Axis signe l’engagement « Secure by Design » de la CISA pour la cybersécurité

L’engagement volontaire de la CISA appelle les fabricants à faire de la sécurité de leurs clients une exigence commerciale essentielle en abordant sept aspects clés :

• Utilisation de l’authentification multifacteur
• Réduction des mots de passe par défaut
• Réduction des catégories de vulnérabilités
• Facilitation de l’installation des correctifs de sécurité
• Publication d’une politique de divulgation des vulnérabilités
• Transparence dans le signalement des vulnérabilités
• Amélioration mesurable de la capacité des clients à collecter des preuves d’intrusions affectant les produits du fabricant

« L’engagement Secure by Design de la CISA s’aligne parfaitement avec notre objectif d’intégrer la cybersécurité au cœur de notre offre », déclare Johan Paulsson, Chief Technology Officer chez Axis. « En signant cet engagement, nous réaffirmons notre volonté d’aider nos clients à suivre les meilleures pratiques en matière de cybersécurité et de renforcer la responsabilité dans l’industrie de la sécurité physique. »

Ce qui suit décrit la manière dont Axis applique cet engagement dans son portefeuille de produits, allant des produits réseau basés sur AXIS OS aux logiciels de gestion vidéo et d’appareils, ainsi qu’aux services tels qu’Axis Cloud Connect. 

Mise en œuvre de la sécurité dans le portefeuille Axis

La réduction des risques de vulnérabilités logicielles est une partie intégrante du développement logiciel chez Axis. Les développeurs suivent le Axis Security Development Model (ASDM) afin de réduire les risques de sécurité tout au long du cycle de vie des produits. Le cadre de sécurité, composé de processus et d’outils, inclut également le renforcement de la sécurité des produits grâce à des ressources externes, notamment les programmes de bug bounty et la possibilité pour toute personne de signaler facilement des bugs ou vulnérabilités à l’Axis Product Security Team. Axis publie et corrige les vulnérabilités en tant que CVE Numbering Authority (CNA). Sa politique de gestion des vulnérabilités décrit ce que l’entreprise divulgue, quand et comment. Le Axis Trust Center fournit des informations sur la cybersécurité et la conformité pour l’entreprise et pour les produits réseau basés sur AXIS OS, et couvrira progressivement d’autres produits et services Axis.

Produits réseau basés sur AXIS OS

Les appareils réseau IP d’Axis — caméras, interphones, haut‑parleurs et systèmes de contrôle d’accès — fonctionnent sous AXIS OS. AXIS OS est conçu sans mots de passe par défaut. Il prend en charge l’authentification multifacteur lorsque les clients accèdent aux appareils via une gestion centralisée des identités et des accès (IAM).

AXIS OS active par défaut un réseau Zero Trust dès la sortie d’usine pour la vérification et l’intégration sécurisées des appareils. Il permet aux produits Axis de s’authentifier automatiquement via IEEE 802.1X grâce à leurs identités d’appareil sécurisées conformes à IEEE 802.1AR. AXIS OS prend également en charge un chiffrement puissant via IEEE 802.1AE MACsec, protégeant des protocoles réseau fondamentaux comme NTP et DHCP qui ne disposent pas de sécurité native, et ajoutant une double couche de chiffrement aux protocoles sécurisés tels que HTTPS et autres protocoles basés sur TLS.

De plus, les appareils basés sur AXIS OS disposent d’un stockage matériel sécurisé des clés, certifié FIPS 140‑3 Niveau 3 et Common Criteria EAL6+.

AXIS Camera Station 

Les logiciels de gestion vidéo AXIS Camera Station Pro et AXIS Camera Station Edge garantissent une communication externe sécurisée entre smartphone, tablette, navigateur ou client PC et les caméras réseau Axis grâce au chiffrement AES 256 bits via Axis Secure Remote Access v2. La communication entre les serveurs clients et les appareils Axis est également protégée par un chiffrement AES 256 bits et TLS 1.2 ou supérieur. Les logiciels prennent en charge plusieurs niveaux d’accès utilisateur et un contrôle granulaire des fonctionnalités. AXIS Camera Station Pro permet la protection par mot de passe des appareils via des utilisateurs locaux ou des utilisateurs de domaine Active Directory Windows, tandis qu’AXIS Camera Station Edge prend en charge l’authentification à deux facteurs. AXIS Camera Station Pro fournit des journaux d’alarme, d’événements et d’audit, permettant des notifications en temps réel et le suivi des activités du système, garantissant ainsi la responsabilité.

Logiciels de gestion des appareils Axis

Axis propose plusieurs logiciels dédiés et faciles à utiliser pour gérer les appareils en périphérie tels que caméras, produits audio et systèmes de contrôle d’accès. AXIS Device Manager, AXIS Device Manager Edge et AXIS Device Manager Extend permettent aux clients de réaliser efficacement des mises à jour logicielles et des renforcements de sécurité sur des milliers d’appareils Axis. Les fonctionnalités supplémentaires incluent l’automatisation du cycle de vie des certificats TLS, des capacités simples de sauvegarde et de restauration des configurations pour réduire les erreurs humaines, ainsi que la gestion des changements de mot de passe, de HTTPS, de IEEE 802.1X et d’autres services sur les appareils Axis.

Axis Cloud Connect  

Axis Cloud Connect est une plateforme cloud hybride ouverte permettant aux clients finaux et aux partenaires d’intégration de gérer les appareils Axis. Elle prend en charge, entre autres, l’application automatique de nouvelles mises à jour logicielles, y compris les correctifs de sécurité pour les produits réseau Axis. La connectivité entre l’appareil et le cloud est établie uniquement via des canaux sécurisés tels que HTTPS et WebRTC avec TLS 1.2/1.3. La plateforme prend en charge l’authentification unique (SSO) et l’authentification multifacteur pour les comptes My Axis, utilisés pour accéder aux services hébergés par Axis. Cloud Connect prend également en charge la collecte de preuves et la détection automatique d’activités sensibles liées à la cybersécurité grâce à des outils automatisés et à la surveillance des journaux d’audit.

Dans le cadre de l’engagement CISA, Axis s’engage à partager régulièrement des informations et des avancées concernant la posture de cybersécurité de ses produits. Cela permet aux clients de vérifier la sécurité, de demander des comptes à l’entreprise et de renforcer la confiance dans les produits Axis.