L’expression « attaque cybernétique » vous glace-t-elle le dos ? Avez-vous déjà dû guérir votre équipement d’un virus informatique ou croyez-vous que les voitures autonomes tomberont sous le contrôle de terroristes machiavéliques ?
Rassurez-vous, sans investir des centaines d’heures de travail ou une somme d’argent faramineuse, vous disposez déjà des ressources qui protègeront votre système des pirates. AutoMédia a rencontré Jim Foote, spécialiste de la sécurité chez CDK Global* afin de rappeler que la sécurité informatique repose sur des bases que tous peuvent établir.
Les concessionnaires automobiles sont aujourd’hui considérés comme des institutions financières – au même titre que les banques – puisqu’ils gèrent une grande quantité de données confidentielles ou sensibles provenant de leur clientèle.
En sécurité informatique, la collaboration entre le concessionnaire et les fournisseurs jumelée à de bons processus d’affaires de la part des employés sont garants d’une protection sûre.
Qu’est-ce qu’il y a de plus précieux chez un concessionnaire ?
En fait, un concessionnaire possède deux choses de valeur : sa réputation et ses données. Si une catastrophe détruit complètement la concession mais que ces deux choses sont sécurisées, l’entreprise demeure saine et sauve.
Quelles seraient les bonnes habitudes à inculquer à toutes les personnes qui manipulent des données sensibles ?
Parfois, les mesures les plus simples sont les plus importantes :
- Ne pas utiliser de dispositifs externes (comme une clé USB) pour entrer ou sortir des données
- Être vigilant et connaître la source de tous les courriels avant de les ouvrir
- Changer les mots de passe régulièrement (à tous les mois)
- Effectuer les mises à jour
- Toujours penser sécurité lors de l’utilisation de mobiles (téléphones, tablettes, etc.)
91 % des problèmes de sécurité proviennent d’erreurs humaines.
Il faut également penser au haut taux de rotation du personnel et bien protéger les données dans les situations de départ ou de congédiement afin d’éviter qu’un ex-employé ne puisse copier les données de ses clients. Sans oublier les employés du département de service dont le coffre à outils d’aujourd’hui comprend un ordinateur portable !
32% : taux de rotation du personnel dans l’industrie automobile.
Quels sont les comportements à risques ?
Encore ici, des ajustements de base permettent de mieux sécuriser les systèmes. À ne pas faire :
- Ne pas changer de mot de passe régulièrement
- Réutiliser le même identifiant ou mot de passe
- Laisser son ordinateur sans surveillance
(source : Ponemon Institude)
- Utiliser son adresse courriel professionnelle lorsque l’on fait des recherches personnelles (restaurants, hôtels, etc.), que l’on consulte des blogues ou pour toute autre activité non reliée au travail
(source : Le facteur humain dans la protection des données, Ponemon)
- Partager son mot de passe ou son identifiant
2 000 000 de mots de passe ont été volés et rendus publiques lors d’une attaque (source : CNN).
Quelles sont les premières personnes à consulter pour établir un plan de sécurité pour un concessionnaire ?
- Identifier un champion de la sécurité parmi ses employés
- Établir une relation avec un consultant en sécurité
- Consulter son avocat
Quelles seraient les premières étapes à l’élaboration d’un protocole de sécurité ?
- Identifier toutes les sources de données (voir Tableau)
- Identifier toutes les méthodes et les sites d’archivage (Nuage, site externe, etc.).
- Vérifier les accès (administration des rôles)
- Dans le cas de partage d’information avec une tierce partie : ont-ils un plan d’urgence et sommes-nous responsables en cas d’attaques et de vols de données ?
Quelle serait l’étape suivante ?
- Bien documenter les systèmes et les procédures et en informer tout le personnel
- Établir un plan d’urgence en cas d’intrusion
- Conduire des tests d’intrusion
- Consulter une firme spécialisée pour l’analyse de tout le système et la mise en place de systèmes plus sophistiqués au besoin (cryptages, pare-feu, etc.).
12 millions$ en amende ordonnée par la Federal Trade Commission aux États-Unis après une intrusion. La cause : manque de formation de ses employés sur les processus de partages d’information.
Quelles sont les plus grandes menaces pour les concessionnaires ?
Je dois dire que l’industrie automobile a été chanceuse ! En premier lieu, les pirates ont ciblé les commerces au détail et les hôtels, suivis des hôpitaux et des entreprises médicales.
Aujourd’hui, les attaques d’hameçonnage (phishing) via les courriels et l’infection des systèmes représentent l’essentiel des modes d’intrusion.
91% des attaques cybernétiques sont déclenchés par des courriels d’hameçonnage (source : Verizon Étude sur le coût des crimes cybernétiques).
Selon un rapport de Verizon, 2011 a été le théâtre de la deuxième perte de données en importance depuis 2004. À ce moment, 79 % des concessionnaires étaient des cibles dont on connaissait les faiblesses et les infiltrations de personnes ayant un accès privilégié ne représentaient que 5 %.
L’Université CDK est maintenant ouverte. Quel type de formation offrez-vous à vos employés ?
Il s’agit d’une formation continue avec de courts modules offerts en ligne de 10 à 15 minutes par mois. Nous préférons tenir nos employés toujours au courant des dernières nouvelles plutôt que de donner des séminaires plus longs dont l’information peut être oubliée ou vite obsolète.
Cette formation est offerte à nos 9 000 employés en 34 langues à travers le monde. Les modules seront offerts gratuitement à tous nos clients au début de l’été 2016.
Si vous aviez un seul souhait, lequel serait-il ?
Que les pirates ne ciblent plus les personnes vulnérables qui n’ont pas beaucoup de ressources !
*CDK Global offre des solutions informatiques intégrées pour concessionnaires automobiles à plus de 285 clients au Québec (au Canada, 1250 clients et 300 employés) et possède au total plus de 620 000 clients dans 125 pays.
