À propos de Geotab

Geotab relie les véhicules utilitaires à Internet, procurant des analyses avancées sur le Web pour vous aider à mieux gérer votre flotte. La plateforme ouverte et le Marketplace de Geotab, qui offre des centaines d’options de solutions de tiers, permettent aux petites comme aux grandes entreprises d’automatiser leurs opérations en intégrant les données du véhicule aux autres données d’entreprise. Avec plus d’un milliard de points de données recueillis chaque jour, Geotab aide les entreprises à accéder à de l’information décisionnelle et à des données d’analyse comparative cruciales pour augmenter la productivité, réduire la consommation de carburant, améliorer la sécurité des chauffeurs et renforcer la conformité. Les produits de l’entreprise sont représentés et vendus dans le monde entier par l’entremise d’un réseau de distributeurs autorisés. Pour en savoir plus, visitez www.geotab.com/fr et suivez-nous sur @GEOTAB et LinkedIn.

Vous pouvez envoyer vos commentaires ou questions concernant ce document par courriel à :testdrive@geotab.com

Pour d’autres conseils et meilleures pratiques de flotte, visitez www.geotab.com/blog

© 2017 Geotab Inc. Tous droits réservés.
Rédacteurs : Gleb Nikonov, Melanie Serr, Alex Sukhov, Scott Sutarik

La valeur des données de la télématique

La télématique génère une grande quantité de données, y compris un historique détaillé des opérations et des activités du chauffeur et du véhicule. Ce type de données est extrêmement utile pour une organisation afin de contrôler les coûts de carburant et d’entretien, d’accroître la productivité et la sécurité et de minimiser les risques. La télématique pour la reconstitution d’accident ou l’analyse comparative peut générer encore plus d’information.

Il est essentiel de protéger ces données précieuses. Si un utilisateur malveillant y avait accès, il y aurait des conséquences graves, qui pourraient compromettre les comptes clients, les livraisons, les horaires, la localisation des biens et les renseignements personnels. Le cybercrime existe, car les données ont une valeur précieuse, peu importe si ces données sont une collection de noms d’utilisateurs et de mots de passe, de numéros de carte de crédit, de numéros d’assurance sociale, ou, comme nous allons le voir, de données télématiques.

Par conséquent, si vous êtes propriétaire de petite entreprise, gestionnaire de flotte, développeur, directeur de l'informatique ou PDG, il est essentiel que vous compreniez comment vos données télématiques sont gérées et protégées.

Ce que vous apprendrez

Dans ce document, vous apprendrez :

Geotab open platform

Vue d’ensemble de l’écosystème de la télématique

La télématique à plateforme ouverte relie plusieurs périphériques IoT au véhicule grâce au système de communication centralisé du dispositif Geotab GO. Une liste croissante de périphériques tiers peut être intégrée à la télématique, y compris ces solutions du Marketplace de Geotab:

plateforme ouverte de télématique: le hub IoT du véhicule

Geotab open platform

L'écosystème télématique comprend à la fois le matériel et le logiciel responsable de la collecte et de l'analyse des données du véhicule.

L’écosystème de la télématique

Zone Description
Dispositif télématique Geotab GO

Dispositif télématique robuste GO RUGGED
Le dispositif Geotab GO est un petit dispositif télématique équipé d’un module GPS et d’un accéléromètre à calibrage automatique qui se branche au port de diagnostic d’un véhicule. Le dispositif recueille des données sur la position du véhicule, la vitesse, le freinage brusque, la conduite agressive, le port de la ceinture de sécurité, la consommation de carburant, l’odomètre, les codes de panne de véhicule, la tension de la batterie, la température de l’air et d’autres données du moteur. Le dispositif envoie ses données à l’environnement hébergé en nuage de MyGeotab pour le traitement et l’analyse.
Logiciel de gestion de flotte MyGeotab Logiciel adaptable et évolutif sur le Web pour la gestion de flottes, l’analyse des données télématiques et l’affichage de rapports.

Les fonctionnalités clés incluent la localisation GPS des véhicules, les rapports avancés, la gestion du comportement des chauffeurs, le rapport des données du moteur, l’optimisation d’itinéraire, la santé et l’entretien du moteur, la reconstitution d’accident, l’intégration de données ouvertes et la cartographie personnalisée.
Modules d’extension entrée-sortie De l’équipement de tiers qui se branche au port d’extension du dispositif télématique Geotab pour effectuer des tâches définies et relayer l’information vers et à partir de MyGeotab.

Exemples : identification des chauffeurs par la technologie NFC, rétroaction verbale en cabine avec GO TALK, surveillance des épandeuses de sel et de sable et communication des dispositifs sur le réseau satellite Iridium pour les travailleurs à distance.
Solutions de Marketplace Une boutique en ligne de solutions de gestion de flotte qui s’intègrent avec la plateforme télématique ouverte Geotab, y compris des Add-Ins logiciels, des accessoires et Add-Ons, des applications mobiles, de solutions logicielles générales et des rapports personnalisés.
Trousse de développement de logiciel (TDL)

Interfaces de programmation d’application (API)
La trousse de développement de logiciel Geotab (TDL) et les interfaces de programmation d’applications (API) sont un ensemble d’outils pour automatiser les tâches, bâtir des modules Add-Ons pour le dispositif Geotab GO, et intégrer des systèmes de gestion comme la comptabilité, la paie, les relations avec la clientèle (CRM), l’entretien, la planification des itinéraires, la gestion des risques et la conformité de la sécurité.

Meilleures pratiques pour la cybersécurité en télématique

Les entreprises gravitent vers les systèmes basés sur des logiciels et, en travaillant en nuage, la sécurité des données télématiques deviendra un enjeu encore plus important. Les systèmes télématiques sont vastes et complexes : une combinaison de matériel physique, de systèmes radio, de serveurs logiciels et d’intervenants humains. Comme de nombreux composants sont impliqués, les menaces possibles,1,2 sont nombreuses et peuvent inclure le vol, le brouillage GPS, brouillage, l’espionnage cellulaire, la manipulation de micrologiciel, l’exploitation du serveur et l’hameçonnage.

Stratégies générales pour la cybersécurité

La protection des données télématiques nécessite une approche globale et proactive. L’intégrité du système repose sur l’entretien de nombreux sous-systèmes, chacun possédant son ensemble distinct de vulnérabilités. Par conséquent, en plus de solides politiques et processus, créer une culture de sécurité au sein de l’organisation est le meilleur moyen de protéger les données et de s’armer contre des attaques malveillantes.

En général, la sécurité télématique peut être renforcée avec ces principes de sécurité de l’IdO :3,4

Leadership
Mettre en place une équipe dédiée de spécialistes et de gestionnaires de la sécurité qui croient en l’importance de la sécurité.
Politiques
Définir des stratégies complètes et transparentes sur la sécurité et la confidentialité
Conception
Inclure les meilleures pratiques de sécurité dans le développement de produits et de logiciels.
Éducation
Former régulièrement les employés, partenaires et utilisateurs finaux sur les stratégies et procédures de sécurité.

15 recommandations essentielles pour une plateforme télématique résiliente

L’appel a été lancé pour la sécurité renforcée du véhicule branché. Le FBI recommande que les propriétaires de véhicules vérifient les politiques de sécurité et de confidentialité des fabricants de périphériques et des fournisseurs de services, et ne branchent pas de périphériques inconnus ou non approuvés au port OBD II. » 5 Dans la même veine, la NAFA Fleet Management Association recommande que « les gestionnaires de flotte aient des politiques en place pour garantir que seuls des périphériques sécurisés sont branchés au port. »6

Geotab a proposé les 15 recommandations de sécurité suivantes pour la construction d’une plateforme télématique résistante aux cybermenaces. Pour plus de détails, veuillez consulter l’article complet en anglais (consultable sur : www.geotab.com/blog/telematics-cybersecurity-recommendations/ (en anglais seulement).7

  1. Mettre en œuvre le transfert sécurisé des données
  2. Signer numériquement les mises à jour
  3. Activer la protection du code du matériel
  4. Supposez que votre code est public et qu’il n’y a pas de secrets
  5. Utilisez des nombres aléatoires de chiffrement à fortes propriétés, qui ne peuvent faire l'objet d'aucune ingénierie inverse
  6. Individualisez les données dont la sécurité est critique
  7. Utilisez des clés différentes pour différents rôles
  8. Surveillez les métadonnées pour détecter le piratage
  9. N’oubliez pas de désactiver les fonctionnalités de débogage
  10. Effectuez des vérifications externes
  11. Limitez l’accès au serveur
  12. Adoptez des pratiques de conception sécurisées
  13. Implementar apoyo para las actualizaciones de software o firmware.
  14. Vérifiez et mettez à l’essai
  15. Favorisez une culture de sécurité

Sécurité de la plateforme télématique Geotab

Geotab adopte une approche rigoureuse à l’égard de la sécurité des données en suivant le principe de l’amélioration continue. Afin de protéger ses clients et partenaires, Geotab se soucie de constamment revoir, améliorer et valider nos processus et mécanismes de sécurité afin que nos systèmes restent bien armés contre les intrusions. Geotab fournit aux clients une documentation complète concernant les mesures de sécurité techniques et organisationnelles des données en vigueur à travers tout notre écosystème. Nous collaborons également avec des intervenants pour resserrer la sécurité dans l’ensemble de l’industrie.

En qualité de fournisseur de télématique verticalement intégrée, Geotab participe activement à chaque étape de son écosystème télématique.

La force grâce à l’intégration verticale

Conception et fabrication de dispositif télématique Programmation de micrologiciel
Chargement du micrologiciel sur le dispositif Canal de communication cellulaire
Gestion du serveur Développement d’interface de l’utilisateur

La sécurité de la plateforme Geotab est conçue pour la protection de vos données de bout en bout. Les ajouts importants incluent :

A continuación se presenta información adicional sobre la manera en que se consigue la seguridad del sistema telemático.

Sécurité dans la conception et la fabrication

Les modules microélectroniques de chaque dispositif Geotab GO sont fabriqués dans des installations à travers le monde. Les pièces sont retournées aux installations de Geotab où l’assemblage final par les employés de Geotab complète le matériel du dispositif GO. Les composantes électroniques de chaque dispositif sont mises à l’essai et ensuite préparées pour recevoir la programmation du micrologiciel.

Sécurité du micrologiciel

Un micrologiciel est un logiciel spécialisé qui contrôle les nombreux modules électroniques contenus dans un dispositif télématique. Il permet de communiquer avec le moteur d’un véhicule et les systèmes auxiliaires, pour recevoir les coordonnées GPS des satellites et pour coordonner le transfert des données sur les réseaux cellulaires.

Le dispositif télématique étant relié au système complexe et interconnecté du véhicule, le micrologiciel du dispositif devient une part particulièrement importante du système connecté en raison de son contrôle sur les données recueillies dans le véhicule.

Par conséquent, le micrologiciel d’un dispositif télématique devrait recevoir des mises à jour constantes pour ajouter des fonctionnalités et tenir compte des vulnérabilités potentielles de son code. En général, ces mises à jour se font invisiblement pour l’utilisateur : les mises à jour sont reçues en direct, et le processus d’installation est automatique et ne nécessite aucune intervention humaine.

Ces mises à jour sont simples et pratiques, mais elles peuvent donner une occasion aux agresseurs de tenter de remplacer le micrologiciel d’un dispositif télématique par un leur propre micrologiciel malveillant. Si une telle attaque devait réussir, elle permettrait à l’agresseur d’avoir le contrôle complet sur le dispositif télématique.

Pour empêcher une telle attaque, les méthodes suivantes doivent être utilisées pour sécuriser le dispositif :

Sans ces deux étapes pour vérifier que chaque mise à jour du micrologiciel est authentique, il est impossible de savoir si le dispositif est sous votre contrôle ou le contrôle d’un utilisateur malveillant intéressé à obtenir vos données.

Transfert sécurisé des données

Le dispositif télématique envoie des données du véhicule au serveur central par une connexion cellulaire. Bien que différente selon le territoire, le fournisseur et l’infrastructure, la communication cellulaire se fait couramment sur les réseaux 2G, 3G et LTE, qui peuvent avoir leurs propres vulnérabilités.8

Un canal de communication sécurisé peut être établi grâce au chiffrement. Le chiffrement est le processus de brouiller un message de sorte que seuls l’expéditeur et le destinataire puissent le voir. Pour un tiers, comme un agresseur, ce message chiffré apparaîtrait comme une collection de symboles inintelligible. Le destinataire du message, à l’aide d’une clé spéciale, peut transformer cette collection de symboles en information intelligible.

À ce titre, un canal normalement vulnérable à un réseau cellulaire peut être sécurisé en chiffrant les messages envoyés depuis un dispositif télématique vers le serveur de destination. En raison de ses propriétés mathématiques, le chiffrement ne peut être déchiffré trivialement même par des ordinateurs puissants. Les dispositifs Geotab utilisent le chiffrement de pointe.

Sécurité en nuage

Les dispositifs télématiques transmettent leurs données à des serveurs de sauvegarde et de traitement, qui peuvent être considérés comme des chambre-fortes contenant des informations précieuses. Les serveurs eux-mêmes peuvent être protégés en limitant leur accès physique au personnel autorisé seulement. D’autre part, les données qu’ils contiennent peuvent être protégées en sécurisant l’environnement « en nuage » par le biais de pare-feu standard de l’industrie, du contrôle d’accès et de la surveillance des activités.

Par contre, il faut bien comprendre que les systèmes les plus sécurisés ne sont pas parfaits. Dans le cas d’une violation de la sécurité, il est important d’être capable d’atténuer les dommages causés par tout accès non autorisé.

Des mesures d’atténuation consistent à minimiser les répercussions possibles d’une menace. Dans le nuage, une mesure d’atténuation efficace peut être appliquée en ne stockant jamais le mot de passe des utilisateurs, dont l’agresseur pourrait s’approprier. Il s’agit d’un processus appelé hachage et salage du mot de passe, c'est-à-dire, enregistrer une valeur hachée et salée d’un mot de passe au lieu du mot de passe lui-même. Ce processus empêche la vitesse à laquelle un attaquant peut aller chercher une valeur précieuse des données en nuage, s’il y accédait sans autorisation, ce qui fait ainsi gagner un temps précieux pour répondre à la sécurité de compromis et limiter les dégâts.

Le hachage et salage appuient la métaphore de la chambre-forte : si un voleur s’infiltre dans la chambre-forte d’une banque, au lieu d’avoir directement accès à la pile de trésors, il lui faudra s’infiltrer dans chaque coffre-fort, un à la fois, afin de voler les objets de valeur.

Culture d’entreprise de sécurité

La sécurité des données est une pratique plutôt qu’un geste. De nouvelles menaces à la sécurité verront sans doute le jour au fur et à mesure que la technologie se développe et que la complexité d’un système prend de l’ampleur. Une entreprise qui se préoccupe sérieusement de la sécurité surveillera constamment les enjeux de sécurité en mettant leurs systèmes à jour, en formant leurs employés, en raffinant leurs processus et en dépistant les vulnérabilités.

Au cœur même du système télématique œuvrent l’équipe d’ingénieurs et le personnel de soutien qui veillent à ce que tout se passe bien. Les entreprises résilientes devraient être conscientes qu’un employé pourrait aller contre l’intérêt de la société, peu importe si la fuite de données est en raison de paiements de concurrents, de malfaisance ou de simples erreurs accidentelles.

Conséquemment, il est essentiel qu’une organisation soit vigilante sur tous les plans. Il est possible de le faire en contrôlant et en surveillant les privilèges d’accès, en enregistrant un journal des opérations importantes et en s’assurant que tous les employés sont conscients des risques associés à leurs actions. Une puissante culture de sécurité devrait inspirer confiance chez les employés, à savoir qu’ils sont capables de faire face aux menaces à la sécurité, tout en ne générant pas d’anxiété au sujet des attaques qui pourraient ou non survenir.

Une des façons de renforcer la confiance dans la sécurité d’une organisation est de soumettre vos systèmes à des essais de pénétration. Les essais de pénétration sont des tentatives de piratage autorisées, effectués par une entreprise spécialisée dans la sécurité informatique. Dans un essai de pénétration, la société de sécurité tentera de trouver des vulnérabilités dans votre matériel et vos logiciels et, au lieu d’exploiter ces vulnérabilités comme pourrait le faire un pirate, ils documentent leurs méthodes d’attaque et vous communiquent leurs conclusions. Les résultats de l’essai de pénétration devraient ensuite être adressés en conséquence, que ce soit en colmatant les brèches de sécurité ou en modifiant les procédures internes, avant que des agents malveillants puissent exploiter ces mêmes vulnérabilités.

En fin de compte, la protection des données est un effort continu, à l’échelle de la société, visant à sauvegarder les données de tous les utilisateurs.

Cinq questions clés à poser à votre fournisseur de télématique

La sécurité est un sujet complexe qui traite chaque partie d’un système de télématique. Simplement demander « nos données sont-elles sécurisées? » ne suffit pas. Avec des données précieuses en jeu, vos questions devraient viser plus profondément. Elles devraient viser à trouver des implémentations et des stratégies précises qui forment la base des normes modernes de sécurité.

Les questions suivantes sont destinées à vous préparer à discuter de la sécurité de vos données télématiques avec votre fournisseur de télématique.

1. Qui fabrique le matériel télématique? Le dispositif sera-t-il le même dans toute ma flotte?

Pourquoi est-ce important de le demander : Si votre fournisseur de télématique ne fabrique pas son propre matériel, il ne peut pas avoir une bonne idée de la sécurité du matériel. De même, si votre fournisseur n’a pas de contrôle direct sur la sécurité de son matériel et de ses logiciels, ils peuvent prendre plus de temps pour répondre aux menaces et aux vulnérabilités, car ils auront besoin coordonner avec de tierces parties.

En plus de ça, le matériel électronique est mis à jour fréquemment. Des modèles de matériel différent peuvent introduire des ensembles de vulnérabilités différentes pour chaque modèle, ce qui signifie que plus de travail devra être fait pour corriger ces brèches de sécurité dans l’ensemble de la gamme de produits. Avec plus de variantes matérielles, plus de pression est exercée sur les ingénieurs pour maintenir et corriger les failles de sécurité. Les ressources pourraient ainsi ne pas être uniformément réparties et l’attention pourrait vaciller en raison de la complexité du produit, pouvant mener à des omissions et à des vulnérabilités qui leur échappent. Les fabricants doivent être les responsables de la sécurité pendant toute la durée de vie du produit.

2. Est-ce que vous chiffrez les données au moment où elles sont transmises par le réseau cellulaire?

Pourquoi est-ce important de le demander : Il ne faut pas entièrement vous fier aux entreprises de télécommunications cellulaires pour sécuriser la transmission de vos données de télématique en direct. Il est important que vos fournisseurs de télématique prennent des mesures additionnelles pour chiffrer vos données de sorte que même si le canal de communication cellulaire est compromis, vos données ne le sont pas.

3. Le micrologiciel est-il signé pour empêcher des tiers de modifier le code du dispositif?

Pourquoi est-ce important de le demander : Le micrologiciel est le cerveau du dispositif. Il décide où les données sont envoyées, quelles données sont saisies et comment elles sont enregistrées. Si un micrologiciel malveillant a été installé sur votre dispositif, il ne serait plus possible de savoir où vos données sont envoyées ou ce qu’il leur arrive. Votre fournisseur de télématique doit signer chaque mise à jour du micrologiciel par une signature numérique qui indique que la mise à jour provient d’une source fiable.

4. Avez-vous de la documentation sur la sécurité de votre matériel, vos serveurs, la transmission des données, ainsi que des politiques pour les employés ?

Pourquoi est-ce important de le demander : La documentation de sécurité montre un engagement de base à une culture de sécurité. Un fournisseur de télématique devrait être en mesure de fournir des détails sur leurs mesures de sécurité, ainsi que leurs stratégies d’atténuation et de récupération en cas de catastrophe, au cas où quelque chose d’inattendu se produit.

Un schéma du processus de sécurité, comme la Déclaration des mesures techniques et organisationnelles pour la sécurité des données (en anglais seulement) de Geotab en dit long pour vous aider à comprendre ce qui arrive à vos données.

5. Si vos serveurs étaient compromis, quel genre de stratégie d’atténuation utilisez-vous pour protéger les informations de compte de vos utilisateurs?

Pourquoi est-ce important de le demander : Si une atteinte à la sécurité se produit, le système devrait contenir aussi peu de renseignements que possible. Aucun mot de passe ne devrait être directement enregistré dans le système de votre fournisseur de télématique; plutôt, les mots de passe devraient être transformés en hachages et renforcés par salage.

Sommaire

La sécurité de vos données télématiques ne doit pas être négligée. Comme toutes les autres données sensibles de l’entreprise, elles doivent être protégées par des mécanismes de sécurité et des processus exhaustifs, continuellement réévalués et mis à jour. Il est essentiel de suivre les meilleures pratiques de l’industrie.

Cela dit, la cybersécurité est aussi une responsabilité partagée. Nous pouvons tous jouer un rôle dans le maintien de systèmes de sécurité puissants. La première étape vers la gestion efficace de la cybersécurité consiste à se renseigner et à poser des questions.

Pour en savoir plus sur la sécurité de la télématique, veuillez visiter :www.geotab.com/fr/security

Références

  1. S. Kilcarr, « Telematics hacking : Three things you need to know, » Sep. 3, 2015. Consulté sur : http://fleetowner.com/technology/telematics-hacking-three-things-you-need-know
  2. H. Williams, « Top five biggest threats to IoT security, » Oct. 24, 2016. Consulté sur : http://www.cbronline.com/news/cybersecurity/breaches/top-five-biggest-threats-iot-security/
  3. M. Turner, « How to secure the internet of things, » June 2015. Consulté sur : http://www.computerweekly.com/opinion/How-to-secure-the-internet-of-things
  4. Accenture, « Securing the Internet of Things : Executive Summary, » 2015. Consulté sur : https://www.accenture.com/t00010101T000000__w__/jp-ja/_acnmedia/Accenture/Conversion-Assets/Microsites/Documents22/Accenture-Security-Call-to-Action-IoT-ExecSummary-FINAL.pdf
  5. Federal Bureau of Investigation, « Alert Number I-031716-PSA : Motor Vehicles Increasingly Vulnerable to Remote Exploits, » Mar. 17, 2016. [En ligne] Consultable sur : https://www.ic3.gov/media/2016/160317.aspx.
  6. NAFA Fleet Management Association, « Fleet Management and the Connected Vehicle, » Oct. 2016. [En ligne] Consultable sur : www.nafa.org/.
  7. A. Sukhov, « 15 Security Recommendations for Building a Telematics Platform Resilient to Cyber Threats, » Nov. 14, 2016. Consulté sur : https://www.geotab.com/blog/telematics-cybersecurity-recommendations/
  8. D. Perez and J. Pico, « A practical attack against GPRS/EDGE/UMTS/HSPA mobile data communications, » 2011. Consulté sur : https://media.blackhat.com/bh-dc-11/Perez-Pico/BlackHat_DC_2011_Perez-Pico_Mobile_Attacks-wp.pdf

Share This Story

Facebook LinkedIn Twitter Google+ Email