Publié le 2024-02-29 10:00:00. Les entreprises de transport routier sont de plus en plus ciblées par des cyberattaques, et la modernisation de leurs systèmes informatiques est devenue une nécessité pour garantir la sécurité de leurs données et la continuité de leurs activités.
- Les logiciels traditionnels sur site sont vulnérables aux attaques de ransomware et nécessitent une refonte coûteuse.
- La préparation à une attaque, incluant l’authentification multifacteur et la surveillance des comptes, est essentielle.
- Le délai de réaction face aux cyberattaques se réduit drastiquement avec l’essor de l’intelligence artificielle.
De nombreuses entreprises de transport routier continuent de s’appuyer sur des logiciels traditionnels installés localement, une pratique de plus en plus risquée face à la sophistication croissante des cybermenaces. Ces systèmes, autrefois considérés comme sûrs, présentent désormais des failles de sécurité importantes, notamment en matière de protection contre les ransomwares.
Bob Sommer, fondateur de DeuxSommers, une entreprise spécialisée dans les systèmes de gestion du transport (TMS) basés sur le cloud pour le transport de marchandises en vrac, souligne la nécessité d’une mise à niveau urgente. Il explique que les logiciels traditionnels, bien que dotés de mécanismes de sécurité via des interfaces de programmation applicative (API), ne permettent pas d’identifier précisément l’utilisateur qui effectue une requête. De nombreux systèmes existants autorisent toute personne authentifiée à accéder aux API, ouvrant ainsi une brèche potentielle pour les pirates.
« Beaucoup de ces technologies héritées s’arrêtent au niveau de l’authentification. Une fois qu’elles ont dépassé ce niveau et qu’elles commencent à exécuter les API, elles n’ont plus la capacité de surveiller ou de protéger en profondeur le processus. »
Bob Sommer, fondateur de DeuxSommers
DeuxSommers a été conçu pour attribuer une identité unique à chaque utilisateur jusqu’à la base de données, limitant ainsi les dégâts en cas d’attaque. Un pirate informatique ne pourrait alors accéder qu’aux informations auxquelles l’utilisateur compromis avait accès.
Pour une protection optimale, Sommer insiste sur la mise en place de plusieurs niveaux de sécurité : authentification multifacteur, accès aux API restreint aux utilisateurs autorisés et surveillance constante des comptes pour détecter toute activité suspecte. Ces mesures constituent la première étape d’un plan de réponse aux incidents.
Art Ocain, vice-président de la cybersécurité et de la réponse aux incidents chez Airiam, met en garde contre l’importance de la préparation. Il souligne que cette préparation ne se limite pas à l’acquisition d’outils, mais implique également leur configuration et l’élaboration de plans de réponse aux incidents et de continuité des activités, comme il l’a souligné lors d’une récente conférence de la National Motor Freight Traffic Association sur la cybersécurité. Cette conférence a mis en évidence la nécessité d’une défense collective contre les cyberattaques.
« Tout le monde devrait être en phase de préparation chaque fois que vous ne combattez pas activement un incident. Beaucoup de gens n’y pensent pas vraiment. Ils se disent simplement : “D’accord, nous ne sommes pas impliqués dans un incident. Nous ne sommes pas en feu. Nous n’avons pas besoin de faire quelque chose maintenant.” L’acteur menaçant continue d’essayer d’attaquer tout le monde à tout moment ; ils ne font pas de pause. »
Art Ocain, vice-président d’Airiam pour la cybersécurité et la réponse aux incidents
Ben Wilkens, ingénieur en cybersécurité au NMFTA, explique que la réponse à un incident se déroule en plusieurs étapes : préparation, analyse de la détection, confinement, éradication et rétablissement. Il insiste sur l’importance de construire ces couches de protection, même si elles ne garantissent pas une sécurité absolue.
Lacunes dans la réponse aux incidents
Ocain identifie deux lacunes majeures : le manque de préparation et les difficultés de détection. Il constate que de nombreux professionnels de l’informatique dans le secteur du transport routier ne sont pas suffisamment préparés à la chasse aux menaces et que l’achat d’outils ne suffit pas sans l’embauche ou le recours à des analystes en cybersécurité. Il recommande de sous-traiter la détection et la réponse gérées ou de faire appel à un centre d’opérations de sécurité.
Un autre point faible réside dans le confinement et l’éradication. Ocain observe que les entreprises ont tendance à se concentrer rapidement sur la récupération des données sans s’assurer que le pirate informatique a été complètement éliminé du système. Par exemple, la réinstallation d’un serveur peut ne pas résoudre le problème si l’accès initial du pirate n’est pas identifié et bloqué.
Il conseille de créer un environnement de quarantaine pour le rétablissement, garantissant ainsi un confinement efficace et l’éradication complète de la menace.
Wilkens souligne un autre problème : l’oubli post-incident. Après une attaque, les dirigeants sont souvent prêts à investir massivement dans la sécurité, mais cet enthousiasme s’estompe rapidement une fois la crise passée.
« Juste après un incident, le PDG se dit : « D’accord, nous devons dépenser toutes sortes d’argent – tout ce qu’il faut – pour être sûrs que cela ne se reproduise plus. » dit Ocaïn. “Au moment où vous commencez à mettre en œuvre l’un de ces éléments, la douleur a disparu et l’entreprise est presque amnésique et l’a oublié.” »
Art Ocain, vice-président d’Airiam pour la cybersécurité et la réponse aux incidents
Délai de réponse
Sommer témoigne qu’il reçoit quotidiennement des notifications signalant des milliers de tentatives d’intrusion sur le réseau de son entreprise. Si ces tentatives ne sont pas nouvelles, leur fréquence et leur rapidité d’exécution s’accélèrent.
Ocain attribue cette accélération à l’intelligence artificielle (IA). L’IA permet d’automatiser et d’intensifier les attaques, notamment le phishing, le vol de jetons, la compromission de pare-feu et les attaques CAPTCHA.
Le changement le plus significatif réside dans le délai de réaction. L’IA réduit considérablement le temps entre l’accès initial et l’action sur les objectifs. Alors qu’il fallait auparavant des mois pour qu’un pirate informatique exploite une vulnérabilité, il peut désormais le faire en quelques jours, voire quelques heures.
« À mesure que l’IA s’améliore, la capacité de phishing, la capacité de test, l’automatisation que les attaquants utilisent pour tester les environnements de chacun qu’ils tentent d’attaquer, le laps de temps entre l’accès initial et l’action sur les objectifs est très court. »
Art Ocain, vice-président d’Airiam pour la cybersécurité et la réponse aux incidents
Selon le rapport annuel 2024 de Crowdstrike, le temps d’évasion entre l’accès initial et le mouvement latéral est tombé à 48 minutes. ReliaQuest a même constaté un temps d’évasion moyen de 18 minutes, avec certains cas atteignant six minutes.
Wilkens conclut que les principes fondamentaux de la sécurité restent valables, mais que la mentalité concernant les délais doit évoluer pour faire face à la menace croissante de l’IA.
Sur le même sujet
