Une caméra de vidéoprotection n’est plus un équipement analogique isolé. C’est un objet connecté, intégré au réseau, qui génère des données, communique avec un VMS, s’administre à distance. C’est, à ce titre, un point d’entrée potentiel dans votre système d’information.

Les incidents se multiplient. Des caméras de surveillance détournées pour lancer des attaques DDoS. Des VMS non mis à jour exploités comme vecteurs d’intrusion. Des flux vidéo interceptés sur des réseaux insuffisamment segmentés. Ce ne sont plus des scénarios théoriques. Ce sont des modes opératoires documentés.

Ce que NIS2 change concrètement

La directive européenne NIS2, transposée en droit français, étend significativement le périmètre des entités soumises à des exigences de cybersécurité renforcées. Elle couvre désormais des secteurs qui ne se considéraient pas nécessairement comme des cibles : énergie, transports, eau, infrastructures numériques, secteur public.

Pour ces entités, NIS2 impose une approche de sécurité globale qui ne distingue plus les risques physiques des risques cyber. Les systèmes de vidéoprotection, dès lors qu’ils sont connectés — c’est-à-dire presque toujours — entrent dans ce périmètre.

Deux mondes, une seule architecture

Concevoir un système de sûreté physique sans intégrer dès l’origine ses dimensions cyber, c’est construire une forteresse avec une porte dérobée non surveillée.

Cela implique concrètement : une cyber-sécurisation native des équipements, une segmentation réseau pensée dès l’architecture, des protocoles de mise à jour et de maintenance sécurisés, une traçabilité des accès, et une capacité d’audit régulier du dispositif.

Ce n’est pas une couche de protection ajoutée après coup. C’est une condition de conception.

Dans les environnements où convergent sûreté physique et systèmes d’information critiques, la frontière entre une attaque cyber et une atteinte à la sûreté physique n’existe plus.