LAN dedie, VLAN segmente, air-gap physique : ces architectures reduisent la surface d attaque Internet mais n eliminent pas les risques. 12 vecteurs d attaque documentes, des dizaines d incidents reels, des references MITRE ATT&CK et NIST.
Ces croyances creent un faux sentiment de securite chez les integrateurs et clients finaux. Chacune est dementie par des incidents documentes.
Un air-gap reduit la surface d attaque Internet mais n elimine PAS les risques. Stuxnet a compromis des centrifugeuses iraniennes air-gappees via USB en 2010. Depuis, des dizaines de malwares ciblent specifiquement les reseaux deconnectes (Agent.BTZ, Raspberry Robin, USBStealer).
MITRE ATT&CK T1091 - Replication Through Removable Media →Une camera IP est un ordinateur Linux embarque avec processeur ARM, OS temps reel, services reseau actifs (HTTP, RTSP, ONVIF, Telnet). Elle stocke des credentials, execute du code, et sert de pivot pour attaquer d autres equipements du meme segment reseau.
OWASP IoT Top 10 →Un VLAN est une segmentation logique, pas physique. Trunk ports non securises, native VLAN par defaut, absence d ACL inter-VLAN : un attaquant realise un saut de VLAN (802.1Q double tagging) en quelques secondes avec un outil comme Yersinia.
MITRE ATT&CK T1599.001 - Network Boundary Bridging →C est l inverse. Sans mises a jour, les vulnerabilites s accumulent indefiniment. Un firmware Hikvision de 2019 contient des dizaines de CVE exploitables localement. L absence de patching transforme chaque appareil en surface d attaque permanente.
CISA Known Exploited Vulnerabilities Catalog →Le prestataire utilise souvent les memes credentials par defaut sur tous ses clients. Son laptop peut etre infecte. Sa cle USB de maintenance peut transporter un malware. La confiance aveugle dans le prestataire est un des plus grands risques pour les reseaux isoles.
NIST SP 800-82 - Guide to ICS Security →Des backdoors ont ete decouvertes dans le firmware d usine de cameras Dahua et Hikvision : comptes admin caches, services de debug actifs, bibliotheques open-source avec CVE non patches. Un equipement neuf peut etre compromis avant son installation.
NVD - CVE-2017-7921 Hikvision Backdoor →Chaque vecteur est documente avec des cas reels, des references MITRE ATT&CK et des recommandations NIST/ANSSI.
Articles, rapports et advisories de reference sur la securite des reseaux isoles et de la videosurveillance.
Aucune architecture n offre une protection totale sans mesures de securite complementaires.
| Architecture | Physique | Supply chain | Insider | Lateral | USB | Firmware | Global |
|---|
Meme sans Internet, ces mesures sont indispensables pour securiser un parc de videosurveillance.
Nos experts evaluent la securite de votre infrastructure de videosurveillance, meme hors-ligne. Audit physique, pentest, analyse firmware, certification NIST/ISO 27001.
Nos experts auditent votre architecture de videosurveillance et identifient les vecteurs d attaque specifiques a votre installation.