Points clés
- Les systèmes de surveillance physique — CCTV, contrôle d'accès électronique, détection d'intrusion — constituent la colonne vertébrale de la protection des actifs critiques, à condition d'être gouvernés comme des systèmes de sécurité à part entière.
- En 2021, Verkada — fournisseur de systèmes de caméras de surveillance — a subi une compromission massive : des hackers ont accédé aux flux de 150 000 caméras dans des hôpitaux, prisons, usines et bureaux, démontrant que les systèmes de surveillance eux-mêmes peuvent devenir des vecteurs de violation.
- Le piratage du système de surveillance d'un casino de Las Vegas via un thermomètre connecté dans un aquarium illustre comment des dispositifs IoT physiques périphériques peuvent ouvrir un accès réseau non anticipé.
- L'EDPB (European Data Protection Board) et les autorités nationales de protection des données encadrent strictement l'usage des systèmes de surveillance physique au regard du RGPD.
La surveillance des sites physiques — caméras, contrôle d'accès électronique, détecteurs de mouvement, gardiennage — est traditionnellement conçue comme un dispositif de sécurité passive : elle enregistre, alerte et dissuade. Les évolutions technologiques récentes — caméras connectées, systèmes de contrôle d'accès IP, capteurs IoT — ont transformé ces dispositifs en systèmes informatiques à part entière, exposés aux mêmes vulnérabilités que les autres systèmes d'information de l'organisation.
Pour la direction générale, cette convergence implique une gouvernance double des systèmes de surveillance : comme outils de sécurité physique (efficacité de la protection, couverture des zones, réactivité des alertes) et comme systèmes informatiques (sécurité des accès, gestion des mises à jour, protection des données enregistrées).
Les systèmes de surveillance comme surface d'attaque
La compromission de Verkada (mars 2021) est l'illustration la plus documentée du risque lié aux systèmes de surveillance connectés. Un groupe de hackers a obtenu l'accès à un compte administrateur de Verkada via des identifiants exposés, ce qui leur a donné accès aux flux en direct de 150 000 caméras dans des clients de Verkada — dont Tesla, Cloudflare, des hôpitaux de Floride, des prisons américaines. Des images internes confidentielles ont été publiées. Cet incident illustre que les systèmes de surveillance cloud-managed centralisent un risque systémique.
Les caméras de surveillance et équipements de contrôle d'accès fonctionnant sous des firmwares obsolètes sont des vecteurs d'attaque documentés. Plusieurs fabricants (Hikvision, Dahua) ont subi des divulgations de vulnérabilités critiques affectant des millions de caméras dans le monde. Sans processus de mise à jour des firmwares, ces équipements restent exposés indéfiniment. La CISA américaine a publié des alertes spécifiques sur ces vulnérabilités et recommande l'isolation réseau des systèmes de surveillance.
L'incident du casino de Las Vegas (2017) — un casino dont le réseau a été compromis via un thermomètre connecté installé dans un aquarium du hall d'accueil — illustre comment des dispositifs IoT périphériques peuvent constituer une porte d'entrée vers des systèmes plus sensibles si le réseau n'est pas segmenté. Le thermomètre était connecté au réseau du casino pour permettre la surveillance à distance de la température de l'aquarium, mais n'était pas isolé du reste du réseau.
Gouverner les systèmes de surveillance comme des systèmes d'information
Les systèmes de surveillance physique doivent être intégrés dans le périmètre de la gestion des vulnérabilités : inventaire des équipements, suivi des mises à jour de firmware, audit de configuration, tests de pénétration. NIST SP 800-82 (ICS Security Guide) et les recommandations de la CISA sur la sécurité des systèmes de surveillance fournissent des cadres applicables.
La segmentation réseau des systèmes de surveillance est une mesure fondamentale. Les caméras, les contrôleurs d'accès et les systèmes de détection d'intrusion doivent être isolés sur un réseau dédié, sans accès direct aux systèmes d'information métier. ISO 27001:2022 A.8.22 (Segmentation des réseaux) s'applique aux réseaux de surveillance physique.
Les données enregistrées par les systèmes de surveillance — images, journaux d'accès, données biométriques — sont des données personnelles soumises au RGPD en Europe. L'EDPB a publié des lignes directrices (05/2019) sur le traitement de données à caractère personnel par des équipements vidéo, imposant des obligations de minimisation des données, de durée de conservation limitée, et d'information des personnes filmées. La conformité RGPD des systèmes de surveillance physique est une responsabilité de la direction générale.
Protection différenciée des actifs critiques
Tous les actifs physiques ne présentent pas le même niveau de risque. La protection des actifs critiques — serveurs de production, équipements réseau centraux, postes de traitement des données les plus sensibles — doit être proportionnée à leur valeur et à leur exposition. Une matrice de criticité des actifs physiques, alignée sur la classification des informations, permet de définir les niveaux de protection physique appropriés pour chaque zone et chaque équipement.
ASIS International, dans ses Physical Security Professional (PSP) standards, définit une méthodologie de vulnerability assessment physique qui permet d'évaluer la protection actuelle de chaque actif, d'identifier les lacunes, et de prioriser les investissements de protection en fonction du risque. Cette approche structurée est recommandée pour les organisations gérant des sites multiples ou des actifs de valeur élevée.
En mars 2021, un groupe de hackers a revendiqué l'accès aux systèmes de Verkada, une startup californienne spécialisée dans les caméras de surveillance cloud-managed. Les hackers ont obtenu l'accès à un compte super-administrateur via des identifiants exposés, leur permettant de visualiser les flux de 150 000 caméras chez des clients dont Tesla, Cloudflare, des hôpitaux, des prisons et des commissariats. Des images de salles de réanimation, de cellules de prison et de locaux confidentiels d'entreprises ont été publiées. Verkada a désactivé les accès en quelques heures, mais l'incident a déclenché une enquête du DOJ. Il illustre le risque systémique des plateformes de surveillance centralisées cloud-managed.
L'European Data Protection Board a publié en 2019 des lignes directrices sur l'usage des équipements de surveillance physique au regard du RGPD, puis les a mises à jour en 2023. Ces lignes directrices ont conduit plusieurs autorités nationales à sanctionner des organisations pour usage disproportionné de caméras de surveillance : la CNIL française a sanctionné des employeurs pour surveillance excessive des salariés, le Garant italien a sanctionné une municipalité pour installation de caméras sans information des citoyens. Ces sanctions démontrent que la gouvernance RGPD des systèmes de surveillance physique est un risque de conformité réel pour les organisations.
La Personal Data Protection Commission (PDPC) de Singapour a publié en 2022 des lignes directrices sur l'usage des caméras de surveillance dans les espaces de travail et publics, en réponse à une augmentation des incidents impliquant des caméras mal sécurisées. Plusieurs organisations ont fait l'objet d'investigations après que des flux de caméras ont été exposés en ligne via des interfaces de configuration non sécurisées (mots de passe par défaut non modifiés). La PDPC a imposé des obligations de sécurisation technique des systèmes de surveillance et de notification des incidents impliquant des images de personnes identifiables.