Vidéoprotection : comment maîtriser la sécurisation des données ?
Les caméras de vidéoprotection intelligentes ou « augmentées » sont de plus en plus nombreuses dans les centres-villes. Selon la CNIL, on en compterait plus de 600 000 disposées principalement sur les bâtiments publics, les poteaux et les commerces. Leur caractéristique ? Elles intègrent un logiciel de traitements automatisés d’image qui permet d’obtenir des informations précises depuis le flux vidéo. Prisées par les collectivités et les mairies, ces caméras nouvelle génération ont plusieurs objectifs : améliorer la sécurité des citoyens, lutter contre les actes de délinquance ou encore analyser la fréquentation d’un lieu. Si la démarche est louable, il n’en demeure pas moins que ce sont des milliers d’octets de données – dont des données personnelles comme les visages – collectées et stockées dans des centres de gestion du système de vidéoprotection. Mais alors, comment les sécuriser et éviter qu’elles ne soient détournées à des fins malveillantes ? Quelle est la réglementation en matière de sécurisation des données recueillies par vidéoprotection ? On vous dit tout !
La sécurisation des données de vidéoprotection : un enjeu majeur pour les collectivités
Depuis la fin des années 1980, la vidéoprotection fait partie du paysage urbain français. Si l’évolution technologique de ce type de dispositif pose de nombreuses questions d’ordre éthique et juridique, la sécurisation des données collectées, enregistrées ou consultées est un enjeu majeur pour les villes. Pourquoi ? Parce que les attaques informatiques se multiplient et que plusieurs municipalités en ont déjà fait les frais.
C’est par exemple le cas d’Aix-les-Bains, la Rochelle, Seine-Saint-Denis ou encore les services de la ville de Vannes attaqués en 2016 par des pirates informatiques. Cette fois-ci, plus de peur que de mal : les ordinateurs vérolés ont pu être identifiés rapidement afin de limiter la diffusion du virus à l’ensemble du système informatique. Une attaque qui a cependant marqué les esprits et conduit la ville de Vannes à engager un responsable de la sécurité des systèmes d’informatique.
Face à des pirates capables de rentrer dans la vie des citoyens, les collectivités prennent conscience des dangers auxquels elles s’exposent :
- Diffusion des données personnelles à des personnes malveillantes
- Risque de paralysie de certains établissements
- Interruption d’un service à destination des administrés
- Pertes financières
- Mauvaise image de la collectivité
Pour éviter le pire et conserver la confiance « numérique » des usagers, il semble indispensable d’assurer la sécurité des services.
Vidéoprotection et sécurisation des données : que dit la loi ?
L’installation de systèmes de vidéoprotection qui filment la voie publique et les lieux ouverts au public – zones marchandes, rues, gares, centres commerciaux, piscines municipales, etc. – est encadrée par le code de la sécurité intérieure. Une demande doit être faite auprès du préfet territorialement compétent afin d’obtenir une autorisation valable 5 ans et potentiellement renouvelable.
Selon l’article L. 252-2 du code de la sécurité intérieure, l’utilisation d’un dispositif de vidéoprotection doit être motivé par un certain nombre d’enjeux, comme la régulation des flux de transport, la protection des bâtiments ou la prévention des risques naturels ou technologiques. Quant au visionnage des images, « il ne peut être assuré que par des agents individuellement désignés et habilités ». Ces derniers doivent également être formés et sensibilisés aux règles de mise en œuvre et aux dangers des cyberattaques afin de garantir un niveau de sécurité suffisant.
Sécurisation des données de vidéoprotection : les mesures pratiques à suivre
Pour être en règle avec la loi et assurer la sécurisation des données des systèmes de vidéoprotection, voici plusieurs mesures à mettre en place.
Faire converger les données au centre de gestion du système de vidéoprotection
Parce qu’il est impossible d’être partout à la fois, mieux vaut optimiser le temps et limiter les risques de fuites potentielles ou d’attaques. Comment ? En reliant toutes les caméras au centre de gestion du système de vidéoprotection. L’objectif est de faire remonter les données à un seul et même endroit qui stocke les flux des images avant de les analyser.
Sécuriser physiquement les équipements dans les locaux
Alarmes anti-intrusion, détecteurs de fumée, contrôle d’accès renforcé, liste à jour des personnes autorisée à pénétrer dans certaines zones, localisation des équipements dans les locaux… il est impératif de protéger physiquement les matériels informatiques et de tout faire pour limiter les risques de défaillance.
Renforcer la sécurité des données
Si l’accès aux locaux doit être contrôlé, plusieurs précautions élémentaires doivent être prises pour lutter contre les cyberattaques au sein même des systèmes informatiques :
- Cloisonner le système informatique de vidéoprotection du système informatique bureautique afin d’éviter la propagation d’un virus à l’ensemble du réseau informatique.
- Authentifier chaque utilisateur de manière individuelle et robuste, avec par exemple des mots de passe forts ou un accès à plusieurs niveaux, afin de limiter les possibilités d’accès illégitimes au réseau.
- Gérer les logiciels antivirus en effectuant des mises à jour régulières et installer un « pare-feu » performant.
- Contrôler et limiter les branchements de supports mobiles comme les clés USB et les disques dures externes.
Recommandations pour aller encore plus loin dans la sécurisation des données de vos concitoyens
Voici des bonnes pratiques à adopter pour renforcer la sécurité des systèmes informatiques de contrôle d’accès et de vidéoprotection.
Horodotage
Le temps est une information cruciale au sein des systèmes de contrôle d’accès et de vidéoprotection car il permet de caractériser chaque évènement généré. Il est donc recommandé de synchroniser l’ensemble des horloges des équipements à l’aide du protocole NTP depuis une source de temps fiable.
Signaux compromettants
Savez-vous que les équipements de vidéoprotection sont capables de produire des rayonnements électromagnétiques parasites ? Et qu’ils peuvent être à l’origine de fuites d’informations sensibles ? Voilà pourquoi il est important de prendre en compte ces signaux compromettants lors de l’installation des caméras à l’intérieur des locaux.
Infrastructure de gestion de clés
Certains protocoles et chiffrements de données vidéos archivées reposent sur des clés cryptographiques qui nécessitent la création et la délivrance de certificats. Il convient alors de mettre en place une infrastructure de gestion de clés qui tient compte des spécificités du système de contrôle et de vidéoprotection, mais aussi des disponibilités des autorités de certification.
Principes cryptographiques
Authentification d’un badge de contrôle d’accès, configuration des dispositifs de contrôle d’accès, confidentialité des vidéos sauvegardées sur le disque dur… Autant de domaines qui nécessitent des mécanismes cryptographiques qui doivent respecter les règles fixées par l’Agence nationale de la sécurité des systèmes d’information (ANSS) : utilisation de clés symétriques, bi-clés asymétriques, chiffrement sauvegardé sur le disque dur, etc.
Bien d’autres pratiques peuvent être mises en place, comme le renforcement de la gestion des droits d’accès via une technologie sans contact, ou les formations ciblées en cybersécurité et technologie de sûreté pour les intervenants chargés.
Comment l’IA deviendra incontournable dans la vidéosurveillance ?
Selon un rapport de la société mondiale de conseil en marché technologique, ABI Research, plus de 350 millions de caméras de sécurité seront dotées d’une puce d’intelligence artificielle (IA) d’…
Comment protéger sa Smart city des cyber-attaques ?
La transition vers les réseaux 5G et l’Internet des objets (IoT) dans les villes intelligentes augmente les risques de cyberattaques. Les attaques de ransomwares sur les systèmes de transport, de…
Quels sont les enjeux de cybersécurité autour des territoires intelligents ?
En septembre 2021, l’AP-HP a été victime d’une cyberattaque où les données personnelles de près de 1,4 million de personnes testées au Covid-19 ont été dérobées : identité du patient, numéro de…