Il y a dix ans, les révélations relatives à une surveillance mondiale ont démontré les graves conséquences d'une violation de données. Mais les menaces ne pesaient pas seulement sur les gouvernements ; en 2014, des bugs tels que Heartbleed ont émergé, constituant une menace pour les entreprises et les personnes. Pour les périphériques en réseau IP, notamment les caméras de surveillance, cette période a clairement démontré la nécessité de traiter ces vulnérabilités inhérentes.
Aujourd'hui, de nombreux partenaires et utilisateurs finaux ont réalisé d'importants progrès en matière de cybersécurité. Mais la cybersécurité est un objectif qui évolue sans cesse. Pour plus de sûreté, les entreprises doivent continuer à collaborer avec des fournisseurs qui combinent des politiques et des procédures complètes en matière de cybersécurité avec une approche transparente.
Pour certaines entreprises, amener la direction à établir des budgets pour la cybersécurité peut encore s'avérer difficile. Pour équilibrer le budget et les ressources disponibles d'une part avec le risque en matière de cybersécurité d'autre part, il est crucial de comprendre toute la portée de ce dernier. Tirer des enseignements d'une entreprise qui a déjà traité ces sujets relatifs cybersécurité peut être utile.
Aujourd'hui, Axis a parcouru un long chemin en matière de cybersécurité. Nous sommes parvenus à un niveau de maturité qui nous permet de placer la cybersécurité au centre de notre offre et de notre mode de fonctionnement en tant qu'entreprise. Partager cette expérience qui nous a menés vers cette maturité apportera, nous l'espérons, des enseignements utiles pour aider nos partenaires et utilisateurs finaux à développer une stratégie de cybersécurité solide.
Développer une prise de conscience
En 2014, Axis a décidé de définir une stratégie axée sur la maturité et son développement au sein de la cybersécurité. Jusqu'alors, la cybersécurité dans le marché de la sécurité physique basée sur IP n'était pas à l'ordre du jour pour de nombreux fabricants, intégrateurs et utilisateurs finaux. Auparavant, la cybersécurité ne posait pas réellement problème, dans la mesure où de nombreux systèmes étaient encore analogiques et les premiers réseaux numériques n'étaient généralement pas connectés à des réseaux ouverts.
Cependant, la connectivité par protocole Internet (IP) constituait l'avenir des caméras de sécurité. Le secteur du PC avait précédemment connu une période de maturité au début des années 2000, jusqu'à l'apparition de nouveaux défis en 2013. Axis avait déjà commencé à renforcer la cybersécurité avant cette date, car nos caméras comprenaient des commandes de sécurité de base telles que la gestion des utilisateurs, le protocole HTTPS et les filtrage IP. L'équipe R&D d'Axis réalisait également des activités de sécurité élémentaires, telles que l'analyse des vulnérabilités, et fournissait des mises à jour de firmware, telles que les techniques de contrôle d’accès réseau IEEE 802.1X. Mais le paysage des menaces en développement nécessitait une nouvelle stratégie.
Développer la maturité
Les attaques de cybersécurité très médiatisées de 2013 ont été un élément déclencheur de l'importance accrue accordée à la cybersécurité par Axis, la première entreprise à le faire dans le marché des caméras vidéo. Mais à cette époque, nos partenaires et nos clients ont également commencé à nous poser des questions concernant l'amélioration de la cybersécurité. Dans le cadre de la définition d'une stratégie initiale de cybersécurité en 2015, Axis a publié la première version du Guide de renforcement Axis pour soutenir nos partenaires et utilisateurs finaux dans la sécurisation de leurs réseaux, périphériques et services.
Nous avons très tôt pris conscience, dans le cadre de notre maturité croissante, que la cybersécurité ne pourrait pas se faire en développant uniquement de nouvelles fonctionnalités en matière de sécurité. La stratégie, les procédures et les politiques devaient également être développées, améliorées et préservées au fil du temps. Cette prise de conscience est intervenue notamment en collaborant avec nos clients, et en apprenant d'eux, tels que des banques d'investissement et des entreprises de sécurité qui étaient déjà matures en matière de cybersécurité.
Transparence en matière de vulnérabilités
À ce stade de notre parcours dans le domaine de la cybersécurité, les rencontres avec des chercheurs nous ont également permis de développer notre maturité. En 2016, un chercheur indépendant a découvert une vulnérabilité critique. Nous avons corrigé le défaut et avons été félicité pour notre réponse et notre transparence. Cette situation a également démontré la nécessité de mises à jour régulières des logiciels ainsi que les avantages d'un logiciel unique de plateforme, plutôt que le maintien de multiples versions sur différents périphériques.
À travers le développement de politiques et de procédures, lorsque qu'une nouvelle vulnérabilité était identifiée (la vulnérabilité « Devil’s Ivy » située dans le code gSOAP, largement utilisé dans les produits du secteur de la sécurité), elle était rapidement traitée. Le magazine Wired a salué Axis pour sa transparence en avertissant rapidement ses concurrents, dans la mesure où la vulnérabilité a été découverte dans un package open source utilisé par les fournisseurs pour développer le support de l’interface de communication standard ONVIF.
Notre expérience avec des chercheurs indépendants a démontré de façon notable que la cybersécurité devait être privilégiée. Pour y parvenir, nous avons collaboré avec le modèle Building Security in Maturity Model (BSIMM), une étude des initiatives ou programmes de sécurité des logiciels, évaluant les pratiques des entreprises matures en matière de cybersécurité.
Parvenir à la maturité en matière de cybersécurité
En 2017, ces politiques et procédures de cybersécurité ont été formalisées dans le Modèle de développement de la sécurité Axis (ASDM) qui a fait de la cybersécurité une partie intégrante du développement des logiciels Axis. Pour s'assurer que le développement de l'ensemble des produits suivait les meilleures pratiques, le Groupe de sécurité des logiciels Axis (SSG) a été lancé pour collaborer avec les ingénieurs en développement d'Axis pendant la phase de conception, de développement et de test, pour réduire le risque de vulnérabilités.
Une expérience antérieure a démontré que la transparence constituait également une exigence fondamentale pour assurer une cybersécurité solide. C'est pourquoi, en 2017, nous avons publié la Politique de gestion des vulnérabilités d'Axis comme garantie d'un effort concerté à tous les niveaux de développement afin d'identifier et de limiter de potentielles vulnérabilités. Dans le même temps, le volume de caméras sur IP installées sur le marché avait augmenté de façon exponentielle. Pour permettre une gestion efficace des mises à jour afin d'assurer la cybersécurité, AXIS Device Manager puis AXIS Device Manager Extend, lancé plus tard comme un outil de complément, commençaient à jouer un rôle de plus en plus important.
Guider les entreprises en matière de cybersécurité
Depuis 2019, grâce au développement de procédures et d'équipes dédiées, soutenues par les ressources nécessaires, la cybersécurité constitue une part essentielle des activités quotidiennes d'Axis. Bien que la cybersécurité ait atteint un niveau de maturité chez Axis, grâce aux enseignements tirés de notre expérience en la matière, une attention continue demeure essentielle.
Pour guider les entreprises dans leur propre parcours en matière de cybersécurité, il est nécessaire de souligner l'importance de mieux comprendre les menaces pour développer des politiques et des procédures, plutôt que de se concentrer purement sur les fonctionnalités de produits en matière de cybersécurité. Lorsque cet objectif est atteint, il faut garder à l'esprit que la cybersécurité est une quête constante, devant bénéficier de ressources et d'une expertise permanentes essentielles pour la maintenir.
Dans le cadre d'un développement continu, Axis a été agréé en tant qu' Autorité de notation (CNA) Vulnérabilités et expositions communes (CVE) pour les produits Axis et a récemment lancé une nomenclature des logiciels (SBOM) pour AXIS OS. Ceci inclut également un programme bug bounty privé qui renforce l'engagement d'Axis dans le développement de relations professionnelles avec des chercheurs dans le domaine de la sécurité et des hackers éthiques extérieurs. Bien que l'ouverture et l'honnêteté développent la confiance entre les partenaires, les clients et toutes les parties prenantes, cette approche transparente permet de créer la défense la plus efficace.
