Axis Communications, leader mondial du secteur de la vidéosurveillance, annonce avoir signé l’engagement Secure by Design Pledge de la Cybersecurity and Infrastructure Security Agency étasunienne, afin de communiquer de manière transparente sur la position en matière de cybersécurité des produits Axis.
L’engagement volontaire Secure by Design Pledge de la Cybersecurity and Infrastructure Security Agency étasunienne exhorte les fabricants à faire de la sécurité des clients une exigence commerciale fondamentale en abordant sept aspects clés de la sécurité :
- Utilisation de l’authentification multi-facteurs
- Réduction des mots de passe par défaut
- Réduction des classes de vulnérabilités
- Facilitation de l’installation des correctifs de sécurité pour les clients
- Publication d’une politique de divulgation des vulnérabilités
- Démonstration de transparence dans les rapports de vulnérabilité
- Démonstration d’une augmentation mesurable de la capacité des clients à recueillir des preuves d’intrusions de cybersécurité affectant les produits du fabricant
« L’engagement Secure by Design Pledge de CISA s’aligne parfaitement avec notre objectif de faire de la cybersécurité un élément fondamental de notre offre », déclare Johan Paulsson, Chief Technology Officer chez Axis. « En prenant cet engagement, nous affirmons notre engagement continu à aider nos clients à suivre les meilleures pratiques en matière de cybersécurité et à renforcer la responsabilité dans le secteur de la sécurité physique. »
Découvrez ci-dessous comment Axis répond à l’engagement Secure by Design Pledge dans son portefeuille de produits, allant des produits réseau basés sur AXIS OS aux logiciels de gestion vidéo et dispositifs, en passant par des offres de services telles qu’AXIS Cloud Connect.
Mise en œuvre de la sécurité dans le portefeuille de produits Axis
La réduction du risque de vulnérabilités logicielles fait partie intégrante du développement logiciel d’Axis. Les développeurs d’Axis suivent le modèle de développement de la sécurité Axis (ASDM) afin d’atténuer les risques de sécurité tout au long du cycle de vie du produit. Le cadre de sécurité, impliquant des processus et des outils, comprend également le renforcement de la sécurité des produits par le biais de ressources externes, à savoir les programmes de récompense contre les bogues d’Axis, et permet aux personnes de signaler facilement les bogues ou les vulnérabilités à l’équipe de sécurité des produits d’Axis. Axis corrige et divulgue les vulnérabilités en tant qu’autorité de numérotation CVE (CNA), et la politique de gestion des vulnérabilités publiée par l’entreprise décrit ses actions, le moment où elle les met en œuvre, ainsi que la manière dont elle traite les divulgations de vulnérabilités. L’ Axis Trust Center sert à fournir des informations sur la cybersécurité et la conformité, pour Axis en tant qu’entreprise et pour les produits réseau basés sur AXIS OS, et couvrira à terme d’autres produits et services Axis également.
Produits réseau basés sur AXIS OS
Les dispositifs réseau IP variés d’Axis, comprenant des caméras, des interphones, des haut-parleurs et des produits de contrôle d’accès, fonctionnent grâce au système d’exploitation AXIS OS. AXIS OS est conçu sans mots de passe par défaut. Le système d’exploitation prend en charge l’authentification multi-facteurs lorsque les clients accèdent aux dispositifs à l’aide de la gestion centralisée des identités et des accès (IAM).
AXIS OS active la mise en réseau Zero Trust par défaut pour une vérification et une intégration sécurisées des dispositifs. Il permet aux produits réseau Axis de s’authentifier automatiquement via IEEE 802.1X avec leurs identités de périphérique sécurisées conformes à IEEE 802.1AR. AXIS OS prend également en charge le chiffrement puissant via IEEE 802.1AE MACsec, protégeant, au niveau essentiel, les protocoles réseau tels que NTP et DHCP qui n’offrent pas de sécurité native, et les protocoles sécurisés à double chiffrement, tels que HTTPS et d’autres protocoles basés sur TLS.
De plus, les dispositifs basés sur AXIS OS disposent d’une fonctionnalité matérielle de stockage sécurisé des clés certifiée FIPS 140-3 Niveau 3, ainsi que Common Criteria EAL6+.
AXIS Camera Station
Les logiciels de gestion vidéo d’Axis, AXIS Camera Station Pro et AXIS Camera Station Edge, garantissent des communications externes sécurisées entre smartphone, tablette, navigateur ou client PC et les caméras réseau Axis grâce au chiffrement AES 256 bits avec Axis Secure Remote Access v2. La communication entre les serveurs clients et les dispositifs Axis est quant à elle sécurisée à l’aide du chiffrement AES 256 bits et TLS 1.2 ou supérieur. Les produits logiciels prennent en charge plusieurs niveaux d’accès utilisateur et un contrôle granulaire de différentes fonctionnalités. AXIS Camera Station Pro permet la protection par mot de passe des dispositifs utilisant des utilisateurs de domaine Active Directory locaux ou Windows, tandis qu’AXIS Camera Station Edge prend en charge l’authentification à deux facteurs. AXIS Camera Station Pro fournit des journaux d’alarmes, d’événements et d’audit, prenant en charge les notifications en temps réel et le suivi des activités du système, tout en garantissant la responsabilité.
Logiciel de gestion des périphériques Axis
Axis propose plusieurs logiciels dédiés et faciles à utiliser pour gérer les périphériques tels que les caméras, les produits audio et le contrôle d’accès. Les applications de gestion des dispositifs, AXIS Device Manager, AXIS Device Manager Edge et AXIS Device Manager Extend, aident les clients à mettre à jour les logiciels des disposifs de manière économique et à renforcer la sécurité de milliers de périphériques réseau Axis. Parmi les autres fonctions prises en charge, citons l’automatisation du cycle de vie de l’approvisionnement des certificats TLS, la fourniture de fonctionnalités simples de sauvegarde et de restauration de la configuration des dispositifs qui minimisent les erreurs de configuration humaine et la gestion des changements de mot de passe, HTTPS, IEEE 802.1X et d’autres services sur les dispositifs Axis.
Axis Cloud Connect
Axis Cloud Connect est une plateforme cloud hybride ouverte qui permet aux clients finaux et aux partenaires d’intégration de gérer les périphériques Axis. Elle prend en charge des activités telles que l’application automatique de nouvelles mises à jour logicielles qui incluraient des correctifs de sécurité pour les produits réseau d’Axis. La connectivité de l’appareil au cloud est établie uniquement via des canaux de communication sécurisés tels que HTTPS et WebRTC avec TLS 1.2/1.3. L’authentification unique (SSO) et l’authentification multi-facteurs sont prises en charge pour les comptes My Axis, qui sont utilisés pour fournir un accès aux services hébergés par Axis. Cloud Connect prend également en charge la collecte de preuves et la détection automatique d’activités sensibles en matière de cybersécurité grâce à des outils automatiques et à la surveillance des journaux d’audit.
Dans le cadre de l’engagement CISA, Axis s’engage à partager régulièrement des informations et des avancées concernant la position de cybersécurité de ses produits. Cela permet aux clients de réaliser les vérifications nécessaires et de tenir l’entreprise pour responsable, et contribue à renforcer la confiance que les clients peuvent placer en Axis lorsqu’ils utilisent ses produits.
En améliorant la sûreté, la sécurité, l’efficacité opérationnelle et l’intelligence économique, Axis contribue à un monde plus sûr et plus intelligent. Leader de son secteur dans les technologies sur IP, Axis propose des solutions en vidéosurveillance, contrôle d’accès, visiophonie et systèmes audio. Ces solutions sont enrichies par des applications d’analyse intelligente et soutenues par des formations de haute qualité.
L’entreprise emploie environ 5000 personnes dans plus de 50 pays et collabore avec des partenaires technologiques et intégrateurs de systèmes du monde entier pour fournir des solutions sur mesure à ses clients. Axis a été fondée en 1984, son siège est situé à Lund en Suède.