Les solutions de sécurité physique telles que le contrôle d’accès, la détection d’intrusion et les caméras de surveillance sont conçues pour protéger les personnes et les biens. Pourtant, ils peuvent présenter un risque cybernétique important pour une organisation s’ils ne sont pas sécurisés de manière appropriée. Comme ces systèmes sont souvent directement connectés au réseau et à l’infrastructure informatique d’une organisation, des acteurs hostiles peuvent potentiellement compromettre ces dispositifs pour prendre pied dans le réseau d’une organisation et les utiliser pour pivoter vers d’autres cibles ou systèmes de plus grande valeur.
Les défis de la gestion des systèmes de sécurité physique
Les services informatiques traditionnels négligent souvent les systèmes de sécurité physique et ne disposent pas toujours des ressources ou de l’expertise nécessaires pour corriger, mettre à jour ou sécuriser correctement ces dispositifs. Cet angle mort peut entraîner l’utilisation généralisée d’appareils fonctionnant avec des versions de microprogrammes obsolètes, dont certains n’ont pas été mis à jour depuis des années. Une étude menée par Genetec, un fournisseur de solutions de gestion vidéo, indique que 68,4 %, soit près de 7 caméras de sécurité physique sur 10 connectées à des réseaux d’entreprise, utilisent actuellement des microprogrammes obsolètes. Ces anciennes versions de microprogrammes peuvent être truffées de failles de sécurité facilement exploitables par des pirates.
Même dans les organisations où les systèmes et les appareils sont gérés par les services informatiques, la visibilité et l’inventaire de tous ces appareils dans les grandes entreprises peuvent s’avérer difficiles. Dans les grands environnements cloisonnés, le personnel chargé de la sécurité physique peut potentiellement connecter des dispositifs de sécurité physique et des caméras « hors-la-loi » qui ne répondent pas aux exigences de sécurité de l’organisation, sans que le département informatique en soit informé. Cela peut conduire à des lacunes importantes dans le dispositif de sécurité de l’organisation, qui passent inaperçues.
Les attaques de microprogrammes montent en flèche
Les pirates informatiques, qui empruntent souvent la voie de la moindre résistance, ont remarqué la prolifération des vulnérabilités des microprogrammes. Selon le National Institute of Standards and Technology (NIST) et les recherches menées par Microsoft Corporation, les attaques basées sur les microprogrammes pour tous les types d’appareils ont explosé au cours des dernières années. La base de données nationale des vulnérabilités gérée par le NIST fait état d’une multiplication par plus de cinq des attaques par microprogrammes au cours des quatre dernières années. De même, dans une enquête menée par Microsoft auprès de 1 000 entreprises, 83 % des sociétés interrogées ont signalé au moins une attaque basée sur le micrologiciel au cours des deux dernières années.
Les mots de passe par défaut ou faibles sont des fruits faciles à attraper pour un pirate informatique.
Pour ne rien arranger, des mots de passe par défaut ou faibles sont souvent utilisés sur les dispositifs de sécurité physique dans l’ensemble de l’organisation, fournissant involontairement à des acteurs hostiles une « mise en place » virtuelle pour l’obtention d’un accès privilégié au système. Les caméras accessibles par Internet et dotées de mots de passe par défaut constituent sans doute le moyen le plus accessible pour un pirate d’obtenir un accès initial au réseau d’une organisation. L’exploitation de ces vulnérabilités pourrait non seulement exposer les flux vidéo et le contrôle du système de caméras, mais aussi donner à l’attaquant la possibilité de capturer des données sensibles traversant le réseau, d’envoyer des messages ou des requêtes sortants, ou d’accéder à d’autres systèmes informatiques internes plus sensibles.
Comment sécuriser les systèmes/dispositifs de sécurité physique
À la lumière de ces défis, quelles sont les mesures concrètes que les organisations peuvent prendre pour améliorer leur posture de sécurité et réduire le risque cybernétique que présentent leurs dispositifs de sécurité physique ? La mise en œuvre des trois étapes suivantes peut réduire considérablement le risque associé à ces dispositifs de sécurité physique, jusqu’à 70-80 %.
- Comprendre l’univers des appareils – La première étape pour réduire les cyberrisques consiste à créer et à maintenir un inventaire complet des appareils, en documentant leurs versions de microprogrammes et leurs configurations de sécurité. Ces informations peuvent être utilisées pour vérifier l’état des microprogrammes et repérer les appareils qui pourraient nécessiter une mise à jour ou un remplacement.
- Mettre à jour les versions des microprogrammes – Les versions des microprogrammes doivent être mises à jour au fur et à mesure qu’elles sont disponibles auprès des fournisseurs d’appareils. L’utilisation du dernier micrologiciel du fabricant permet de réduire au maximum les vulnérabilités cybernétiques.
- Mettre à jour les mots de passe par défaut ou faibles – Les mots de passe par défaut et faibles doivent être mis à jour afin de se conformer aux exigences de l’organisation en matière de complexité des mots de passe. Idéalement, ces mots de passe devraient faire l’objet d’une rotation régulière.
Convergint Technologies peut aider votre organisation à mettre en œuvre et à automatiser ces mesures à grande échelle. Contactez-nous pour une évaluation gratuite.
Les intervenants
Michael Chung
Consultant principal en cybersécurité, Convergint
Michael Chung est consultant principal en cybersécurité au sein de l’équipe de services de cybersécurité (CST) de Convergint. Avant de rejoindre Convergint, Michael était chargé de superviser plusieurs projets fédéraux de cybersécurité pour le compte du ministère de la Défense (DOD) et a également supervisé la sélection et la mise en œuvre de divers contrôles de cybersécurité sur les systèmes de sécurité physique en tant que conseiller en cybersécurité pour le groupe national de sécurité physique de Kaiser Permanente. Michael a également été co-responsable de l’équipe de réponse aux incidents de cybersécurité pour le bureau du chef d’état-major interarmées du ministère de la Défense (JCS OCIO). Michael a également occupé un poste au Département de l’énergie, Office of Intelligence and Counterintelligence, en tant que conseiller en réponse aux incidents cybernétiques et a été le responsable technique de la sécurité des points d’accès aux réseaux Top Secret, Secret et Non classifiés.