Élaboration d'un ensemble d'exigences de base en matière de cybersécurité pour les caméras de surveillance.

Ce document recommande l'application des exigences techniques de sécurité réseau de base aux dispositifs de caméras de surveillance utilisant des protocoles réseau (ci-après dénommés « dispositifs de caméra »). Pour les exigences techniques de sécurité réseau de niveau supérieur, les organisations et les particuliers sont invités à les examiner et à prendre une décision en fonction de leurs caractéristiques spécifiques et de leurs besoins pratiques.

Par conséquent, les caméras de surveillance doivent être accompagnées d'un manuel d'utilisation. Afin de garantir la sécurité des données des utilisateurs, elles doivent également intégrer des fonctionnalités de gestion de l'authentification, notamment la prévention des attaques par force brute et la gestion sécurisée des mots de passe.

Plus précisément, la caméra doit disposer de fonctionnalités d'administration système permettant de modifier la durée de verrouillage, le nombre de tentatives de connexion infructueuses et la durée entre deux tentatives infructueuses consécutives. Elle ne doit fournir aux utilisateurs que des informations sur les connexions réussies ou échouées, sans révéler d'autres détails susceptibles d'être utilisés pour des attaques par force brute. Elle doit également intégrer un système de gestion des mots de passe sécurisé, différent pour chaque caméra, et permettre l'authentification de plusieurs types d'entités, comme des utilisateurs ou des appareils.

L'interface de l'appareil photo permet la connexion et la gestion via un réseau ; son interface physique permet d'accéder à ses fonctions via un réseau ; son port physique ou son interface sans fil permet la communication avec l'appareil photo via une connexion physique. Exemples : port Ethernet, port USB, Wi-Fi…

Le dispositif caméra et l'application d'interaction utilisateur disposent d'une option de délai d'expiration qui permet à l'application de se déconnecter automatiquement après un certain laps de temps et crée une clé de session sécurisée.

L'état de fonctionnement de l'appareil photo comprend les paramètres, options et fonctions initialisés et configurés selon les valeurs par défaut du fabricant. Ce mode est activé immédiatement après l'installation et la première mise en marche de l'appareil.

Le matériel photographique et les services associés doivent au moins disposer des fonctionnalités permettant la mise en place et la configuration du traitement, du stockage et de l'exploitation des données au Vietnam (par exemple sur des cartes mémoire/périphériques externes, des services de cloud computing situés au Vietnam, etc.) afin de garantir la conformité avec la loi vietnamienne sur la protection des données personnelles.

Lors de l'initialisation, de la configuration et de l'installation de l'appareil, il doit exister une interface informant l'utilisateur du lieu (pays) où les données collectées par l'appareil photo et les services associés sont stockées et traitées.

Parallèlement, elle intègre une fonction permettant de supprimer les données collectées et stockées sur l'appareil photo. Elle notifie également l'utilisateur en cas de succès ou d'échec de la suppression des données. De plus, elle exige une confirmation de l'utilisateur avant de procéder à la suppression.

Le dispositif de caméra doit posséder les caractéristiques suivantes : valider les données d’entrée saisies par l’utilisateur ou via une interface de programmation ; empêcher le traitement des données d’entrée qui enfreignent les conditions de filtrage prédéfinies par le fabricant ; valider les données afin de prévenir les attaques contre l’interface du dispositif.

Dans le cas où l'appareil devrait redémarrer en raison d'une erreur (à l'exclusion des erreurs matérielles), son fonctionnement normal au prochain démarrage est garanti.

Thao Anh - Portail d'information électronique du ministère de l'Information et des Communications