Entreprises, pourquoi et comment protéger votre flotte automobile
Les cybercriminels sont créatifs. Pour paralyser les entreprises, ils peuvent s'attaquer aux véhicules d'une société, qu'elle œuvre dans le transport ou non.
Avec l'arrivée de voitures et de camions de plus en plus modernes, les gestionnaires de flottes de véhicules doivent désormais ajouter une nouvelle spécialisation à leur arc, la cybersécurité. Avant d'entrer dans le détail, il faut comprendre que la menace n'est pas la même si l'entreprise est dans le secteur du transport ou non.
Dans une entreprise hors secteur du transport, la flotte automobile pourra être visée, d'après Mathieu Robert, director consulting chez Quarkslab, pour les raisons suivantes : "Il peut y avoir la motivation de l'espionnage avec le dépôt d'un malware via une interface de connectivité qui récupère les données des collaborateurs de l'entreprise : carnet d'adresses du téléphone connecté en Bluetooth, journal d'appels, géolocalisation, images des caméras de bord, interception audio via le microphone… Les conséquences dépendront de l'exploitation des données récupérées et de sa finalité, comme pour toute attaque de cette nature. La cyberattaque peut aussi avoir pour objectif de créer un accident, ce qui est désormais possible comme l'ont démontré les travaux de recherche sur la Jeep Cheerokee de Chris Valasek et Charlie Miller à Black Hat 2015, portant sur l'attaque des systèmes d'aide à la conduite pour provoquer des accidents."
La menace est donc importante pour les entreprises "classiques" disposant d'une flotte automobile, mais elle est encore plus élevée pour les sociétés opérant dans le secteur de la location et celui du transport. Pour les agences de location, le danger vient du fait qu'elles utilisent des solutions technologiques qui permettent de verrouiller ou déverrouiller les voitures de leur parc à distance. C'est ce que nous explique Julien Marec, head of cybersecurity and certifications chez Continental : "Potentiellement, des hackers pourraient bloquer l'ensemble des véhicules à distance et ainsi paralyser l'agence de location de voitures." Matthieu Bonnet, cloud lead solution architect chez Continental, ajoute : "Les cybercriminels peuvent aussi faire le choix d'ouvrir les automobiles pour les voler et/ou dérober les objets stockés à l'intérieur. Ils peuvent aussi brouiller la position GPS des voitures pour les perturber et ainsi créer un potentiel accident."
Les camions étant encore plus connectés que les automobiles, le secteur des transports n'est pas en reste en termes de risque cyber, estime Julien Marec : "Les camions ont dix ans d'avance sur les voitures." Mathieu Bonnet ajoute : "De nombreux systèmes sont testés sur les camions avant d'être déployés auprès des particuliers. Par exemple, le système de platooning ou de peloton en français. Il a pour objectif de regrouper les camions en convoi, avec un camion leader des camions suiveurs semi-autonomes, le leader ayant un pilote les autres le suivant via GPS. Si jamais des cybercriminels arrivaient à rompre le lien GPS, cela pourrait créer un accident. De plus actuellement, on peut ouvrir un camion à distance pour en voler la cargaison." Julien Marec renchérit : "Il y a aussi la question des checks. Toutes les deux heures, les conducteurs doivent effectuer un check pour valider ou non l'activation du camion. Potentiellement, des cybercriminels pourraient bloquer ce checking et ainsi immobiliser les camions d'une société."
Face à ces menaces, comment les entreprises doivent-elles réagir ? Tout d'abord, il faut ouvrir un budget dédié à la défense de sa flotte automobile. Pour une entreprise classique et une flotte moyenne, cela coûtera une centaine de milliers d'euros par an, qui seront dépensés auprès d'un provider qui s'occupera de la protection de la flotte. Pour une entreprise classique et une flotte moyenne, cela coûtera une centaine de milliers d'euros pas an, qui seront dépensés auprès d'un provider qui s'occupera de la protection de la flotte. Pour le cas du transport, ce sera également une centaine de milliers d'euros pas an pour l'achat d'une licence de protection pour les camions. Souvent ce coût est déjà intégré lors de l'acquisition des camions. Voilà pour les dépenses à prévoir, mais comment protéger concrètement sa flotte ?
Concernant l'achat des véhicules, la règle est assez simple. Les modèles haut de gamme seront mieux protégés que les entrées de gamme. Après l'achat, vient la problématique de la recherche d'un provider pour sécuriser sa flotte. Pour trouver les meilleures solutions, il ne faut pas hésiter à allier RSSI et gestionnaire de flotte, l'un étant expert en matière de cybersécurité et l'autre expert dans le domaine de la gestion automobile. Ensemble, ils pourront lancer un appel d'offres qui prendra en compte les aspects cybersécurité et automobile. Une fois cet appel d'offres rendu public, des prestataires y répondront. Mais comment les sélectionner ? Ces prestataires peuvent passer des certifications qui valident leur niveau. Plus un provider aura de certifications, meilleure sera le service. Donc renseignez-vous sur les certifications, et surtout prenez en compte celles qui seront le plus utiles pour votre secteur. Etes-vous dans l'obligation de vous doter d'un prestataire ? Rien ne vous y oblige légalement, mais c'est une prise de risque, à vous de faire le choix.
Outre la recherche de provider, il faudra aussi sensibiliser vos employés à la problématique de protection de la flotte automobile. Il faudra leur expliquer comment les voitures peuvent être piratées. Et ainsi les amener à acquérir les bons réflexes, à faire attention aux objets connectés au Bluetooth, à s'assurer qu'ils sont bien sécurisés pour éviter de faire entrer un malware dans la voiture. Et il faudra aussi leur apprendre à bien réagir si un objet inconnu tente de se connecter au réseau du camion ou de la voiture. Et bien sûr il faudra leur parler du social engineering et du risque qu'il peut créer.