Cybersécurité automobile : Comment faire face aux menaces de compromission par email ?

Fiabilité
À RETENIR

  • L'industrie automobile fait face à une augmentation des attaques BEC (compromission des e-mails professionnels) et VEC (compromission des e-mails de fournisseurs), avec une hausse de 70 % des attaques BEC.
  • Le coût moyen d'une attaque BEC dépassait 137 000 dollars en 2023, sans compter les coûts indirects comme les dommages à la réputation.
  • Le secteur automobile est une cible de choix en raison de ses chaînes d'approvisionnement complexes, ses transactions de haute valeur, ses données précieuses et de la connectivité croissante des véhicules.
  • Les conséquences les plus courantes des cyberattaques sur l'industrie automobile sont la perturbation des services et des activités (42 %) et les violations de données et de confidentialité (22 %).
  • Les experts recommandent une approche multicouche combinant l'authentification multifacteur, la détection des comportements de compte anormaux, des directives de sécurité pour les fournisseurs, des programmes continus de sensibilisation et de formation des employés, et des solutions de protection des e-mails basées sur l'IA.

De 2022 à 2023, les ventes mondiales de voitures sont passées d’environ 67,3 millions d’unités à environ 75,3 millions.

Les projections de marché par Spherical Insights & Consulting montrent que, d’ici 2033, l’industrie automobile vaudra environ 7 000 milliards de dollars (environ 6 400 milliards d’euros).

Cependant, elle fait face à un problème qui affecte pratiquement toutes les industries : les cyberattaques.

Dans cet article, nous explorons le paysage des menaces de l’industrie, les types d’attaques qui touchen le secteur, et les solutions de cybersécurité automobile pour y faire face.

Principales cybermenaces dans le secteur automobile

À mesure que le paysage des menaces criminellement lucratif mûrit, les acteurs malveillants commencent à trouver des formes d’attaques spécifiques pour ce que nous pourrions appeler des attaques sur mesure par industrie.

Alors que les hackers peuvent préférer les attaques internes dans les secteurs possédant une propriété intellectuelle ou des données sensibles précieuses, comme la défense et la finance, la donne change dans l’industrie automobile.

Un nouveau rapport d’Abnormal Security a révélé que la compromission des e-mails professionnels (BEC) et la compromission des e-mails de fournisseurs (VEC) sont les principaux vecteurs d’attaque dans l’industrie.

Selon les conclusions du rapport d’Abnormal Security, l’industrie automobile a connu une augmentation des attaques par BEC de 70,5 % en seulement cinq mois entre septembre 2023 et février 2024.

Cela se traduit par une moyenne de 1,7 attaque BEC par semaine, une hausse par rapport à la période de six mois précédente, qui ne comptait qu’une attaque par semaine.

Le premier trimestre 2024 a connu un niveau d’activité élevé, suggérant une tendance alarmante pour le reste de l’année.

Ces attaques peuvent être coûteuses. Un exemple est celui qui a coûté 37 millions de dollars à un fournisseur de pièces Toyota.

Pendant ce temps, les données de l’entreprise de cybersécurité Arctic Wolf révèlent que les attaques liées au BEC ont doublé au premier semestre 2023, après une augmentation de 29 % de 2021 à 2022. Les interventions BEC représentaient également 29,7 % de toutes les opérations de réponse aux incidents d’Arctic Wolf en 2023.

Les attaques VEC ciblant les organisations automobiles ont également connu une augmentation significative entre septembre 2023 et février 2024. Selon Abnormal Security, 63 % de leurs clients dans l’industrie automobile ont subi au moins une attaque VEC pendant cette période.

Ce taux était supérieur aux incidents observés dans les secteurs de l’énergie/infrastructure (54 %), de l’hôtellerie (50 %) et de la finance (35 %) sur la même période.

Cybersécurité automobile
Attaques BEC par semaine dans l’industrie automobile. Source : Abnormal Security

 

 

L’industrie automobile : une cible parfaite

Pourquoi l’industrie automobile est-elle une cible si attrayante pour les attaques BEC et VEC ?

La réponse réside dans la nature même de l’industrie, comme l’explique Patrick Harr, PDG de SlashNext, une plateforme de sécurité des e-mails, à Techopedia :

L’industrie automobile est une cible de choix pour les attaques BEC et VEC en raison de ses chaînes d’approvisionnement complexes, de ses transactions de haute valeur et de ses vastes écosystèmes de fournisseurs.

Les acteurs malveillants exploitent la confiance et l’urgence dans ces relations commerciales, utilisant des tactiques sophistiquées d’ingénierie sociale pour inciter les employés à divulguer des informations sensibles ou à initier des paiements frauduleux.

Dans une déclaration à Techopedia, Josh Amishav, Fondateur et PDG de Breachsense, une solution de surveillance des violations de données et du dark web, cite les transactions financières importantes comme la principale raison pour laquelle les attaques ciblent de plus en plus le secteur automobile.

Il note :

L’industrie automobile est une cible particulièrement attrayante pour les attaques BEC et VEC en raison des importantes transactions financières envoyées pour les pièces détachées, les stocks et les véhicules.

Il souligne également que la complexité des chaînes d’approvisionnement de l’industrie se convertit en une vulnérabilité.

En raison de la chaîne d’approvisionnement complexe que la plupart des entreprises automobiles possèdent, avec de multiples tiers impliqués, il existe de nombreux points d’attaque potentiels pour les criminels qui peuvent se faire passer pour des fournisseurs ou des partenaires pour initier des transactions frauduleuses.

Un autre facteur qui fait de l’industrie automobile une cible de choix est la valeur des données qu’elle détient.

Selon le rapport mondial sur la cybersécurité automobile de Fortra, les données stockées par les entreprises automobiles telles que les informations personnelles des clients, les détails de conception et de fabrication propriétaires sont très précieuses pour les cybercriminels.

De plus, la numérisation rapide et l’essor de l’infrastructure des véhicules électriques (VE) ont révolutionné le secteur automobile. Plus que jamais, les véhicules intègrent désormais des systèmes avancés de connectivité, d’automatisation et d’aide à la conduite, élargissant ainsi considérablement leur paysage de menaces.

Le Coût des cyberattaques dans l’industrie automobile

Le coût des cyberattaques dans l’industrie automobile est stupéfiant.Selon les données de l’Internet Crime Complaint Center, le coût moyen d’une attaque BEC réussie (PDF) en 2023 seul dépassait 137 000 dollars, mais ce chiffre ne fait qu’effleurer la surface lorsque nous prenons en compte les autres dommages potentiels que ce type d’attaque laisse dans son sillage.

Un rapport d’Upstream Security dresse un tableau sombre, estimant que 37 % de toutes les activités cyber se déroulant sur le dark web en 2024 ciblent plusieurs équipementiers (OEM).

Au-delà de la perte monétaire immédiate, Statista a publié en mars une étude qui détaillait les conséquences des cyberattaques dans l’industrie automobile. La perturbation des services et des activités, comme les retards ou les arrêts de production, est le résultat le plus courant, survenant dans 42 % des cyber-incidents.

Les violations de données et de confidentialité suivent de près, représentant 22 % de l’impact total. La fraude et le vol de véhicules sont également des effets typiques de la cybercriminalité dans ce secteur.

types de cyberattaques et cybersécurité secteur automobile
Conséquences des cyberattaques dans le secteur automobile. Source : Statista

 

 

Il y a également des coûts indirects à considérer, comme les dommages à la réputation d’une entreprise, la perte de confiance des clients et le risque d’amendes et de pénalités réglementaires. Ces coûts intangibles peuvent avoir des effets durables sur les résultats d’une entreprise et sa position sur le marché.

Quelle stratégies de Cybersécurité automobile mettre en place ?

Pour faire face à la menace croissante des attaques BEC et VEC qui affectent le secteur automobile, Dror Liwer, Co-fondateur de l’entreprise de cybersécurité Coro, a exposé une stratégie en deux volets à Techopedia.

Selon lui :

La meilleure défense contre ces attaques se compose de deux parties : renforcer la sécurité des identités en utilisant lauthentification multifacteur (MFA) et des outils de détection des comportements de compte anormaux, et s’assurer que les fournisseurs suivent des directives de sécurité appropriées.

Liwer souligne que les contrôles technologiques seuls sont insuffisants et appelle à la formation des employés.

Avoir un programme actif de sensibilisation, d’éducation et de simulation des employés qui leur apprend à identifier un message suspect. Organiser une formation annuelle ne suffira pas – le programme doit être continu pour maintenir la sensibilisation des employés au premier plan.

Soulignant la nature centrée sur l’humain des attaques BEC, Matt Kiely, Chercheur Principal en Sécurité chez Huntress Labs, préconise une approche multicouche combinant formation à la sensibilisation à la sécurité, contrôles techniques et pratiques vigilantes des employés.

La formation à la sensibilisation à la sécurité peut se révéler “une mesure préventive efficace”, déclare Kiely, préconisant une formation à la cybersécurité automobile pour aider les employés à reconnaître les tactiques BEC.

Néanmoins, il met en garde car la prévention seule ne va pas arrêter les attaques BEC.

Par ailleurs, Kiely fournit des conseils spécifiques aux employés recevant des e-mails suspects :

Si quelqu’un demande un changement de paiement ou d’informations financières, prévenez directement ce fournisseur pour vérifier sa légitimité. Ne renseignez pas d’informations sensibles sur une page à laquelle vous êtes arrivé en cliquant sur un lien dans un e-mail – naviguez manuellement à la place.

Examinez attentivement les URL, les adresses e-mail et l’orthographe, et ne cliquez pas sur les liens ou n’ouvrez pas les pièces jointes dans les e-mails non sollicités, notamment s’ils vous demandent de mettre à jour/vérifier des comptes ou vous pressent d’agir rapidement.

Harr de SlashNext préconise des solutions de protection des e-mails basées sur l’IA plutôt que de s’appuyer sur les systèmes traditionnels de sécurité des e-mails.

Il ajoute :

Ces attaques très ciblées et sophistiquées contournent les défenses e-mail de base, notamment les anciennes technologies SEG ou le fait de s’appuyer uniquement sur la formation des employés.

La mise en œuvre de la protection IA pour les e-mails est encore plus importante avec l’armement des plateformes d’IA générative (comme WormGPT) par les acteurs malveillants pour créer, lancer et itérer les attaques BEC avec un langage, une personnalisation et une vitesse quasi parfaits.

En Conclusion

L’industrie automobile a connu une belle croissance malgré les incertitudes économiques. Il n’est donc pas surprenant qu’elle soit devenue un terrain de jeu intéressant pour les cybercriminels pour lancer des attaques BEC et VEC.

Face à cette évolution préoccupante, ce qui compte vraiment, c’est la façon dont les organisations adaptent leurs mesures de sécurité.

Bien que les passerelles de messagerie sécurisées et autres outils de sécurité traditionnels puissent passer au peigne fin vos e-mails à la recherche de liens malveillants, s’appuyer uniquement sur eux est une invitation au désastre.

Comme le conseillent les experts, s’attaquer aux facteurs humains reste une clé du succès face aux attaques basées sur les e-mails comme BEC et VEC.

Termes connexes

Articles Liés

Vincent Grethen
Responsable d'édition

Diplômé de l'Ecole de Journalisme de Louvain La Neuve en Belgique, c'est finalement le monde du contenu en ligne qui m'a permis d'assouvir ma passion pour l'écriture. Depuis plus de 10 ans, j'explore divers secteurs, notamment le bien-être, le médical ou encore le tourisme. Cette polyvalence est mon atout majeur pour capter l'attention des lecteurs et des lectrices. Aujourd'hui, ma plume évolue au rythme des innovations, au service des passionnés de technologie, toujours avec le même plaisir de jouer avec les mots.