Cybersécurité des caméras IP en PME : les failles courantes et comment les corriger

Pourquoi les caméras IP sont devenues une cible prioritaire pour les cyberattaquants

Pendant longtemps, les systèmes de vidéosurveillance vivaient dans leur propre bulle. Les caméras analogiques étaient raccordées à un enregistreur DVR local, sans aucune connexion à internet. Personne ne pensait à les "pirater" — elles n'étaient tout simplement pas accessibles depuis l'extérieur. L'arrivée massive des caméras IP a tout changé. Ces équipements sont aujourd'hui de véritables ordinateurs embarqués : ils tournent sous un système d'exploitation Linux allégé, disposent d'une interface web, d'un accès RTSP, parfois d'un stockage en cloud, et s'intègrent dans le même réseau que vos postes de travail, votre serveur de fichiers et votre messagerie professionnelle.

C'est précisément cette convergence qui pose problème. Une caméra compromise n'est pas seulement une caméra compromise : c'est un point d'entrée sur l'ensemble du réseau local de votre entreprise. Des groupes cybercriminels exploitent massivement les caméras IP pour plusieurs raisons :

• Elles sont souvent déployées par des installateurs dont la compétence principale est électrique ou mécanique, pas informatique.
• Elles sont rarement intégrées dans les politiques de sécurité informatique des PME, qui se concentrent sur les PC et les serveurs.
• Leurs firmwares sont mis à jour beaucoup moins fréquemment que les autres équipements réseau.
• Elles sont conçues pour être accessibles à distance — ce qui, mal configuré, signifie accessibles par n'importe qui.

Le moteur de recherche Shodan, souvent surnommé "le Google des objets connectés", indexe en permanence les équipements exposés sur internet. En quelques secondes, il est possible d'y trouver des caméras Hikvision, Dahua ou d'autres marques avec leurs interfaces d'administration ouvertes, leurs flux vidéo accessibles, parfois avec les identifiants par défaut toujours actifs. Ce n'est pas de la science-fiction : c'est une réalité documentée par l'ENISA (Agence de l'Union européenne pour la cybersécurité) dans plusieurs de ses rapports annuels sur les menaces liées aux objets connectés.

Pour les PME parisiennes, le contexte est particulièrement exposé. La densité d'entreprises, la multiplicité des prestataires IT et des installateurs de sécurité, et la pression constante sur les budgets font que la cybersécurité des caméras est souvent le parent pauvre des politiques de sécurité informatique. Résultat : nous intervenons régulièrement en urgence après des incidents qui auraient pu être évités avec quelques heures de configuration préventive.

Les failles les plus fréquentes dans les installations de PME parisiennes

Après des dizaines d'audits réalisés sur des sites professionnels en Île-de-France — commerces du 11ème arrondissement, cabinets médicaux du Val-de-Marne, PME industrielles de Seine-Saint-Denis — un même catalogue de vulnérabilités revient systématiquement. En voici les principales, avec leur niveau de criticité.

Les identifiants d'usine toujours actifs

C'est la faille numéro un, et de loin la plus répandue. Lors d'une installation réalisée il y a dix-huit mois dans une société de négoce du 19ème arrondissement de Paris, nous avons découvert que les seize caméras Hikvision déployées par le prestataire précédent fonctionnaient toutes avec le couple identifiant/mot de passe admin/12345 — l'un des mots de passe par défaut les plus courants sur les équipements de la marque. L'interface web de l'enregistreur NVR était accessible depuis internet, sans restriction d'IP, sans VPN. N'importe qui connaissant l'adresse IP publique de l'entreprise pouvait consulter les flux vidéo en temps réel.

Ce cas n'est malheureusement pas isolé. Les identifiants par défaut des principaux fabricants sont publiquement documentés. Les outils d'attaque automatisés les testent en quelques secondes sur les équipements exposés.

L'absence de segmentation réseau (VLAN)

Dans la grande majorité des PME que nous auditons, les caméras IP sont sur le même réseau local que les postes de travail, les serveurs et les imprimantes. C'est une erreur d'architecture fondamentale. Si une caméra est compromise, l'attaquant se retrouve directement dans le réseau de l'entreprise, avec une visibilité sur tous les équipements qui y sont connectés.

La bonne pratique consiste à isoler les caméras dans un VLAN dédié (Virtual Local Area Network), sans accès direct aux autres segments du réseau. Les communications entre le VLAN vidéosurveillance et le reste du SI doivent être filtrées par un pare-feu avec des règles strictes. Cette configuration n'est pas plus complexe à mettre en œuvre, mais elle change radicalement le niveau de risque.

Les firmwares obsolètes et les ports ouverts inutilement

Les fabricants comme Hikvision et Dahua publient régulièrement des mises à jour firmware qui corrigent des vulnérabilités de sécurité. Certaines d'entre elles sont critiques : la faille CVE-2021-36260, découverte sur des centaines de modèles Hikvision en 2021, permettait à un attaquant distant d'exécuter du code arbitraire sur la caméra sans aucune authentification. Des millions d'équipements dans le monde étaient concernés. Pourtant, des années après la publication du correctif, de nombreuses caméras tournent encore avec des firmwares vulnérables.

Autre problème fréquent : l'ouverture de ports inutiles sur les équipements et sur les box/routeurs d'entreprise. Le port 80 (HTTP), le port 554 (RTSP) ou le port 8000 (protocole propriétaire Hikvision) sont souvent redirigés vers l'internet public alors que seul un accès VPN serait nécessaire et suffisant.

Le chiffrement absent ou mal configuré

Les flux vidéo circulent en clair sur de nombreuses installations : pas de HTTPS sur l'interface d'administration, pas de chiffrement du flux RTSP, communication entre les caméras et le NVR non chiffrée. Sur un réseau local, cela permet à n'importe quel équipement compromis d'intercepter les flux vidéo par simple écoute passive (sniffing). Sur un réseau étendu ou une connexion internet, c'est encore plus critique.

L'absence de gestion des accès et des logs

Qui a accès à votre système de vidéosurveillance ? Dans beaucoup de PME, la réponse honnête est : "je ne sais pas exactement". Un ancien prestataire, un employé qui a quitté l'entreprise, un technicien de maintenance qui n'a jamais supprimé son compte… Les accès non révoqués constituent une surface d'attaque silencieuse. De même, l'absence de journalisation des connexions rend impossible toute détection d'intrusion a posteriori.

Comment sécuriser concrètement votre infrastructure de vidéosurveillance

La bonne nouvelle, c'est que la grande majorité de ces failles se corrigent sans remplacement de matériel. Il s'agit essentiellement de configuration — ce qui signifie qu'un technicien qualifié peut sécuriser une installation existante en quelques heures de travail. Voici la méthodologie que nous appliquons systématiquement lors de nos interventions de mise en conformité.

Changer tous les identifiants par défaut, sans exception

C'est la première action à mener, avant même toute autre considération. Chaque caméra, chaque NVR, chaque switch PoE manageable doit disposer d'un mot de passe fort et unique — au minimum 12 caractères, mêlant majuscules, minuscules, chiffres et caractères spéciaux. Ce mot de passe doit être stocké dans un gestionnaire de mots de passe sécurisé (Bitwarden, Keepass), jamais dans un fichier Excel ou un post-it collé sur l'enregistreur.

Sur les équipements Hikvision récents, le firmware impose désormais la création d'un mot de passe fort lors de la première activation — ce qui était loin d'être le cas sur les générations précédentes. Sur les équipements Dahua, la politique de sécurité par défaut a également évolué dans ce sens depuis 2020, mais les anciens modèles déployés avant cette date méritent une vérification systématique.

Mettre en place une architecture VLAN pour la vidéosurveillance

La segmentation réseau est le levier le plus efficace pour contenir les conséquences d'une compromission. Concrètement, cela implique :

• La création d'un VLAN dédié (par exemple VLAN 20) sur le switch manageable, regroupant toutes les caméras et le NVR.
• La configuration des règles de pare-feu pour interdire tout trafic initié depuis le VLAN vidéosurveillance vers le reste du réseau (LAN bureautique, serveurs…).
• La mise en place d'un accès distant exclusivement via VPN — ce qui supprime le besoin d'ouvrir des ports sur le routeur internet.

Un switch PoE manageable de gamme professionnelle — un Hikvision DS-3E0528HP-E ou un équivalent — est souvent déjà en place dans les installations récentes. La configuration VLAN ne nécessite pas de matériel supplémentaire, seulement une intervention sur le paramétrage.

Mettre à jour les firmwares et désactiver les services inutiles

La mise à jour firmware doit devenir un réflexe annuel, au minimum. Hikvision et Dahua publient leurs mises à jour sur leurs portails officiels, avec des notes de version détaillant les correctifs de sécurité. Sur les installations que nous maintenons, nous intégrons cette vérification dans notre contrat de maintenance préventive.

Parallèlement, plusieurs services activés par défaut sur les caméras IP doivent être désactivés s'ils ne sont pas utilisés :

• Telnet et SSH : accès en ligne de commande, rarement nécessaire pour un usage standard.
• UPnP : protocole qui peut ouvrir automatiquement des ports sur votre routeur à l'insu de l'administrateur.
• Accès HTTP non chiffré : remplacer par HTTPS avec un certificat valide.
• Comptes invités ou de démonstration : à supprimer systématiquement.

Activer le chiffrement des flux et des communications

Les NVR Hikvision et Dahua des gammes professionnelles supportent le chiffrement TLS pour les communications entre les caméras et l'enregistreur, ainsi que pour l'accès à l'interface web. Cette fonctionnalité est disponible mais rarement activée par défaut. De même, les flux RTSP peuvent être encapsulés dans un tunnel chiffré via RTSPS. Ces configurations ne dégradent pas les performances de manière perceptible sur du matériel récent.

Auditer les accès et activer la journalisation

Une revue des comptes utilisateurs doit être réalisée au minimum une fois par an : suppression des comptes inactifs, vérification des niveaux de droits (un technicien de maintenance n'a pas besoin des droits administrateur), activation des journaux de connexion avec une durée de rétention d'au moins 90 jours. En cas d'incident, ces logs sont souvent la seule source d'information disponible pour comprendre ce qui s'est passé.

Conformité RGPD et responsabilités légales liées à la vidéosurveillance en entreprise

La cybersécurité des caméras IP ne se résume pas à une question technique : elle a des implications juridiques directes pour les dirigeants de PME. En France, la vidéosurveillance en entreprise est encadrée par plusieurs textes qui créent des obligations concrètes en matière de protection des données.

Les obligations issues du RGPD

Les enregistrements vidéo constituent des données personnelles au sens du Règlement Général sur la Protection des Données (RGPD). À ce titre, l'entreprise qui exploite un système de vidéosurveillance est responsable de traitement et doit notamment :

• Inscrire le traitement au registre des activités de traitement (article 30 du RGPD).
• Définir et respecter une durée de conservation des enregistrements (en général 30 jours maximum dans un contexte professionnel standard, sauf circonstances particulières).
• Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données — ce qui englobe directement la cybersécurité de l'infrastructure.
• Informer les personnes filmées (salariés, visiteurs) via un affichage réglementaire visible.

En cas de violation de données — si un pirate accède à vos flux vidéo ou exfiltre vos enregistrements — vous avez l'obligation de notifier la CNIL dans les 72 heures suivant la découverte de l'incident (article 33 du RGPD). Les sanctions en cas de manquement peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros. La CNIL a publié des recommandations spécifiques sur la vidéosurveillance et la protection des données qui font référence en la matière.

Le cadre légal de la vidéosurveillance sur la voie publique et les espaces accessibles au public

Si vos caméras filment la voie publique ou des espaces accessibles au public (entrée d'immeuble, parking ouvert…), une autorisation préfectorale est obligatoire en vertu de la loi du 21 janvier 1995 et de ses décrets d'application, codifiés dans le Code de la sécurité intérieure. L'absence d'autorisation expose à des sanctions pénales. Pour les caméras installées exclusivement à l'intérieur de locaux professionnels non ouverts au public, cette autorisation n'est pas requise — mais les obligations RGPD s'appliquent intégralement.

Pour aller plus loin sur le cadre réglementaire, les textes de référence sont disponibles sur Légifrance. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) publie également des guides pratiques sur la sécurisation des équipements IoT industriels et professionnels, directement applicables aux systèmes de vidéosurveillance IP.

Conclusion

Les caméras IP sont passées en quelques années du statut d'équipement de sécurité physique à celui de vecteur potentiel d'attaque informatique. Pour les PME parisiennes, les conséquences d'une installation mal sécurisée peuvent être graves : intrusion dans le réseau d'entreprise, violation de données personnelles, sanctions RGPD, ou simplement espionnage discret de l'activité interne. Les failles les plus courantes — identifiants par défaut, absence de VLAN, firmwares obsolètes, ports ouverts — sont toutes corrigeables sans remplacement de matériel. L'essentiel est de prendre le sujet au sérieux et de confier cette mise en conformité à un installateur qui maîtrise à la fois les aspects physiques et réseau de votre infrastructure de vidéosurveillance.

FAQ — Questions fréquentes sur la cybersécurité des caméras IP en PME