’OHB : En quoi consiste la méthode d’évaluation développée par CNPP ?

R. Jezequel : La méthode d’évaluation développée (spécification technique CNPP DEC 16 02 pour l’évaluation de la robustesse aux attaques numériques des systèmes de sécurité/sûreté sur réseau IP) consiste dans un premier temps à réaliser une recherche de vulnérabilité large sur le produit par l’application de différents logiciels du marché. Cette phase aboutit au listing des vulnérabilités « théoriques » du produit.

Cette classification permet au fabricant, après essai, d’obtenir une cartographie des vulnérabilités recensées sur son produit. Nous remercions M. Ronan Jezequel de ces informations. Le CNPP agit depuis 60 ans dans l’étude de la prévention des risques liés aux entreprises. I.H.

www.cnpp.com