Une installation prête à fonctionner, mais impossible à exploiter

Sur le terrain, il arrive qu’un système de vidéosurveillance soit considéré comme terminé : les caméras sont posées, le réseau fonctionne, les serveurs enregistrent, les postes clients sont en place et les essais techniques semblent concluants.

Pourtant, au moment de la mise en service réelle, un blocage majeur peut apparaître : l’impossibilité de se connecter aux équipements avec les droits administrateur.

Le problème ne vient alors ni de la caméra, ni du serveur, ni du logiciel de supervision. Il vient de la gouvernance des accès. Un compte créé plusieurs mois auparavant, une adresse e-mail personnelle utilisée pour la récupération du mot de passe, une documentation incomplète ou un identifiant modifié sans traçabilité suffisent à rendre un système entier difficilement exploitable.

Dans ce type de situation, l’installation existe physiquement. Mais l’organisation ne possède plus réellement les clés nécessaires pour l’administrer, la maintenir ou la faire évoluer.

Un problème plus fréquent qu’il n’y paraît

La gestion des accès administrateur est souvent traitée comme un détail de fin de projet. Elle devrait pourtant faire partie des fondamentaux de toute installation de vidéoprotection.

Lors d’audits techniques, de missions d’assistance à maîtrise d’ouvrage ou de reprises d’installations existantes, plusieurs situations reviennent régulièrement :

• des comptes administrateur créés avec des adresses e-mail personnelles ;
• des mots de passe stockés sur papier, dans un fichier non sécurisé ou dans une documentation obsolète ;
• des identifiants dispersés entre l’installateur, le mainteneur, le service sûreté et le service informatique ;
• des comptes génériques utilisés par plusieurs intervenants ;
• des comptes actifs appartenant à d’anciens collaborateurs ;
• une absence de procédure claire pour créer, modifier, supprimer ou transmettre les accès.

Ces dysfonctionnements ne sont pas toujours visibles au quotidien. Ils apparaissent lors d’un incident, d’une migration, d’une extension, d’un changement de mainteneur ou d’une urgence opérationnelle.

Qui est réellement propriétaire du système ?

Lorsqu’une collectivité, un site industriel, une plateforme logistique ou un centre commercial investit dans une infrastructure de vidéosurveillance, elle considère naturellement être propriétaire de son système.

Mais cette propriété doit être vérifiée concrètement. Posséder les caméras, les serveurs et les licences ne suffit pas si les accès administrateur sont maîtrisés par un tiers, un ancien prestataire ou une personne physique qui n’est plus en poste.

La bonne question n’est donc pas seulement : « le système fonctionne-t-il ? ». Elle est aussi : « l’organisation est-elle capable de l’administrer, de le sécuriser et de le maintenir sans dépendance excessive ? ».

Sans réponse claire, les conséquences peuvent être importantes :

• retard de mise en service ;
• coûts supplémentaires de réinitialisation ou de reprise de configuration ;
• impossibilité d’intervenir rapidement en cas d’incident ;
• dépendance forte à un prestataire ou à une personne unique ;
• perte de traçabilité sur les actions réalisées ;
• augmentation du risque cyber.

La cybersécurité commence par la maîtrise des accès

En vidéosurveillance, la cybersécurité est souvent associée aux pare-feux, aux VLAN, aux VPN, aux certificats, aux mises à jour logicielles ou au cloisonnement réseau. Ces sujets sont essentiels, mais ils ne remplacent pas une règle de base : savoir précisément qui dispose des droits d’administration.

Un système dont les accès sont mal connus, partagés ou rattachés à des adresses personnelles constitue déjà une vulnérabilité. Même si l’architecture réseau est correcte, l’absence de gouvernance des comptes affaiblit l’ensemble du dispositif.

La maîtrise des accès doit permettre de répondre simplement à plusieurs questions :

• qui possède les droits administrateur sur les caméras, les serveurs, le VMS et les postes clients ?
• les comptes sont-ils individuels, nominatifs et rattachés à l’organisation ?
• les mots de passe sont-ils stockés dans un coffre-fort numérique sécurisé ?
• les comptes des anciens intervenants ont-ils été supprimés ou désactivés ?
• les accès du mainteneur sont-ils encadrés, documentés et réversibles ?
• les actions sensibles sont-elles journalisées ?

Une installation performante doit rester exploitable dans le temps

Un système de vidéosurveillance ne se juge pas uniquement au moment de sa réception. Il doit rester exploitable pendant plusieurs années, malgré les changements d’équipes, de prestataires, de logiciels, de versions et de besoins opérationnels.

C’est pourquoi la gestion des accès doit être intégrée dès la conception du projet, au même titre que le dimensionnement du stockage, la qualité réseau, les angles de vue ou les performances des caméras.

Un système réellement maîtrisé repose sur une organisation claire :

• des rôles définis entre sûreté, DSI, exploitants, mainteneur et direction ;
• des comptes administrateur limités, sécurisés et documentés ;
• des comptes utilisateurs adaptés aux usages réels ;
• une procédure de transmission des accès en fin de chantier ;
• un DOE complet incluant les éléments d’administration utiles ;
• des contrôles périodiques des comptes actifs et des droits associés.

Le rôle d’ACT’IV dans la fiabilisation des accès et de l’exploitation

ACT’IV accompagne les maîtres d’ouvrage dans la conception, l’audit et la fiabilisation de systèmes de vidéosurveillance avec une approche indépendante et orientée exploitation réelle.

Sur ce type de sujet, l’enjeu n’est pas seulement de vérifier qu’une caméra affiche une image. Il s’agit de s’assurer que l’ensemble du système est administrable, documenté, maintenable, sécurisé et compréhensible par les équipes qui devront l’exploiter.

Dans le cadre d’une mission d’audit, d’AMO ou de MOE, ACT’IV peut notamment analyser :

• la structure des comptes et des droits utilisateurs ;
• la cohérence entre les accès techniques, les usages métiers et les responsabilités internes ;
• la documentation remise en fin de projet ;
• les dépendances vis-à-vis des installateurs ou mainteneurs ;
• les risques liés aux comptes génériques, personnels ou non maîtrisés ;
• les procédures nécessaires pour sécuriser la vie du système.

Cette approche permet de passer d’une installation simplement fonctionnelle à un système réellement gouverné, exploitable et durable.

Bonnes pratiques pour reprendre la maîtrise de vos accès administrateur

La sécurisation des accès ne nécessite pas toujours des mesures complexes. Elle repose d’abord sur de la méthode, de la traçabilité et une répartition claire des responsabilités.

Plusieurs actions simples peuvent fortement réduire les risques :

• utiliser uniquement des adresses e-mail professionnelles ou génériques maîtrisées par l’organisation ;
• proscrire les comptes administrateur partagés sans traçabilité ;
• centraliser les mots de passe dans un coffre-fort numérique sécurisé ;
• mettre en place une procédure formelle de remise des accès en fin de chantier ;
• supprimer ou désactiver les comptes inutiles ;
• réaliser des revues périodiques des droits ;
• intégrer la gestion des accès dans le DOE et dans les procédures d’exploitation.

Ces mesures peuvent sembler basiques. Pourtant, elles évitent de nombreux blocages opérationnels et renforcent directement le niveau de sécurité du système.

Conclusion

La vidéosurveillance ne se résume pas aux caméras, aux serveurs et aux logiciels. Elle repose aussi sur la qualité de son organisation, de sa documentation et de sa gouvernance.

Un système peut être techniquement opérationnel tout en étant difficile, voire impossible, à exploiter si les accès administrateur ne sont pas maîtrisés.

Avant de renforcer une architecture réseau ou d’ajouter de nouvelles fonctionnalités, une question simple mérite d’être posée : savez-vous réellement qui possède aujourd’hui les clés de votre système de vidéosurveillance ?