Les conséquences d’une faille de sécurité peuvent inclure la perte de confidentialité, ainsi que la compromission de l’intégrité et de la disponibilité des données. Toute organisation disposant d’appareils en réseau IP, y compris des caméras de surveillance, doit traiter les vulnérabilités que présente la connexion Internet. La cybersécurité est donc au cœur des préoccupations d’Axis.
La cybersécurité exigeant une vigilance et une maintenance permanentes, la responsabilité du maintien de la sécurité incombe non seulement aux fabricants, mais aussi aux partenaires et aux clients, qui doivent eux aussi faire leur part pour maximiser la protection.
Dans cet article, nous expliquons l’approche d’Axis en matière de cybersécurité et pourquoi une responsabilité partagée et continue entre toutes les parties prenantes est essentielle pour la maintenir.
Cybersécurité intégrée : comment Axis minimise les risques liés à la sécurité
« La cybersécurité est un élément fondamental et naturel de l’ADN d’Axis », déclare Jonas Falk, Director Cybersecurity, Software Development chez Axis. « Elle fait partie intégrante de tout ce que nous faisons, du développement de nouvelles technologies à notre fonctionnement quotidien. Chez Axis, les considérations liées à la sécurité sont prises en compte dès le début du processus de développement d’un nouveau produit, et cette attention se poursuit tout au long du cycle de vie du produit ».
Pour se faire, une équipe de cybersécurité Axis dédiée, l’Axis Software Security Group, a défini l’Axis Security Development Model (ASDM) qui guide les équipes de développement pour minimiser le risque de vulnérabilités dans les produits Axis pendant la conception et la mise en œuvre. Le groupe guide la méthodologie et les activités, y compris les tests impliquant des cyberattaques simulées, qui contribuent à améliorer la sécurité des produits Axis.
La plupart des appareils en réseau AXIS sont pilotés par AXIS OS, le système d’exploitation AXIS. Bien qu’AXIS OS pilote les fonctionnalités des produits AXIS, il est également conçu pour réduire le risque de vulnérabilités et améliorer la sécurité des produits, du déploiement à la mise hors service. De nouvelles versions du système d’exploitation AXIS pour les périphériques sont mises à disposition en permanence et incluent les derniers correctifs de sécurité et de bogues.
« Axis a franchi une étape importante en transformant le développement de logiciels pour les appareils, passant d’une approche individuelle pour chaque produit à une plateforme logicielle qui constitue aujourd’hui la base de la plupart des produits Axis », déclare Andre Bastert, Global Product Manager AXIS OS Cybersecurity chez AXIS. « En nous concentrant sur une plateforme commune basée sur AXIS OS, nous pouvons plus facilement développer et mettre à jour, et ainsi améliorer la sécurité de manière efficace et opportune. »
Un aspect essentiel de la force d’Axis en matière de cybersécurité provient également de la base solide fournie par la plate-forme de sécurité matérielle appelée Axis Edge Vault. Edge Vault protège l’intégrité des périphériques Axis et active le fonctionnement des clés cryptographiques. Edge Vault améliore la protection de la chaîne d’approvisionnement et offre un stockage sécurisé des clés. Il permet également d’activer des fonctionnalités telles que Signed Video. Signed Video ajoute une somme de contrôle cryptographique, ce qui permet de prouver que la vidéo n’a pas été modifiée depuis qu’elle a quitté la caméra, ce qui est particulièrement important dans le cadre d’une enquête ou de poursuites judiciaires.
La cybersécurité ne peut toutefois pas être atteinte uniquement en développant de nouvelles caractéristiques de sécurité. Une base de sécurité – avec une stratégie globale comprenant des processus et des politiques qui sont mis en œuvre et améliorés au fil du temps – est nécessaire.
Transparence en matière de cybersécurité
« Il est important pour les clients d’atténuer les risques liés à la chaîne d’approvisionnement des produits en réseau qui sont intégrés dans leurs systèmes. Chez Axis, nous pensons que les clients méritent la transparence de leurs fournisseurs pour les aider à atténuer les risques. », explique Andre. « C’est pourquoi nous accordons une telle importance à la transparence, dans des domaines tels que la gestion des vulnérabilités logicielles, afin d’être un partenaire responsable dans la protection de nos clients. »
Axis est agréée en tant que Common Vulnerabilities and Exposures (CVE) Numbering Authority (CNA) pour ses produits. Le programme CVE fournit le cadre et les outils qui permettent aux organisations du monde entier de gérer et de divulguer les vulnérabilités nouvellement identifiées. L’adhésion au programme CVE témoigne de l’engagement d’une organisation à suivre les meilleures pratiques en matière de gestion éthique des vulnérabilités, en mettant l’accent sur les clients.
Dans le cadre de l’engagement d’Axis à garantir la cybersécurité de ses produits, l’entreprise dispose de ressources internes et externes pour tester les produits et contribuer à améliorer la sécurité. AXIS propose également un programme de récompense contre les bogues dans le cadre duquel les chercheurs en sécurité qui découvrent des vulnérabilités dans AXIS OS peuvent recevoir une récompense en espèces. Lorsque de nouvelles vulnérabilités sont découvertes, Axis corrige les problèmes et les divulgue publiquement afin que les clients puissent prendre des actions opportunes et appropriées.
Cette approche transparente s’étend également à la mise à disposition d’une nomenclature logicielle (SBOM) pour AXIS OS. La SBOM fournit une liste de tous les composants logiciels qui composent la version du système d’exploitation AXIS, ce qui active l’accès libre. Ces mesures pratiques sont également étayées par la conformité à la norme ISO 27001.
Outils que les clients peuvent utiliser pour optimiser la cybersécurité
Les cybermenaces évoluent continuellement à mesure que les cybercriminels apprennent et développent de nouvelles techniques pour pénétrer les défenses. C’est pourquoi toutes les parties prenantes – fabricants, partenaires, intégrateurs de systèmes et utilisateurs finaux – doivent non seulement partager la responsabilité de mettre en œuvre des mesures de cybersécurité, mais aussi de les maintenir sur une base continue.
Axis soutient ses partenaires et ses clients dans ce domaine complexe en renforçant la cybersécurité dans ses offres. Il s’agit notamment de fournir des conseils et des outils pour permettre aux clients de gérer et d’utiliser les produits Axis de la manière la plus sûre possible.
Les outils tels qu’AXIS Device Manager et AXIS Device Manager Extend complémentaire aident les clients à configurer et à gérer efficacement les produits AXIS tout au long de leur cycle de vie. Les utilisateurs finaux peuvent utiliser les outils pour mettre en œuvre des politiques de cybersécurité, recevoir des alertes sur les nouvelles mises à jour du système d’exploitation AXIS et mettre à jour efficacement le firmware du produit.
« Axis peut fournir les technologies, les outils et les conseils nécessaires à la prise en charge de nos produits, mais cela n’aidera pas si les clients eux-mêmes, avec l’aide de l’intégrateur système, ne prennent pas les mesures nécessaires pour maintenir activement et en continu la sécurité de leurs produits », explique Andre. « Chacun doit faire sa part. »
Garder la cybersécurité à l’esprit
Étant donné que la cybersécurité est une cible en constante évolution, Axis adopte une approche axée sur la cybersécurité.
« La cybersécurité fait partie intégrante des activités quotidiennes d’Axis », explique Jonas. « Nous nous efforçons non seulement de fournir des produits dotés de mesures de sécurité intégrées, mais aussi de veiller à ce que des processus de sécurité soient mis en place pour régir nos propres opérations et activités afin d’atténuer les risques liés à la chaîne d’approvisionnement de nos produits. »