Aucun concessionnaire, garage ou manufacturier du secteur automobile n’est aujourd’hui à l’abri de cyberattaques. Voici donc nos meilleurs conseils pour sécuriser ces précieuses données professionnelles.
L’actualité fait sans cesse mention de cyberattaques menées à petite comme à grande échelle. En 2021 seulement, nos gouvernements, nos hôpitaux, nos universités, ainsi que des entreprises canadiennes comme Molson Coors et Bombardier ont été victimes d’attaques majeures.
Mais ces exemples médiatisés ne constituent qu’une infime fraction des agressions menées contre des sociétés, la cible favorite des cybercriminels. Dans les faits, une cyberattaque a lieu toutes les 39 secondes à travers le monde, ce qui équivaut à plus de 2240 attaques par jour. Selon une étude de la Fédération des chambres de commerce du Québec menée avec la firme Aviseo Conseil et paru en octobre 2021, 41 % des entreprises québécoises ont été ou pensent avoir été la cible d’une ou de plusieurs cyberattaques, et 87% des chefs d’entreprises se disent préoccupés par les cybermenaces.
De manière encore plus alarmante, une étude menée par TELUS avec IDC auprès de centaines d’entreprises canadiennes privées et publiques de plus de 50 employés a indiqué qu’au cours de l’année 2020, 83% des organisations ont dû faire face à des tentatives de rançongiciels… et que 84% d’entre elles n’ont pas réussi à s’en protéger.
Impacts des cyberattaques sur les entreprises, Étude sur la cybersécurité de la FCCQ, 2021
L’automobile, un secteur visé par les cyberattaques
En raison de la concentration importante de données qu’elles gèrent quotidiennement, que ce soient des coordonnées de clients ou de fournisseurs, ou bien des informations financières et légales, les entreprises du secteur automobile sont des cibles de choix pour des cybercriminels.
Une situation encore plus complexifiée si un concessionnaire ou un garage travaillent en réseau avec d’autres, ou bien s’ils ont implémenté des services totalement virtuels qui multiplient les accès potentiels aux données en raison de la prolifération des outils de connexion (ordinateurs personnels, tablettes et cellulaires).
Dans l’étude de la FCCQ, on dénote ainsi que les tentatives de vol d’informations sensibles, d’espionnage, de sabotage, de dégradation de l’image, de vol d’identité et de propriétés intellectuelles, ou encore de fraude coûtent des sommes faramineuses aux entreprises. Dans le secteur manufacturier, chaque attaque de type rançongiciel coûte effectivement en moyenne 4,2 millions de dollars US, et elle s’élève à 3,8 millions de dollars US dans celui du transport et de la logistique. Et ces pertes financières s’accompagnent de ruptures de service, d’une perte de confiance des clients et d’une atteinte importante à la réputation des sociétés qui en sont victimes.
De plus, aussi imposantes soient-elles de prime abord, aucune entreprise automobile n’est à l’abri. Par exemple, en 2017, Renault-Nissan a subi une cyberattaque qui a mis à l’arrêt sa production dans cinq usines à travers le monde, ce qui lui a occasionné des pertes estimées à plusieurs milliards de dollars US.
Quelles sont les données sensibles en jeu ?
Les entreprises du secteur automobile manipulent une grande quantité de données monnayables au marché noir. Quelles sont-elles ? De manière générale, elles correspondent à des informations ayant une valeur économique et stratégique que l’on ne veut pas voir volées, altérées ou supprimées. Elles concernent des personnes (employés, partenaires, fournisseurs, clients), les métiers (secrets de fabrication, propriété intellectuelle, plans de production, etc.), l’organisation (gouvernance, documents stratégiques, etc.), les finances (trésorerie, budgets, contrats, rémunérations, etc.) et le volet légal (conformité, statuts, etc.)
5 méthodes pour sécuriser des données sensibles
1. Sécuriser les lieux physiques
Comme on l’a vu avec des scandales comme celui du Mouvement Desjardins et, plus récemment encore, des faux passeports sanitaires, les failles humaines peuvent s’avérer dévastatrices. Il est donc essentiel de sécuriser au maximum les salles, serveurs et postes de travail qui contiennent les données les plus sensibles de son entreprise. Ce qui passe par du gardiennage, des accès limités et nominatifs, des digicodes, ainsi que des changements de mots de passe dès qu’un employé quitte la société. Les ordinateurs sensibles doivent quant à eux se désactiver automatiquement après quelques minutes d’inactivité, être verrouillés dès que la personne qui l’utilise s’absente, et idéalement être exempts de moyens de téléchargement physique (port USB, SD) ou de paramètres pouvant permettre de copier des fichiers.
2. Mettre en place une politique rigoureuse de comptes et de mots de passe
Il est recommandé d’attribuer à chaque employé un compte utilisateur nominatif, plutôt que les regrouper dans des indicatifs de fonction (comme compta1, dév10, etc.) en s’assurant de faire adopter une politique rigoureuse de mot de passe pour chaque accès personnalisé, qu’il s’agisse du poste de travail du bureau, ou bien de l’ordinateur, de la tablette ou du cellulaire personnels de l’employé. Ce mot de passe, à renouveler aux trois mois, doit être difficile à deviner, demeurer totalement confidentiel et invisible sur tous les types de supports informatiques. Les experts conseillent aussi aux entreprises d’exiger des mots de passe d’au moins huit caractères mêlant lettres, chiffres et caractères spéciaux.
3. Sécuriser le réseau
Des dispositifs de sécurité existent déjà sur le marché pour assurer un premier niveau de protection contre les virus et les logiciels espions au sein d’une entreprise : sonde anti-intrusions, routeurs filtrants, pare-feu, etc., doivent permettre d’assurer du réseau local d’une entreprise. Pour contrer des attaques plus insidieuses comme des rançongiciels, l’expert de chez Telus Affaires recommandait aussi trois filets de sécurité successifs : un pour les équipements et les points d’entrée des réseaux informatiques, un second pour la détection des utilisateurs afin de vérifier les endroits et les heures de connexion, et un troisième reposant sur le tri automatisé des courriels. La messagerie électronique des salariés doit d’ailleurs faire l’objet d’une vigilance toute particulière, car elle est souvent la porte d’entrée à de possibles actes malveillants. Les connexions entre les différents sites d’une même société, peuvent donc idéalement s’opérer au moyen de liaisons privées ou de VPN (réseau privé virtuel). De la même manière, ceux réalisés par Internet nécessitent des mesures de sécurité fortes comme HTTPS, l’utilisation de protocoles IPsec, ou bien SSL/TLS.
4. Crypter et stocker les données
Selon plusieurs experts, toute communication comprenant des renseignements personnels ou sensibles devrait être chiffrée pour que son contenu soit protégé, en prenant soin de ne stocker aucune clé de chiffrement sur des serveurs, car elles peuvent être déverrouillées. Ces mêmes serveurs, quant à eux, peuvent être stockés dans une pièce distincte (ou encore mieux, dans un coffre ignifugé), en plus d’un hébergeur extérieur. Attention également aux supports nomades, qui doivent régulièrement être vérifiés par un professionnel en sécurité numérique, et à ceux en fin de vie, dont il faut détruire les disques durs avant de les recycler.
5. Sensibiliser le personnel
Des erreurs humaines sont souvent à l’origine de piratages en tous genres. Comme l’indique Martin Bélanger, l’expert en cybersécurité de Telus Affaires, « La plupart des erreurs commises par les victimes sont involontaires, par manque de discernement ou de temps. Tout le monde peut se faire avoir, même ceux qui croient qu’ils ne peuvent pas être bernés. » Par précaution et pour les impliquer dans leur politique de sécurité, les gestionnaires peuvent donc formaliser une charte informatique pour généraliser les bonnes pratiques dans leur équipe. Ils peuvent aussi les sensibiliser grâce à des formations continues, la diffusion de notes de service, ou bien l’envoi périodique de fiches pratiques.
Pour d’autres informations pratiques sur la sécurité des entreprises, n’hésitez pas à consulter la section Blogue d’Auto-jobs !