En cas de cyberattaque, point de salut sans une réponse coordonnée

Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

• L’édito: “En cas de cyberattaque, point de salut sans une réponse coordonnée” par Frédéric Simottel

Pour les abonnés payants:

• Études: Près d’un tiers des acteurs de l’Operation Technology indiquent avoir subi au moins 6 intrusions au cours de l'année écoulée.

• La Tribune: “JO Paris 2024 entre cybermenaces et tourisme : quand la cyberdéfense devient la nouvelle épreuve reine”

• A ne pas manquer sur le web: Des risques graves d’une cyberattaque dans les hôpitaux.

Tout a démarré le 19 juin. En quelques heures, les systèmes de 15 000 concessions automobiles nord-américaines ont été bloqués par une attaque par ransomware. La première alerte a eu lieu le matin, forçant certains garagistes à travailler en mode dégradé quand d‘autres ont carrément mis à l’arrêt leur système pour éviter la propagation de l’attaque. Une deuxième panne est intervenue quelques heures plus tard, obligeant cette fois-ci l’ensemble de ces professionnels à tout couper. L’incident a touché 60% des concessionnaires Audi et 50% des concessionnaires Volskwagen aux Etats Unis. L’inquiétude a rapidement gagné tout le secteur automobile nord-américain, la plateforme logicielle touchée fournie par l’éditeur CDK Global génère en effet 2,6% du produit intérieur brut des Etats Unis. Et comme souvent, les règles de base ont été négligées.

En cas de cyberattaque, point de salut sans une réponse coordonnée

15 000 concessionnaires automobiles américains dans la panade ! presque 3% du PIB de Etats Unis impacté ! Les pirates s’en sont pris au logiciel CDK Global, utilisé par ces garagistes pour des opérations de vente de détail, de gestion des dossiers clients, pour la prise de rendez-vous, le traitement des ordres de réparation, des transactions etc. Incapable de restaurer dans les délais -plusieurs centaines de concessions sont encore hors service à l’heure actuelle-, de nombreux garagistes s’en sont remis aux bonnes vieilles méthodes manuelles : papier et stylos.       

Les médias se sont rapidement emparés du sujet. S’attaquer au secteur automobile aux Etats Unis est aussi grave que s’en prendre aux banques. Comme aux plus belles heures du Far West, lorsque les condamnés à mort étaient principalement les braqueurs de banques et les voleurs de chevaux… Rappelez-vous également la cyberattaque du 7 mai 2021 sur Colonial Pipeline, qui avait bloqué l’approvisionnement en essence d’une grande partie du sud est américain. Cette attaque avait été vécue comme un drame national aux Etats Unis. On ne plaisante pas avec la voiture aux Etats Unis. 

Une préparation aux crises défaillante

Et même si l’incident est tout frais, cela n’empêche pas d’en tirer les premières leçons. Ainsi, qu’apprend-on de la deuxième panne qui est survenue l’après-midi, au moment même où les équipes de CDK Global lançait les étapes de restauration de services des premiers serveurs touchés le matin même. Visiblement, ces derniers ont agi un peu vite et n'ont pas assez investiguer sur l’étendue de la brèche. Il aurait fallu prendre le temps de descendre en profondeur pour analyser chaque contour de la faille. En redémarrant trop vite, ils ont augmenté les risques d’exposition cyber de leurs clients. Un expert externe appelé sur les lieux a confirmé qu’aucun audit sérieux n’avait été entrepris pour sonder notamment tous les VPN toujours actifs. Autant de vulnérabilités importantes qui ont mis en lumière l’importance de l’entraînement et de la préparation aux situations de crise, pour les équipes IT mais également pour les collaborateurs. 

Insistons encore et toujours sur la formation et la sensibilisation des employés. Ils doivent être aptes à reconnaître les tentatives de phishing et autres tactiques utilisées par les attaquants. CDK a ainsi mis en garde contre les acteurs malveillants se faisant passer pour des collaborateurs de l’éditeur afin d’obtenir un accès non autorisé. Une sensibilisation régulière et des simulations de phishing peuvent aider à renforcer la vigilance des employés

Une absence cruelle de communication

Dans ces situations, il faut aussi être efficace dans la réponse à apporter aux clients et aux collaborateurs. Elle doit être graduée, argumentée et rassurante. Plusieurs concessionnaires ont ainsi exprimé leur frustration quant au manque de communication de CDK ; indiquant qu’ils avaient dû renvoyer leurs employés chez eux sans aucune explication à leur fournir. Une communication claire et transparente avec les clients est également essentielle en cas de cyberattaque. Les experts recommandent de maintenir les clients informés des développements et des mesures prises pour résoudre l'incident​. Même si le danger est bien réel, la transparence créé la confiance et évite la panique et la colère.

Des oublis dans l’architecture technique

Parmi les autres enseignements de cette attaque toujours en cours, de nombreux experts soulignent l'importance de mettre en place plusieurs couches de sécurité pour protéger les systèmes critiques. Une stratégie de cybersécurité robuste qui inclut des pare-feu, des systèmes de détection d'intrusion, et des solutions de sécurité des endpoints est cruciale pour prévenir les accès non autorisés. D’autres pointent les carences dans la gestion des droits d’accès et notamment sur les appareils connectés aux réseaux sensibles. CDK Global a conseillé à ses clients de déconnecter les VPN toujours actifs et de revoir les privilèges administratifs pour éviter que les attaquants ne puissent exploiter ces accès pour pénétrer plus profondément dans les réseaux internes des concessions.

Cette affaire nous rappelle enfin l’importance de disposer de plans de continuité. Même rudimentaires (papier et stylos sont ressortis des tiroirs), ces processus aident les entreprises à continuer à fonctionner même en cas de panne des systèmes principaux. 

Ces discussions et réflexions mettent en lumière les défis et les stratégies nécessaires pour renforcer la résilience face aux cyberattaques, en soulignant l'importance d'une préparation proactive et d'une réponse coordonnée en cas d'incident.

...