Ce rapport est réservé aux professionnels.
Saisissez le mot de passe pour y accéder.
Vous n'avez pas encore accès ?
Analyse des vulnerabilites, exposition des equipements et recommandations operationnelles pour les decideurs, integrateurs et donneurs d'ordre.
Ce document a ete concu pour les dirigeants, directeurs techniques et responsables securite qui supervisent des infrastructures de videosurveillance, sans necessiter de connaissances techniques approfondies en cybersecurite.
Les systemes de videosurveillance modernes ne sont plus de simples cameras analogiques. Ce sont des ordinateurs connectes, equipes de serveurs web, de protocoles reseau et de logiciels regulierement mis a jour. Lorsqu'ils ne sont pas correctement securises, ils deviennent des cibles privilegiees pour les cybercriminels.
En Afrique, notre analyse revele que la majorite des equipements de videosurveillance sont exposes a des risques critiques : mots de passe par defaut non changes, firmwares obsoletes, acces distants non proteges. Les consequences peuvent aller du simple espionnage au blocage complet de votre systeme de securite physique.
49% sans authentification signifie que pres de la moitie des cameras et enregistreurs dans le monde sont accessibles sans mot de passe. N'importe qui sur Internet peut voir vos images, acceder a vos enregistrements ou prendre le controle de vos equipements.
67% de firmwares obsoletes signifie que les mises a jour de securite publiees par les constructeurs n'ont jamais ete installees. Les failles connues et documentees restent ouvertes, comme une porte que vous savez cassee mais que vous ne reparez pas.
141 vulnerabilites critiques (CVE) ont ete decouvertes en 2024-2025 sur les equipements Dahua, Hikvision, Bosch, Axis et Uniview. Certaines permettent de prendre le controle total d'un appareil a distance, sans aucun mot de passe.
Donnees collectees via Shodan, Censys et nos honeypots dedies. Chaque pays presente un profil de risque distinct lie a la maturite de ses infrastructures telecoms, a la reglementation locale et au parc installe.
| Pays | Appareils exposes | Sans auth. | Firmware obs. | Marque dominante | Risque |
|---|---|---|---|---|---|
| Maroc | 18 400 | 31% | 52% | Hikvision (64%) | ELEVE |
| Senegal | 14 200 | 44% | 71% | Dahua (58%) | CRITIQUE |
| Cote d'Ivoire | 11 800 | 52% | 68% | Hikvision (61%) | CRITIQUE |
| Cameroun | 8 600 | 48% | 74% | Dahua (55%) | CRITIQUE |
| Nigeria | 22 300 | 56% | 69% | Hikvision (52%) | CRITIQUE |
| Algerie | 15 700 | 38% | 61% | Dahua (49%) | ELEVE |
| Tunisie | 9 200 | 35% | 58% | Hikvision (57%) | MODERE |
| Gabon | 3 400 | 61% | 82% | Dahua (72%) | CRITIQUE |
| RDC | 5 100 | 67% | 85% | Uniview (41%) | CRITIQUE |
| Kenya | 12 600 | 42% | 63% | Hikvision (48%) | ELEVE |
| Afrique du Sud | 28 500 | 29% | 45% | Axis (31%) | MODERE |
| Ghana | 7 800 | 51% | 73% | Dahua (59%) | CRITIQUE |
Le Senegal presente un profil de risque particulierement preoccupant. Avec 14 200 appareils exposes, dont 44% sans authentification, le parc est largement domine par Dahua (58%). Les institutions financieres de Dakar et les batiments gouvernementaux utilisent massivement des systemes NVR Dahua de generation 2 et 3, dont les firmwares n'ont pas ete mis a jour depuis 2021 en moyenne. Les ports RTSP (554) et HTTP (80, 8080) sont ouverts sur Internet sans chiffrement.
Risque concret : Un attaquant peut acceder aux flux video en direct des cameras de votre organisation, telecharger les enregistrements, et utiliser l'equipement comme point d'entree vers votre reseau interne (comptabilite, RH, messagerie).
Abidjan concentre 78% des equipements exposes du pays. Les secteurs bancaire et hotelier sont les plus touches. 52% des appareils n'ont aucune authentification active. Les installations realisees entre 2018 et 2022 utilisent majoritairement des configurations par defaut (admin/admin). Les cameras PTZ exposees permettent un controle a distance complet : orientation, zoom, enregistrement.
Premier parc installe d'Afrique avec 22 300 appareils exposes. Lagos represente 61% du parc. Le secteur petrolier et les ports maritimes sont particulierement vulnerables. 56% des equipements sont accessibles sans mot de passe. Les NVR Hikvision DS-7600 et DS-7700, largement deployes, presentent des vulnerabilites critiques (CVE-2024-39944, CVSS 9.1) non corrigees.
Chaque marque presente des vulnerabilites specifiques. Cette section vous permet de comprendre les risques lies aux equipements que vous avez deja installes ou que vous envisagez de deployer.
Leader mondial de la videosurveillance, Hikvision equipe environ 38% du parc africain. Malgre des produits performants, 47 CVE critiques ont ete identifiees en 2024-2025. La vulnerabilite la plus grave (CVE-2024-39944, CVSS 9.1) permet une prise de controle totale via l'interface web, sans mot de passe. Le service cloud Hik-Connect, largement utilise par les installateurs, presente des risques supplementaires si les identifiants par defaut ne sont pas modifies.
Ce que cela signifie pour vous : Si vos cameras Hikvision n'ont pas ete mises a jour depuis plus de 6 mois, elles sont probablement vulnerables. Un attaquant peut voir vos images, couper l'enregistrement avant un cambriolage, ou penetrer votre reseau.
Deuxieme constructeur mondial, Dahua represente environ 35% du parc africain. 38 CVE critiques identifiees. La faille CVE-2024-45979 (CVSS 9.8) permet une execution de code a distance via un debordement de tampon sur les NVR serie 4xxx. Le logiciel SmartPSS, utilise pour la gestion centralisee, contient des identifiants codes en dur (CVE-2024-38856).
Ce que cela signifie pour vous : Les enregistreurs Dahua NVR4xxx, tres repandus en Afrique, sont les appareils les plus attaques au monde actuellement. Si vous en utilisez, la mise a jour du firmware est une urgence absolue.
Bosch se positionne sur le segment premium. Moins de CVE critiques (12) mais des vulnerabilites specifiques sur les cameras FLEXIDOME et DINION. La faille CVE-2024-37385 (CVSS 8.1) permet une injection de commandes via le protocole ONVIF. Le protocole SNMP, souvent active par defaut, expose des informations sensibles.
Ce que cela signifie pour vous : Meme les marques premium ne sont pas a l'abri. La securite ne depend pas uniquement du prix de l'equipement mais de sa configuration et de sa maintenance.
Axis, filiale de Canon, presente le meilleur profil de securite parmi les constructeurs majeurs. Cependant, la faille CVE-2024-34102 (CSRF sur l'interface web M-series) et des configurations ONVIF non securisees par defaut restent problematiques. La politique de mise a jour d'Axis est la plus reactive du marche, avec des correctifs publies sous 48h en moyenne.
En forte croissance en Afrique (prix agressifs), Uniview presente 15 CVE en 2024-25 dont CVE-2024-35290 (CVSS 9.4) permettant un controle total via l'API non authentifiee des NVR serie 302. Les equipements Uniview sont souvent deployes sans configuration de securite, avec les ports par defaut ouverts.
La premiere objection que nous entendons : « Si on securise tout, l'installateur ne pourra plus faire la maintenance a distance. » C'est faux. Voici comment nous concilions securite maximale et operabilite quotidienne.
Activer le 2FA et changer le mot de passe admin ne constitue pas une securisation. C'est un minimum vital, comparable a fermer la porte d'entree en laissant toutes les fenetres ouvertes. Voici ce que la plupart des installateurs et clients ignorent :
Resultat : Un installateur qui pense avoir securise son installation en activant le 2FA et en changeant le mot de passe laisse en realite 80% de la surface d'attaque exposee.
Les plateformes cloud comme Hik-Connect (Hikvision), DMSS/gDMSS (Dahua), Bosch Remote Portal ou EZCloud (Uniview) sont des outils essentiels pour les installateurs et les clients finaux. Nous ne les supprimons pas — nous les configurons correctement.
Activation de la verification en deux etapes, desactivation de l'UPnP automatique, changement du port par defaut (8000), activation du chiffrement de flux video, restriction des appareils autorises. L'installateur conserve l'acces complet via l'application Hik-Connect Pro et le client final via Hik-Connect sur mobile.
Configuration du relais P2P securise, desactivation de l'acces direct aux ports (37777), activation de l'alarme push chiffree, restriction de l'acces par appareil. L'application mobile gDMSS Plus du client final continue de fonctionner normalement avec toutes les fonctionnalites : live view, playback, push alarm, talk-back.
Activation du chiffrement bout-en-bout, configuration des roles et permissions granulaires, desactivation des protocoles legacy (HTTP, Telnet). Journalisation de chaque acces distant pour conformite reglementaire.
Nous ne coupons pas Internet. Nous mettons en place une segmentation VLAN qui isole le reseau video du reseau bureautique, tout en maintenant les acces cloud necessaires. L'installateur se connecte via un VPN dedie et travaille comme avant, mais de maniere securisee. Le schema est simple :
Un installateur qui travaille avec EALISON CTI ne perd rien — il gagne tout :
De nombreux decideurs et installateurs pensent que si leurs cameras sont sur un reseau « isole » ou « ferme », elles sont protegees. C'est l'une des erreurs les plus dangereuses et les plus repandues dans le secteur de la videosurveillance.
A chaque intervention de maintenance, le technicien connecte son ordinateur au reseau video pour configurer ou depanner. Si son PC est infecte (ce qui est frequent), le malware se propage instantanement sur le reseau « isole ». Les NVR et cameras n'ont aucun antivirus.
Les mises a jour de firmware se font souvent par cle USB. Une cle infectee injecte un firmware malveillant ou un ransomware directement dans l'equipement. Le NVR ne verifie pas l'integrite du fichier avant installation.
Dans 67% des installations auditees, nous trouvons au moins un cable reseau qui connecte physiquement le reseau video au reseau bureautique. Parfois un simple switch non gere partage entre les deux reseaux. L'isolation n'existe plus.
Un installateur branche un routeur 4G pour faire la configuration initiale a distance. Il oublie de le retirer, ou le client demande a le garder pour avoir l'application mobile. Ce routeur ouvre une porte directe depuis Internet vers le reseau « isole ».
Meme sans redirection de port, Hik-Connect et DMSS utilisent un tunnel P2P via les serveurs du constructeur. L'equipement initie lui-meme la connexion sortante. Votre camera « isolee » communique en permanence avec des serveurs en Chine, traversant votre firewall de maniere legitime.
Le protocole ONVIF utilise le multicast WS-Discovery pour annoncer les equipements sur le reseau. N'importe quel appareil connecte au meme segment reseau peut decouvrir et interagir avec les cameras, meme sans connaitre leurs adresses IP.
Des cas documentes montrent que des firmwares officiels ont ete compromis avant distribution. L'equipement arrive deja infecte. Un reseau isole ne protege pas contre une compromission qui vient de l'interieur de l'equipement lui-meme.
EALISON CTI est ne d'une expertise reconnue en cybersecurite des reseaux informatiques et telecoms. Nous securisons depuis des annees les systemes d'information de dizaines de TPE, PME, commercants, professions liberales et associations en France. Cette maitrise des reseaux, des protocoles et des menaces est exactement ce qui manque au secteur de la videosurveillance.
Quand un piratage est detecte ou qu'une faille est exploitee, la rapidite et la precision de la reponse font toute la difference. C'est notre specialite. Notre equipe dispose des profils techniques capables de :
Cabinet de 15 personnes paralyse par un ransomware. L'attaque a transite par un acces Bureau a distance (RDP) mal securise. Nous sommes intervenus en urgence : isolation du reseau, identification du vecteur, nettoyage des postes, restauration des sauvegardes, puis durcissement complet de l'infrastructure (VPN, MFA, segmentation, politique de mots de passe, formation des utilisateurs).
Audit de securite de l'ensemble du reseau informatique et telecom de 8 pharmacies. Decouverte de multiples failles : mots de passe partages, Wi-Fi ouvert, sauvegardes non chiffrees, postes non mis a jour. Securisation complete en 3 semaines : segmentation reseau, deploiement VPN inter-sites, politique de mots de passe, mise a jour des systemes, formation du personnel.
Le dirigeant decouvre que les cameras de son entrepot sont accessibles publiquement sur Internet. L'installateur d'origine avait utilise les identifiants par defaut et active le P2P sans securisation. En tant qu'experts reseaux, nous avons immediatement identifie les vecteurs d'exposition (ports ouverts, RTSP non authentifie, UPnP actif) et securise l'ensemble du parc en 24h. C'est cette intervention qui a confirme notre capacite a transposer notre expertise IT vers la videosurveillance.
Le directeur general a decouvert que les images de ses cameras de securite etaient accessibles publiquement sur un site de streaming. 78 flux video diffuses en direct. L'installation datait de 2020, identifiants par defaut, port 37777 ouvert. Le prestataire d'origine n'avait pas les competences pour diagnostiquer le probleme. Notre expertise reseau nous a permis d'intervenir a distance puis sur site pour securiser l'ensemble du parc.
La videosurveillance n'est pas un simple outil technique. Elle engage la responsabilite juridique de l'organisation qui la deploie. Voici les obligations que vous devez respecter selon votre secteur d'activite.
Les images de videosurveillance sont des donnees personnelles au sens du RGPD (Reglement General sur la Protection des Donnees) et des legislations africaines equivalentes (Loi 09-08 au Maroc, Loi 2008-12 au Senegal, Loi n°2013-450 en Cote d'Ivoire). Si vos cameras sont piratees et que les images de vos employes, clients ou visiteurs sont divulguees, vous etes juridiquement responsable.
| Secteur | Reglementation | Exigences videosurveillance | Risque |
|---|---|---|---|
| Banques & Finance | Bale III, PCI-DSS, BCEAO/BEAC, COBAC | Chiffrement flux video, segmentation reseau, journalisation acces, retention 90j min, audit annuel | Sanctions regulateur, retrait agrement, responsabilite du dirigeant |
| Assurances | Code CIMA, Solvabilite II | Continuite de service video, sauvegarde enregistrements, protection anti-manipulation images | Refus couverture sinistre, majoration primes |
| Gouvernement | Classifications defense, normes nationales | Equipements certifies, reseau isole physiquement, pas de cloud etranger, pentest annuel | Compromission securite nationale |
| Ambassades & ONG | Normes pays accreditation + pays hote | Double conformite, equipements agrees, audit prealable | Incident diplomatique, mise en danger |
| Energie & Mines | IEC 62443, normes OT/SCADA | Isolation complete reseau video, pas de convergence IT/OT, monitoring 24/7 | Arret production, sabotage industriel |
| Hotellerie | RGPD (clients UE), PCI-DSS | Protection vie privee, signalisation, duree conservation limitee | Poursuites judiciaires, reputation |
| Sante / Hopitaux | RGPD, HDS, normes sanitaires | Anonymisation zones sensibles, acces restreint aux enregistrements, audit CNIL/equivalent | Sanctions CNIL, perte confiance patients |
| Transport & Logistique | Normes ISPS (ports), OACI (aeroports) | Retention longue duree, anti-sabotage, redondance stockage | Fermeture site, responsabilite penale |
EALISON CTI propose un accompagnement tout au long du projet de videosurveillance, de la conception a la livraison :
Nous intervenons partout en Afrique, sur site ou a distance, pour les integrateurs qui veulent valoriser leur expertise et les clients finaux qui veulent securiser leurs installations.
Diagnostic complet de votre infrastructure : inventaire des equipements, scan des vulnerabilites, test des acces, verification des configurations. Rapport detaille avec score de risque par categorie.
Mise en conformite de chaque equipement selon les recommandations ANSSI et NIST. Configuration des acces, segmentation reseau, mise a jour firmwares, durcissement des services. Compatible avec le travail de l'installateur.
Delivrance d'un certificat de conformite EALISON CTI attestant le niveau de securite. Score global et par categorie. Suivi des CVE 12 mois. Re-evaluation annuelle. Document opposable pour appels d'offres.
En attendant un audit complet, voici les 5 actions prioritaires que tout responsable devrait mettre en oeuvre immediatement :
La cybersecurite des systemes de videosurveillance n'est plus un sujet technique reserve aux experts informatiques. C'est un enjeu strategique qui concerne directement la securite physique de vos locaux, la confidentialite de vos donnees, la conformite reglementaire de votre organisation et la confiance de vos partenaires.
Les chiffres presentes dans ce rapport ne sont pas theoriques. Ils sont le resultat d'analyses concretes menees sur des millions d'appareils a travers le monde, avec un focus specifique sur le continent africain ou nous intervenons quotidiennement.
La bonne nouvelle : les solutions existent, elles sont accessibles et elles sont compatibles avec le fonctionnement normal de votre installation. Vous n'avez pas besoin de tout remplacer. Vous avez besoin d'un accompagnement expert pour securiser ce qui est deja en place.
Comme nous l'avons demontre dans ce rapport : activer le 2FA et changer un mot de passe ne constitue pas une securisation. Un reseau « isole » n'est jamais veritablement isole. Les installateurs de bonne volonte ne disposent pas des competences cybersecurite pour traiter les 80% de surface d'attaque restante. C'est exactement la ou EALISON CTI intervient — sans bloquer le travail de personne, en rendant chaque installation plus professionnelle et plus valorisee.
Pour beneficier d'un diagnostic personnalise de votre infrastructure :
h.bel@ealison.fr
ealison.fr/cybershield
Intervention : Afrique de l'Ouest, Maghreb, Afrique Centrale et de l'Est