Cyber-sécurisation d'une solution de protection périmétrique

Nous avons pris commande ce mois-ci d'une prestation de maintenance d'un important site sensible au cours de laquelle une migration sera effectuée sur version cyber-sécurisée. Disponible jusqu'en fin 2020 sur Cent-OS, la solution cyber-sécurisée de Jaguar répond aux critères de sécurité RENFORCEE de l'ANNSI (https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/). Suite aux évolutions de politique de Cent-OS, EVITECH propose désormais cette solution cyber-sécurisée sur les OS Ubunutu 18.04 et Ubuntu 20.04.

Ces critères correspondent à des dispositions à prendre en compte dans la fourniture des matériels support de la solution d'analyse d'images visant à réduire au strict minimum l'exposition de l'OS à des attaques extérieures, particulièrement en supprimant et en fermant tous les points d'accès non utilisés, en protégeant les points d'accès nécessaires, et en prenant les dispositions pertinentes pour une Rotationintégration dans un SI et un réseau sécurisé, par exemple au niveau des certificats. Les dispositions de cyber-sécurisation s'intègrent en effet dans un ensemble qui doit faire la preuve de sa sécurisation, à la fois au niveau de chaque équipement, mais aussi sur l'ensemble de la chaîne, des caméras jusqu'au VMS et à l'hypervision, en passant par les switches et par l'enregistrement vidéo.

Doté de plusieurs serveurs actifs et d'une fonction de redondance, opérant sur un serveur de secours qui assure la surveillance des serveurs actifs et qui peut prendre le relais d'un des serveurs en panne, l'installation sur sur ce type de sites doit être mise à jour de façon progressive, sans interruption du service, grâce à un serveur supplémentaire qui permet la rotation des serveurs. Un lot de caméras traité par un serveur N est mis à jour sur le serveur de remplacement cyber-sécurisé N+1, puis le serveur N assurant précédemment la sécurisation dudit lot de caméras est arrêté et remplacé aussitôt par N+1, et ce serveur N est alors arrêté et réinstallé pour devenir le serveur N+2 cyber-sécurisé. Cette gymnastique complexe permet la continuité de la surveillance du site pendant l'opération. La rotation se termine avec la mise à jour du serveur de redondance lui-même.