Dans le contexte économique actuel où règne l’incertitude, de nombreux concessionnaires canadiens consacrent la quasi-totalité de leurs dépenses discrétionnaires à des initiatives visant à faire mousser les ventes. Un certain équilibre du côté des investissements s’avère toutefois nécessaire. Si elle a certes besoin d’injecter des fonds pour dynamiser son activité, une concession ne doit pas pour autant négliger d’autres secteurs, comme les technologies de l’information.
Comment s’assurer d’avoir trouvé le juste milieu? La cybercriminalité est l’une des principales menaces qui pèsent sur les petites et moyennes entreprises, y compris les concessions. Ce n’est vraisemblablement qu’une question de temps avant que la vôtre n’en soit victime. Investir dans la cybersécurité pour une entreprise, c’est un peu comme contracter une assurance contre la grêle et les inondations quand on est propriétaire d’un logement : une dépense nécessaire pour protéger l’entreprise.
En juin 2024, CDK Global, un fournisseur de solutions technologiques pour l’industrie automobile, a été la cible d’une cyberattaque massive, qui a paralysé plus de 15 000 concessionnaires. C’est la preuve, s’il en fallait, de l’absolue nécessité d’un dispositif de cybersécurité solide.
Cet incident démontre que des vulnérabilités dans le système de gestion des concessionnaires peuvent engendrer d’importantes perturbations opérationnelles et des violations de données. C’est en faisant preuve de vigilance et de proactivité que les concessions seront mieux à même de protéger leurs données sensibles, d’assurer la continuité de leurs activités et de préserver leur réputation.
Plusieurs facteurs contribuent à faire des concessionnaires une proie privilégiée pour les cybercriminels :
- Leurs systèmes regorgent de données d’une valeur inestimable.
- Leur environnement informatique et leurs dispositifs de cybersécurité sont souvent moins à la pointe que dans d’autres secteurs.
- Dans la plupart des concessions, le personnel ne reçoit aucune formation sur les cyberrisques.
- Le secteur de la concession automobile est beaucoup moins réglementé que d’autres sur les plans des technologies et de la cybersécurité.
Quand on est à la tête d’une concession, tout l’art consiste à investir dans la cybersécurité, mais sans jeter l’argent par les fenêtres. Et pour optimiser chaque dollar dépensé, une cyberévaluation est une première étape indispensable.
Quelles données devez-vous protéger?
La première chose à faire au moment de réaliser une évaluation de cybersécurité est de déterminer les données et les renseignements à protéger en priorité. Les données ciblées à cette étape doivent être les plus précieuses – celles dont la compromission porterait un préjudice financier important à votre concession ou entacherait sérieusement sa réputation.
De nombreux concessionnaires pensent que toutes leurs données gagnent à être protégées de la même façon. Bien que l’intention soit louable, il serait trop coûteux et chronophage de mettre en place des mesures de protection strictes pour l’ensemble de vos données. C’est pourquoi il est préférable de vous concentrer sur celles qui ont le plus de valeur.
Les renseignements financiers de vos clients, ainsi que ceux qui permettent de les identifier, comme leur nom ou leur date de naissance, doivent figurer en tête de liste. Vous voudrez aussi à tout prix éviter le vol, la diffusion ou la vente sur le marché noir de leur numéro de carte de crédit ou de leurs données d’assurance.
La protection des mots de passe et des appareils de vos employés constitue un autre volet prioritaire. En matière de sécurité des données et des systèmes, il est nécessaire d’adopter une approche modulable, car les conséquences d’une brèche sont variables. En effet, si les renseignements relatifs aux prix de vente, à la rémunération du personnel, aux courriels, aux stocks et aux fournisseurs ont tous une importance capitale, les risques associés à la violation de ces données diffèrent selon leur nature.
Quelles sont vos principales vulnérabilités?
La prochaine étape de l’évaluation consiste à cibler les principales vulnérabilités de votre concession. Pour ce faire, il vous faut non seulement déterminer les types d’attaques les plus fréquents, mais aussi repérer ceux qui sont les plus susceptibles de percer vos défenses.
Fraude
Parmi tous les scénarios de fraude qui visent les concessionnaires, celui-ci est relativement fréquent : une personne malintentionnée se fait passer pour un fournisseur, puis compromet l’intégrité des renseignements de paiement afin de détourner des fonds. Les victimes de ce genre d’attaque subissent une double peine. En effet, en plus d’essuyer des pertes financières, elles se retrouvent en défaut de paiement auprès de leurs véritables fournisseurs.
Bien que ce type d’escroquerie reste marginal par rapport à des courriels d’hameçonnage, il atteint plus souvent sa cible et peut donc s’avérer particulièrement dangereux.
Tierces parties
Les tiers avec qui vous faites affaire, comme vos institutions financières, vos fournisseurs ou vos agences de marketing, peuvent aussi vous exposer à un risque de cyberattaque. En effet, votre concession transmet régulièrement des données sensibles à ses fournisseurs, et vice-versa. Ce faisant, une seule erreur de sauvegarde ou de téléchargement des données est susceptible de vous placer en situation de vulnérabilité. De la même façon, la moindre faille dans votre stratégie de cybersécurité fait peser un risque sur les données de vos fournisseurs.
Lors de votre évaluation, analysez les mesures que vous prenez afin de confirmer qu’elles offrent un niveau de sécurité adéquat pour la transmission de ces renseignements.
Personnel interne
Les membres de votre personnel constituent une autre source de vulnérabilité à la cybercriminalité. La réduction du risque d’erreur humaine passe par des formations régulières pour apprendre à détecter les courriels d’hameçonnage, à naviguer sans danger sur le Web et à créer des mots de passe sécurisés.
Durant l’évaluation, prenez le temps d’examiner le contenu de la formation à la cybersécurité de votre personnel. Nous reviendrons sur ce point dans la section suivante.
Public
Si le public est votre plus grande force, c’est sans doute aussi votre principal talon d’Achille. Un concessionnaire accueille par essence du public. Toutefois, certaines personnes venues de l’extérieur peuvent souhaiter perturber votre fonctionnement, être déçues par la marque ou vouloir mettre leurs compétences malveillantes à l’épreuve. Souvent, ce n’est qu’après un incident que l’on envisage de séparer les systèmes technologiques essentiels des autres parties du réseau.
Assurez-vous que les prises réseau en accès libre, les systèmes Wi-Fi publics et les dispositifs technologiques des bureaux sont dissociés les uns des autres.
Réputation et médias sociaux
La réputation de votre marque repose sur la façon dont elle est perçue par la clientèle, les parties prenantes et les acteurs du marché en général, c’est-à-dire sur le sentiment et l’opinion qu’elle leur inspire. Elle découle des expériences du public, de ses interactions avec la marque et des initiatives et stratégies de communication mises en place. Les avis sur Google, la satisfaction de la clientèle et la concurrence sont donc autant d’éléments à surveiller de près.
Afin de vous préparer à des menaces de plus en plus ciblées et sophistiquées, il est impératif de rester à l’affût des incidents et des signes d’alerte, et de les intégrer dans votre plan de sécurité.
À quelles méthodes de protection et de préparation avez-vous recours?
Au cours de votre évaluation, passez en revue les outils, les systèmes et les processus de protection déjà en place dans votre concession. Votre niveau de protection actuel est-il conforme à vos besoins? En outre, assurez-vous que vos sous-traitants, vos prestataires informatiques et vos fournisseurs de services gérés ont eux-mêmes conscience des menaces modernes et possèdent la capacité et les compétences nécessaires pour mettre en œuvre des mesures de sécurité adaptées.
Assurance
En tant que concessionnaire, vous comprenez mieux que quiconque l’importance de vous doter d’une bonne assurance. Une couverture de base protège votre concession contre les inondations, la grêle, le vol et d’autres risques courants. Mais qu’en est-il des cyberattaques?
Les concessionnaires ne bénéficient pas tous de ce type de protection. Si vous n’avez pas examiné les modalités de votre contrat d’assurance depuis un certain temps, la cyberévaluation est un moment tout indiqué pour le faire.
Formation sur la cybersécurité
Informer vos employés, quel que soit leur échelon, des principes de base de la cybersécurité est l’investissement le plus rentable que vous puissiez faire. Chaque membre de votre personnel doit :
- savoir créer et utiliser un mot de passe sécurisé;
- être capable de reconnaître un courriel d’hameçonnage;
- sécuriser de façon adéquate le matériel de l’entreprise (portables et téléphones, notamment);
- s’abstenir de transférer les données de l’entreprise sur des appareils personnels;
- utiliser une connexion Wi-Fi sécurisée;
- être à même de détecter et de prévenir différents types de fraude.
Dans une concession, les brèches de sécurité sont rarement le fait d’employés malhonnêtes. Il est bien plus probable qu’elles soient le fruit d’un manque de formation ou d’un acte de négligence. C’est pourquoi il est essentiel d’offrir un minimum de formation à votre personnel.
Plan d’intervention en cas d’incident
L’examen ou la création d’un plan d’intervention en cas d’incident devrait faire partie intégrante de votre évaluation.
Si votre concession est la proie de pirates informatiques, sachez qu’un plan d’intervention peut vous aider à limiter la casse. Ce document doit décrire, étape par étape, la marche à suivre en cas de cyberattaque : coupure des dispositifs technologiques, prise de contact avec un conseiller externe et atténuation des dégâts.
Technologie
Il est important de vous doter d’une technologie fiable, mais plus encore de vous assurer qu’elle est entre de bonnes mains.
Votre évaluation devrait vous permettre de déterminer si votre concession dispose des meilleurs outils de cybersécurité, ce qui ne veut pas forcément dire les plus coûteux ou les plus sophistiqués. Pour faire des économies, choisissez les logiciels les mieux adaptés à vos besoins. Assurez-vous aussi de confier leur utilisation à du personnel qualifié, au fait des procédures en vigueur.
Il est souvent pertinent de faire appel à un fournisseur de services de sécurité gérés, qui disposera des compétences adéquates et saura mettre en œuvre les bons outils technologiques pour vos besoins.
Pour vous lancer, contactez-nous!
Pour en savoir plus et obtenir un accompagnement personnalisé, communiquez avec notre groupe Services informatiques gérés.