Ce type de faille est documenté, connu, et pourtant récurrent. Il révèle un angle mort fréquent : les interfaces d’échange de données — les API — sont développées pour fonctionner, rarement conçues pour résister. Sur le portail ANTS, l’API permettait à n’importe quel utilisateur authentifié d’interroger les données d’un autre, simplement en changeant un paramètre. Aucune vérification que la donnée demandée appartient bien à celui qui la demande.

Dans un système de vidéoprotection connecté, les mêmes questions se posent concrètement : les API d’accès aux flux vidéo vérifient-elles l’identité et les droits de chaque requête ? Les accès distants au VMS sont-ils authentifiés avec des mécanismes robustes — certificats, MFA ? Les logs d’accès sont-ils conservés et auditables ? Les segments réseau entre caméras, serveur VMS et postes opérateurs sont-ils correctement isolés ?

Ce ne sont pas des questions théoriques. Ce sont précisément ces mécanismes — API mal contrôlées, défaut de segmentation, absence de traçabilité — que l’ANSSI retrouve le plus souvent dans les incidents réels.

C’est parce que la donnée est au cœur de la valeur opérationnelle d’un système de sûreté que Komanche a conçu K-Safe avec le chiffrement natif des flux vidéo en AES-256, l’authentification mutuelle par certificats X.509, et la traçabilité complète des accès — non comme des options, mais comme des conditions de fonctionnement.