À une époque où les menaces de cybersécurité évoluent de jour en jour, la conception de produits sécurisés ne se limite pas à l'application de correctifs réactifs. Elle exige une approche proactive et systématique dès la conception. 

Pour moi, la sécurité des produits ne consiste pas à ajouter une couche de protection en fin de processus. Il s'agit de comprendre comment un système se comporte, comment il peut présenter des défaillances et comment il pourrait être utilisé à mauvais escient avant même de décider comment le concevoir. Dans nos solutions de vidéosurveillance et d'analyse de données, cela revêt une importance encore plus grande, car elles protègent des environnements sensibles, des données opérationnelles et des éléments de preuve sur lesquels nos clients comptent au quotidien. 

Mon rôle chez March Networks à la croisée de la sécurité des produits, de l'architecture et de la gestion pratique des risques. Je travaille en étroite collaboration avec nos équipes de R&D afin de m'assurer que les décisions en matière de sécurité sont non seulement techniquement fondées, mais aussi en adéquation avec la manière dont nos solutions sont déployées et utilisées dans la pratique. 

Au cours de l'année écoulée, March Networks associé à Security Pattern afin de mettre en place un processus complet de modélisation des menaces et d'analyse des risques. Cette collaboration nous a permis de faire évoluer notre approche de la sécurité : celle-ci n'est plus seulement une activité de contrôle, mais une véritable discipline d'ingénierie, intégrée directement dans la manière dont nous concevons et développons nos solutions de vidéosurveillance. 

Découvrez nos pratiques en matière de cybersécurité.

Qu'est-ce que la modélisation des menaces ? 

La modélisation des menaces est une méthodologie structurée qui permet d'identifier, d'évaluer et de hiérarchiser les menaces potentielles pour la sécurité dès les premières étapes du cycle de vie du développement d'un produit. Plutôt que de découvrir des vulnérabilités après le déploiement, moment où les correctifs s'avèrent coûteux et perturbateurs, la modélisation des menaces établit une base solide pour le développement de dispositifs sécurisés en identifiant les risques avant qu'ils ne se transforment en problèmes. 

« La conscience est notre boussole magnétique ; la raison, notre carte. » — Joseph Cook 

Cette citation résume parfaitement l'essence même de notre cadre de référence. Notre méthodologie de modélisation des menaces repose sur deux piliers complémentaires qui fonctionnent ensemble, à l'image de la conscience et de la raison : 

La boussole : identifier systématiquement les menaces grâce à STRIDE et à la CIA. Tout comme une conscience guide sans rien laisser passer, STRIDE (usurpation d’identité, altération, répudiation, divulgation d’informations, déni de service et élévation de privilèges) nous sert de boussole morale pour l’identification des menaces. Il garantit que nous abordons chaque système avec rigueur et exhaustivité, sans jamais négliger aucune catégorie de risque. En associant STRIDE à CIA (Confidentialité, Intégrité et Disponibilité), nous pouvons cartographier à la fois les menaces potentielles et les capacités de sécurité déjà présentes dans nos solutions. Ensemble, ces cadres offrent une vision exhaustive et consciencieuse grâce à laquelle aucune catégorie de menace n’échappe à notre examen. 

Boussole en laiton sur une carte ancienne symbolisant les recommandations en matière de modélisation des menaces de cybersécurité

 

Le tableau : des indicateurs servant de cadre rigoureux à l'évaluation des risques. Une fois les menaces identifiées, la raison prend le relais. Un ensemble bien défini d’indicateurs, mesurant à la fois l’impact et la faisabilité de chaque menace, fournit la carte de navigation qui guide nos décisions. Ces indicateurs permettent aux équipes de classer objectivement les risques, de hiérarchiser les contre-mesures et de suivre les progrès au fil du temps. Sans cette carte de notation structurée, l’identification des menaces laisserait à elle seule les équipes à la dérive ; les indicateurs transforment une liste de préoccupations en une feuille de route concrète et hiérarchisée pour les investissements en matière de sécurité. 

Carte de modélisation des menaces avec STRIDE, CIA, Compass et schéma du paysage des solutions 

La combinaison de ces deux éléments a été affinée grâce à la collaboration entre March Networks Security Pattern, qui a permis d’adapter des approches initialement conçues pour le développement de nouveaux produits afin de les appliquer également à l’analyse des solutions existantes. Ce double cadre a permis aux équipes de développement de concevoir de nouvelles fonctionnalités et de mettre en œuvre des contre-mesures appropriées, en les intégrant pleinement à l’architecture globale du système ; il s’est également révélé être un puissant moteur d’innovation en matière de sécurité. 

Pourquoi la modélisation des menaces est-elle importante ? 

Les approches traditionnelles en matière de sécurité considèrent souvent la cybersécurité comme un simple élément d’une liste de contrôle à traiter en fin de processus de développement. Cette attitude réactive conduit à négliger certaines fonctionnalités, à mettre en œuvre des solutions superflues et à créer des vulnérabilités dont la correction s’avère coûteuse. La modélisation des menaces renverse ce paradigme en faisant de la sécurité un principe de conception fondamental plutôt qu’un élément ajouté après coup. 

D'après mon expérience, l'intérêt de la modélisation des menaces ne réside pas uniquement dans la liste finale des menaces. Sa véritable valeur réside dans les échanges qu'elle suscite. Elle permet de réunir dès le début du projet les responsables produit, les architectes, les développeurs, les responsables de l'assurance qualité et les spécialistes de la sécurité autour d'une même table de discussion, suffisamment tôt pour influencer les décisions de conception. C'est là que naissent les améliorations significatives en matière de sécurité. 

En identifiant les menaces avant de mettre en œuvre des mesures de protection, les organisations peuvent : 

  • Réduire les coûts de développement en évitant les corrections coûteuses après le déploiement 
  • Améliorer la qualité des produits grâce à l'identification systématique des vulnérabilités 
  • Renforcer la confiance des clients grâce à des engagements concrets en matière de sécurité 
  • Assurer la conformité aux normes et réglementations du secteur en constante évolution 

Notre parcours : des améliorations tangibles en matière de sécurité 

Depuis la mise en œuvre de notre processus de modélisation des menaces avec Security Pattern, March Networks appliqué cette méthodologie à March Networks ses March Networks . Ce processus couvre les produits allant du logiciel Command Enterprise et de ses applications aux serveurs d'enregistrement Command et aux enregistreurs embarqués R6, y compris un modèle pour les périphériques de périphérie configurés sur les enregistreurs, tels que les caméras et les encodeurs. Les résultats parlent d'eux-mêmes. 

Amélioration progressive d'une version à l'autre 

Version MN.2025.0.0  

Mise en œuvre initiale, accompagnée d'une analyse approfondie des solutions existantes et de leurs fonctionnalités de sécurité déjà en place. 

  • 178 menaces identifiées et évaluées 
  • 46 fonctionnalités de sécurité mises en œuvre 
  • Couverture des menaces atteinte à 87 % 

Version MN.2025.1.0  

Affinements apportés à l'analyse et améliorations supplémentaires. 

  • 183 menaces identifiées (+5 nouvelles menaces analysées) 
  • 51 fonctionnalités de sécurité mises en œuvre (+5 nouvelles fonctionnalités) 
  • Couverture des menaces de 88 % (amélioration de 1 %) 
  • Principales nouveautés : intégration SIEM, options d'authentification HTTPS renforcées 

Version MN.2025.2.0 

Autres ajustements et améliorations. 

  • 184 menaces identifiées (+1 menace supplémentaire analysée) 
  • 52 fonctionnalités de sécurité mises en œuvre (+1 nouvelle fonctionnalité) 
  • Couverture des menaces de 89 % (amélioration de 1 %) 
  • Principales nouveautés : prise en charge de SNMPv3, intégration de CyberArk pour la rotation des identifiants 

Communiqué MN.2026.0.0  

Nouveaux ajustements et améliorations. 

  • 185 menaces identifiées (+1 menace supplémentaire analysée) 
  • 53 fonctionnalités de sécurité mises en œuvre (+1 nouvelle fonctionnalité) 
  • Couverture des menaces de 89 % (amélioration de 1 %) 
  • Principales nouveautés : ajout de recommandations relatives aux meilleures pratiques 

Ce que les chiffres signifient vraiment 

L'augmentation du nombre de menaces identifiées — de 178 à 185 — n'est pas le signe d'une augmentation des vulnérabilités. Elle témoigne au contraire de notre engagement en faveur d'une amélioration continue et d'une analyse plus approfondie de la sécurité. À mesure que nos équipes maîtrisent mieux la modélisation des menaces, nous cherchons à identifier de nouveaux risques potentiels qui n’auraient peut-être pas été pris en compte lors des précédents bilans de sécurité, ou qui sont liés à de nouveaux cas de figure marginaux issus des demandes des clients ou de la mise en œuvre de nouvelles fonctionnalités. 

Parallèlement, nos capacités en matière de sécurité sont passées de 46 à 53, ce qui nous permet de répondre directement aux menaces que nous avons identifiées. Plus important encore, le niveau global de risque associé à ces menaces a diminué, un nombre croissant d’entre elles étant désormais classées dans les catégories « très faible » et « faible » à mesure que nous mettons en œuvre des contre-mesures ciblées. Cela démontre que nous ne nous contentons pas d’identifier les problèmes, mais que nous les résolvons de manière systématique. 

L'amélioration constante de la couverture des menaces, qui passe de 87 % à 89 %, témoigne de notre engagement continu en faveur d'une sécurité globale. Chaque point de pourcentage correspond à des améliorations concrètes en matière de sécurité qui protègent les infrastructures critiques de nos clients. 

Découvrez notre approche en matière de cybersécurité. 

La sécurité dès la conception : un engagement permanent 

La « sécurité dès la conception » n’est pas un simple slogan. Ce qui rend notre approche véritablement efficace, c’est de reconnaître que la modélisation des menaces n’est pas un exercice ponctuel, mais un processus continu intégré à notre cycle de développement. À chaque nouvelle version, nous : 

  • Affiner nos modèles de menaces en fonction des nouvelles connaissances et de l'évolution du paysage des menaces 
  • Mettre en œuvre de nouvelles fonctionnalités de sécurité pour faire face aux risques identifiés 
  • Valider les contrôles existants afin de garantir leur efficacité continue 
  • Partager les responsabilités avec les clients grâce à des consignes opérationnelles claires 

Cette approche itérative incarne véritablement le principe de « sécurité dès la conception », selon lequel les considérations de sécurité orientent les choix architecturaux dès les premières étapes du développement. 

Pour March Networks, cela revêt une importance particulière, car nos solutions fonctionnent souvent dans des environnements complexes, allant des systèmes d'entreprise aux terminaux périphériques, et des déploiements sur site aux architectures cloud. 

Améliorations concrètes en matière de sécurité 

Notre processus de modélisation des menaces a permis d'apporter des améliorations concrètes en matière de sécurité à l'ensemble de notre gamme de produits. Notamment : 

  • Mécanismes d'authentification renforcés qui empêchent les attaques par énumération des utilisateurs 
  • Intégration SIEM pour la surveillance de la sécurité à l'échelle de l'entreprise 
  • Prise en charge de SNMPv3 pour un provisionnement réseau sécurisé 
  • Intégration de CyberArk pour la rotation automatisée des identifiants 
  • Chiffrement de bout en bout pour les flux multimédias 
  • Contrôle d'accès basé sur les rôles avec authentification multifactorielle 
  • Mises à jour du micrologiciel signées pour empêcher toute altération 

Chaque fonctionnalité répond directement à des menaces spécifiques identifiées grâce à notre analyse systématique, garantissant ainsi que les investissements en matière de sécurité offrent une valeur maximale. 

Perspectives d'avenir 

Notre collaboration avec Security Pattern a démontré que la modélisation systématique des menaces n'est pas seulement un simple exercice de mise en conformité, mais constitue un véritable avantage concurrentiel. En identifiant et en traitant les risques de sécurité dès le début, nous proposons des produits plus sûrs, réduisons les coûts de développement et renforçons la confiance de nos clients. 

Alors que les cybermenaces ne cessent d’évoluer, notre engagement en faveur d’une « sécurité dès la conception » garantit que les solutions March Networksrestent résilientes, fiables et prêtes à protéger les actifs critiques de nos clients. Nous ne nous contentons pas de réagir aux menaces d’aujourd’hui, nous anticipons les défis de demain. 

À propos de cette collaboration 

March Networks Security Pattern ont conclu un partenariat afin d'apporter une expertise de premier plan en matière de modélisation des menaces aux solutions de vidéosurveillance et d'analyse intégrée des données. Cette collaboration associe l'expertise approfondie March Networksdans ce domaine aux méthodologies éprouvées de Security Pattern afin de garantir une sécurité optimale tout au long du cycle de vie des produits. 

Pour les entreprises qui souhaitent renforcer leur niveau de sécurité grâce à une modélisation systématique des menaces, March Networks Security Pattern proposent toutes deux des conseils, des formations et des services de conseil afin de vous aider à intégrer la sécurité dans vos produits dès leur conception. 

 

Vincenzo Bono est conseiller principal en sécurité des produits et technologies chez March Networks, où il contribue depuis plus de 20 ans à définir l’architecture logicielle, la stratégie produit et les innovations axées sur la sécurité de l’entreprise. Fort d’une expertise approfondie en vidéo sur IP, en conception de systèmes et en gestion des risques liés à la cybersécurité, il travaille en étroite collaboration avec des équipes pluridisciplinaires afin de proposer des solutions sécurisées et évolutives à des clients du monde entier. 

À propos de March Networks 

March Networks® est un leader mondial des solutions vidéo intelligentes, aidant les grandes entreprises et les PME à transformer la vidéo en informations exploitables. Forts de plus de 25 ans d’expérience, nous accompagnons plus de 1 700 établissements financiers, plus de 670 enseignes de distribution et plus de 735 marques commerciales et industrielles. Nos technologies cloud associent la vidéosurveillance à l’analyse par IA, aux points de vente (POS), à l’Internet des objets (IoT) et à l’intégration des distributeurs automatiques de billets (DAB) afin d’améliorer la sécurité, l’efficacité et l’expérience client. Forts d’un réseau mondial de partenaires certifiés, nous accompagnons nos clients dans plus de 75 pays grâce à des solutions flexibles, évolutives et basées sur une plateforme ouverte. Basée à Ottawa, au Canada, et détenue par Delta, leader mondial de la gestion de l’énergie et de la thermique, March Networks au sein du groupe Smart Security Solutions de Delta Intelligent Building Technologies. Elle est un partenaire de confiance et un acteur innovant dans le domaine de la vidéosurveillance cloud et alimentée par l’IA.   

March Networks le March Networks sont des marques déposées de Delta Intelligent Building Technologies (International) Corporation. 

Pour rester informé des March Networks et des nouveautés de March Networks , abonnez-vous à notreblog sur la vidéo IP intelligenteet restez connecté en suivant March Networks LinkedIn. 

 

À propos de Security Pattern 

Modèle de sécurité aide les concepteurs d'appareils connectés intelligents à concevoir, mettre en œuvre et exploiter leurs systèmes avec un niveau de sécurité durable. 

Nous nous concentrons sur le système, qu'il s'agisse d'un appareil unique, d'un équipement composé de plusieurs appareils interconnectés ou d'un écosystème comprenant des appareils embarqués, des applications mobiles et cloud . 

Nous sommes convaincus qu'une sécurité efficace repose sur une combinaison adéquate de matériel, de logiciels et de processus opérationnels. Forts d'une expertise éprouvée en cryptographie, en cybersécurité et en systèmes embarqués, nous aidons les fabricants d'appareils à atteindre leurs objectifs en matière de sécurité et de développement commercial grâce à : 

  • Conseil en cybersécurité : Nos projets sont axés sur l'examen des exigences relatives aux produits et aux processus, ainsi qu'à ces deux aspects. Il s'agit notamment de la modélisation des menaces et de l'évaluation des risques, de l'analyse des écarts, des tests d'intrusion et de la conformité aux normes RED/CRA.
  • Formation en entreprise : Modules de formation sur la cybersécurité des systèmes embarqués, dispensés sur site ou à distance 
  • Plateforme ARIANNA : Gestion des vulnérabilités pour les fabricants d'appareils