Demandez une démo

Une cyberattaque a ébranlé les concessionnaires automobiles américains. Quel sera le prochain secteur d'activité ?

Brad Hibbert, directeur des opérations et directeur de la stratégie de Prevalent, partage avec The Daily Upside son point de vue sur les risques du secteur cyber .
16 octobre 2024
2024 Logo du Daily Upside

Note de l'éditeur : cet article a été publié à l'origine sur thedailyupside.com.

Une chose amusante s'est produite sur le chemin du concessionnaire cet été. Pendant une courte période, il est devenu presque impossible d'acheter une voiture aux États-Unis.

Après une attaque de ransomware en juin contre CDK Global, un fournisseur de logiciels peu connu basé à Chicago et dont la capitalisation boursière avoisine les 6,4 milliards de dollars, les activités de milliers de concessionnaires automobiles à travers le pays ont été interrompues pendant près de trois semaines. Environ la moitié de l'ensemble du secteur repose sur le même logiciel de CDK Global.

La crise des concessionnaires automobiles est survenue quelques semaines avant qu'une mise à jour logicielle bancale du fournisseur de cybersécurité CrowdStrike ne fasse trébucher des millions d'ordinateurs fonctionnant sous Microsoft Windows. Cette erreur a affecté des systèmes dans le monde entier, y compris dans des infrastructures critiques telles que les aéroports, les banques, les hôpitaux et les services gouvernementaux.

Cyber Selon les experts, ces deux crises laissent présager un avenir de plus en plus instable. Grâce à la consolidation et au manque de concurrence dans l'industrie du logiciel - en particulier chez les fournisseurs de systèmes de niche mais critiques - un seul point de défaillance logiciel peut transformer des industries entières en tours de Jenga chancelantes. La prochaine fois pourrait être bien pire.

Haze d'été

Dans le passé, la plupart des pannes, des cyberattaques et des violations de données étaient soit brèves, soit ciblées sur des personnes spécifiques : Qui n'a jamais reçu une notification indiquant qu'une partie de ses informations personnelles avait été divulguée sur un forum du Dark Web ? Mais les attaques contre CDK Global et surtout la panne de CrowdStrike étaient différentes.

"Espérons que ces événements récents serviront de signal d'alarme. Les entreprises et les décideurs politiques se désintéressent souvent de l'augmentation constante du nombre et de la gravité des atteintes à la protection des données qui touchent les particuliers. Ces pannes, ainsi que les attaques de ransomware, ont interrompu les activités", a déclaré au Daily Upside Rory Mir, directeur associé de l'organisation communautaire de l'Electronic Frontier Foundation, une organisation à but non lucratif de défense des droits numériques.

En d'autres termes, ces attaques ont montré que les risques associés à un seul point de défaillance d'un logiciel sont trop importants pour être ignorés :

  • Selon les prévisions de l'Anderson Economic Group consultées par le Detroit Free Press, la panne de CDK Global a coûté aux quelque 15 000 concessionnaires automobiles américains qui utilisent son logiciel environ 1 milliard de dollars - et quelque 56 200 ventes de voitures - en seulement trois semaines.
  • L'impact de la panne de CrowdStrike est certainement beaucoup plus important. Nir Perry, PDG de la plateforme d'assurance Cyberwrite ( cyber ), a déclaré à Reuters qu'une panne de cette ampleur pourrait entraîner des dommages économiques d'une valeur de plusieurs dizaines de milliards de dollars. Delta Airlines a déclaré que la panne lui avait coûté 380 millions de dollars de revenus.

Le résultat ? Un secteur de l'assurance ( cyber ) qui doit désormais faire face à la complexité croissante de l'aggravation des risques. Ce qui signifie probablement des primes de plus en plus élevées pour les clients.

"Le problème est que nous ne savons pas ce que nous ne savons pas, de sorte que [les assureurs] ne savent pas comment évaluer le risque", a déclaré Keri Pearlson, directeur exécutif de la cybersécurité à la MIT Sloan School of Management, au Daily Upside. "Et même si nous avons connu de multiples incidents sur le site cyber , nous ne savons pas quelle est la probabilité du prochain, ni même ce que sera le prochain, alors comment pouvons-nous construire des modèles de tarification pour le risque d'une chose que nous ne savons même pas comment formuler ?

Ville industrielle

Alors que la panne de CrowdStrike a montré comment un problème peut affecter d'innombrables secteurs, la cyberattaque de CDK Global a démontré comment le sort de nombreux acteurs d'un secteur particulier peut être directement lié à quelques fournisseurs de logiciels dominants. Et bien sûr, les concessionnaires automobiles sont loin d'être le seul secteur pour lequel cela est vrai. En fait, c'est l'un des secteurs les moins critiques à être aussi dépendant d'un seul fournisseur.

Par exemple, un trio de processeurs de paiement - FIS, Fiserv et Jack Henry - détient une part de marché d'environ 70 % dans le secteur bancaire, selon une enquête sectorielle réalisée en 2022 par l'American Bankers Association. Fiserv détient à elle seule environ 42 % du marché, ce qui en fait un domino géant.

Entre-temps, seuls trois fournisseurs de logiciels contrôlent presque totalement le marché de la réservation des billets d'avion : Travelport, Amadeus et Sabre, selon les estimations des analystes consultées par le Wall Street Journal.

Si ce n'est pas encore clair, toute cette consolidation pose des risques évidents. "Moins d'outils utilisés par un grand nombre d'entreprises créent naturellement des points d'étranglement. Pensez au blocage du canal de Suez il y a quelques années", a déclaré au Daily Upside Brad Hibbert, directeur de l'exploitation et directeur de la stratégie de la société de gestion des risques liés aux fournisseurs Prevalent. "Il ne peut y avoir de points d'étranglement critiques dans une chaîne d'approvisionnement, qu'elle soit physique ou logicielle.

Les fournisseurs de logiciels tels qu'Epic Systems et Cerner, propriété d'Oracle, accaparent le marché américain des dossiers médicaux numériques, selon la société d'analyse Definitive Healthcare.

"Si je devais choisir un secteur, je choisirais celui de la santé, en particulier dans le contexte d'un conflit mondial", a déclaré Andrew Southall, ingénieur fondateur de la société de sécurité SkySiege, spécialisée dans les services en nuage, au journal The Daily Upside. "L'informatique dans le secteur de la santé est mal payée, mal gérée et fonctionne généralement sur de vieilles machines... C'est une cible faible connue.

Répartissez vos paris : Que peut-on donc faire pour protéger les petites entreprises d'une défaillance logicielle unique, malveillante ou non ? Compte tenu de la créativité des acteurs malveillants, la mise en place de défenses pourrait nécessiter un état d'esprit plus holistique, moins axé sur la protection et plus sur un "état d'esprit de résilience", a déclaré M. Pearlson. "Nous devons partir du principe qu'ils passeront outre nos protections et nous devons investir dans des processus de réponse et de récupération, ainsi que dans le personnel.

Une solution majeure proposée par les experts : diversifier, diversifier, diversifier.

"La leçon à retenir est qu'il faut adopter des stratégies multi-fournisseurs, en particulier pour les systèmes critiques tels que la cybersécurité, l'infrastructure informatique et les opérations commerciales. Les entreprises doivent penser à la redondance et aux solutions de sauvegarde chez plusieurs fournisseurs, afin de s'assurer qu'il existe une solution de repli si une plateforme tombe en panne", a déclaré John Price, fondateur de la société de cybersécurité SubRosa, au journal The Daily Upside.

Malheureusement, c'est plus facile à dire qu'à faire.

L'antitrust dans vos tripes : Alors que la commissaire fédérale au commerce, Lina Khan, et le ministère de la justice font les gros titres avec leur lutte permanente contre les grandes entreprises technologiques, les fournisseurs dominants de logiciels plus spécialisés ont échappé à l'attention. Et c'est probablement une partie du problème.

Les clients - entreprises ou particuliers - bénéficient d'un marché offrant une grande variété de choix afin qu'ils puissent trouver les solutions qui répondent à leurs besoins et respectent leurs droits", a déclaré M. Mir, ajoutant que "l'antitrust a été violé pendant des décennies en raison de l'idée que le "bien-être du consommateur" ne s'étendait qu'à des prix bas. En réalité, nous constatons que les grands monopoles peuvent imposer d'autres types de dommages, comme par exemple une entreprise qui maintient des prix bas en surveillant ses clients ou en rognant sur les pratiques de sécurité".

L'un des résultats : Même les clients bien informés peuvent se retrouver coincés avec un fournisseur dont ils ne sont pas suffisamment satisfaits. Et, de plus en plus, ces fournisseurs qui dominent le marché ont des cibles de plus en plus grandes sur le dos.

Dans le domaine de la cybersécurité en particulier, la consolidation risque de créer une "monoculture numérique", a déclaré M. Mir. "La cybersécurité est intrinsèquement conflictuelle, donc lorsqu'elle est plus concentrée, cela signifie qu'il y a moins de cibles [sur lesquelles] plus d'adversaires peuvent se concentrer".

Pour les concessionnaires automobiles, cependant, l'histoire de CDK Global est celle d'une loi antitrust qui a mal tourné. Il y a quelques années, la société s'est retrouvée dans une affaire antitrust intentée par le nouveau venu du secteur, Authenticom, qui prétendait que CDK Global et un autre acteur dominant du secteur, Reynolds et Reynolds, avaient illégalement formé un cartel pour contrôler le marché, ce qui a entraîné des prix élevés pour des logiciels de qualité inférieure.

L'affaire s'est finalement terminée par le versement par CDK Global à Authenticom d'un paiement unique en espèces dans le cadre d'un règlement, après qu'une cour de circuit a décidé d'annuler une injonction préliminaire à l'encontre des deux acteurs dominants du marché, injonction qui avait été ordonnée précédemment par un tribunal de district.

En annulant l'injonction et en donnant raison à CDK Global, les juges de la cour de circuit ont cité un arrêt de principe de la Cour suprême de 2004, Verizon Communications v. the Law Offices of Curtis Trinko. Dans cette décision unanime, le juge Antonin Scalia de la Cour suprême des États-Unis a écrit que "la simple possession d'un pouvoir de monopole et la pratique concomitante de prix de monopole non seulement ne sont pas illégales, mais constituent un élément important du système de marché libre".

Nous laisserons aux juristes le soin de déterminer dans quelle mesure cet avis est conforme à l'intention initiale de la loi antitrust Sherman, mais une chose est sûre : en 2004, le monde n'avait aucune idée des risques de cybersécurité auxquels il serait confronté d'ici 2024 : Le monde de 2004 n'avait aucune idée des risques de cybersécurité auxquels il serait confronté en 2024.