Les conséquences d’une faille de sécurité peuvent inclure la perte de confidentialité, ainsi que la compromission de l’intégrité et de la disponibilité des données. Toute organisation disposant d’appareils connectés en IP, y compris des caméras de surveillance, doit prendre en compte les vulnérabilités liées à la connexion Internet. La cybersécurité est donc une priorité chez Axis.
Comme la cybersécurité exige une vigilance et une maintenance continues, la responsabilité de son maintien incombe non seulement aux fabricants, mais aussi aux partenaires et aux clients, qui doivent également jouer leur rôle pour maximiser la protection.
Dans cet article, nous expliquons l’approche d’Axis en matière de cybersécurité, et pourquoi une responsabilité partagée et continue entre toutes les parties prenantes est essentielle pour la maintenir.
Une cybersécurité intégrée : comment Axis minimise les risques
« La cybersécurité est une composante fondamentale et naturelle de l’ADN d’Axis », déclare Jonas Falk, Directeur Cybersécurité, Développement logiciel chez Axis. « Elle fait partie intégrante de tout ce que nous faisons, du développement de nouvelles technologies à nos opérations quotidiennes. Chez Axis, les considérations de sécurité sont prises en compte dès le début du processus de développement d’un nouveau produit, et cette attention se poursuit tout au long du cycle de vie du produit. »
Pour garantir cela, une équipe dédiée à la cybersécurité chez Axis, le groupe Axis Software Security, a défini le modèle de développement sécurisé Axis (ASDM), qui guide les équipes de développement afin de minimiser les risques de vulnérabilités dans les produits Axis lors de la conception et de l’implémentation. Le groupe encadre la méthodologie et les activités, y compris les tests impliquant des cyberattaques simulées, qui contribuent à améliorer la sécurité des produits Axis.
La plupart des appareils réseau Axis fonctionnent avec AXIS OS, le système d’exploitation d’Axis. Bien qu’AXIS OS pilote les fonctionnalités des produits Axis, il est également conçu pour réduire les risques de vulnérabilités et améliorer la sécurité des produits, de leur déploiement jusqu’à leur mise hors service. De nouvelles versions d’AXIS OS sont régulièrement mises à disposition pour les appareils, incluant les derniers correctifs de sécurité et les résolutions de bugs.
« Une étape importante franchie par Axis a été de transformer le développement logiciel des appareils, passant d’une approche individuelle pour chaque produit à une plateforme logicielle qui constitue aujourd’hui la base de la majorité des produits Axis », explique Andre Bastert, Responsable produit mondial AXIS OS Cybersécurité chez Axis. « Se concentrer sur une plateforme commune basée sur AXIS OS nous permet de garantir plus facilement le développement et les mises à jour pour renforcer la sécurité de manière efficace et rapide. »
Un aspect clé de la force d’Axis en matière de cybersécurité provient également de la base solide fournie par la plateforme de sécurité matérielle appelée Axis Edge Vault. Edge Vault protège l’intégrité des appareils Axis et permet l’exécution d’opérations nécessitant des clés cryptographiques. Edge Vault renforce la protection de la chaîne d’approvisionnement et offre un stockage sécurisé des clés. Il permet également des fonctionnalités telles que la vidéo signée. La vidéo signée ajoute une somme de contrôle cryptographique, permettant de prouver que la vidéo n’a pas été modifiée depuis sa sortie de la caméra, ce qui est particulièrement important dans le cadre d’une enquête ou d’une procédure judiciaire.
Cependant, la cybersécurité ne peut être atteinte uniquement par le développement de nouvelles fonctionnalités de sécurité. Une base de sécurité – avec une stratégie globale comprenant des processus et des politiques qui sont mis en œuvre et améliorés au fil du temps – est nécessaire.
La transparence en matière de cybersécurité
« Il est important que les clients atténuent les risques liés à la chaîne d’approvisionnement des produits réseau intégrés dans leurs systèmes, et chez Axis, nous pensons que les clients méritent de la transparence de la part de leurs fournisseurs pour les aider à atténuer ces risques », déclare Andre. « C’est pourquoi nous accordons une grande importance à la transparence, notamment dans la gestion des vulnérabilités logicielles, afin d’être un partenaire responsable dans la protection de nos clients. »
Axis est reconnu comme autorité de numérotation CVE (CNA) pour ses produits. Le programme CVE fournit le cadre et les outils permettant aux organisations du monde entier de gérer et de divulguer les vulnérabilités nouvellement identifiées. Rejoindre le programme CVE témoigne de l’engagement d’une organisation à suivre les meilleures pratiques éthiques de gestion des vulnérabilités, avec un accent sur les clients.
Dans le cadre de son engagement à garantir la cybersécurité de ses produits, Axis fait appel à des ressources internes et externes pour tester les produits et améliorer leur sécurité. Axis facilite également un programme de récompense pour les bugs (bug bounty), dans lequel les chercheurs en sécurité qui découvrent des vulnérabilités dans AXIS OS peuvent recevoir une récompense financière. Lorsqu’une nouvelle vulnérabilité est découverte, Axis corrige le problème et le divulgue publiquement afin que les clients puissent prendre des mesures appropriées en temps utile.
Cette approche transparente s’étend également à la mise à disposition publique d’une nomenclature logicielle (SBOM) pour AXIS OS. La SBOM fournit une liste de tous les composants logiciels qui composent la version d’AXIS OS, permettant un accès libre pour examen. Ces mesures pratiques sont également soutenues par la conformité à la norme ISO 27001.
Outils à disposition des clients pour optimiser la cybersécurité
Les cybermenaces évoluent constamment, à mesure que les cybercriminels apprennent et développent de nouvelles techniques pour contourner les défenses. C’est pourquoi toutes les parties prenantes – fabricants, partenaires, intégrateurs de systèmes et utilisateurs finaux – doivent partager non seulement la responsabilité de la mise en œuvre des mesures de cybersécurité, mais aussi celle de leur maintien continu.
Axis soutient ses partenaires et clients dans ce domaine complexe en renforçant la cybersécurité dans ses offres. Cela inclut la fourniture de conseils et d’outils pour faciliter la gestion et l’exploitation des produits Axis de manière aussi sécurisée que possible.
Des outils tels que AXIS Device Manager et AXIS Device Manager Extend permettent aux clients de configurer et de gérer efficacement les produits Axis tout au long de leur cycle de vie. Les utilisateurs finaux peuvent utiliser ces outils pour mettre en œuvre des politiques de cybersécurité, recevoir des alertes concernant les nouvelles mises à jour d’AXIS OS et mettre à jour efficacement le firmware des produits.
« Axis peut fournir les technologies, les outils et les conseils pour soutenir nos produits, mais cela ne servira à rien si les clients eux-mêmes, avec l’aide de l’intégrateur système, ne prennent pas les mesures nécessaires pour maintenir activement et continuellement la sécurité de leurs produits », déclare Andre. « Chacun doit faire sa part. »
Garder la cybersécurité au cœur des préoccupations
As cybersecurity is a moving target, Axis has an approach of continual focus on cybersecurity.
“Cybersecurity is an essential part of daily activities at Axis,” says Jonas. “We are striving not only to provide products that have built-in security measures, but also to ensure that security processes are in place that govern our own operations and activities to help mitigate supply chain risks associated with our products.”