Retour à l’environnement CDK : Actions que votre concessionnaire devrait envisager

CDK, un fournisseur de service de solution pour les concessionnaires automobiles a annoncé la restauration de tous les services d’ici le 4 juillet à la suite de l’incident de sécurité survenu le 19 juin dernier. Il est crucial de prendre des mesures pour assurer la sécurité de votre réseau et l’intégrité de vos données. Cet article fournit une liste d’actions à considérer pour renforcer la posture de sécurité de votre concession et préserver la traçabilité des audits financiers. Cet article est une liste de mesures à prendre en compte alors que votre concessionnaire se prépare à revenir à l'environnement CDK. Cependant, il est important de consulter vos conseillers juridiques en lien avec la conformité aux lois fédérales ou provinciales sur la protection des renseignements personnel ex. LPRPDE.

Comptabilité et contrôles

  • Passez en revue les configurations clés de CDK pour chaque service avant de reprendre leurs activités comme d'habitude et avant d'entrer des transactions manuelles dans le système.
  • Produisez immédiatement une balance de vérification et comparez-la à votre plus récente balance de vérification avant l'arrêt.
  • Envisagez de recréer un état financier du concessionnaire au 31 mai 2024 et comparez-le à celui qui a été préparé avant la perturbation de CDK. Examinez et réconciliez les différences.
  • Mettre à jour les rapprochements de trésorerie quotidiens avant que de nouvelles écritures manuelles ne soient affichées.
  • Après avoir entré des transactions manuelles qui ont eu lieu pendant l'arrêt, envisagez d'effectuer des inventaires physiques des véhicules neufs et d'occasion, des véhicules de service et de prêt, ainsi que des pièces et accessoires. Assurez-vous de comparer cet inventaire physique à d'autres sites tiers en dehors de l'environnement de CDK.
  • Passez en revue les listes de contrôle des dossiers de ventes pour tout document manquant qui peut avoir besoin d'être rempli, a besoin d'une signature humide, etc.
  • Considérations relatives à la paie :
    • Comment avez-vous payé les employés — salaire calculé ou avances ?
    • Considérez les calculs de commission manuel versus les calculs sur les rapports générés par le système.
    • Considérez une paie hors cycle et si votre fournisseur de paie pourrait s'adapter à cela.
    • Tenez compte du calendrier des retenues sur la paie et des déductions d'impôt connexes pour la période considérée.
  • Après avoir enregistré des transactions manuelles, examinez les calendriers comptables pour tout solde inhabituel, numéro de contrôle, etc.
  • Effectuer un examen des ordres de réparation ouverts et des billets de pièces ouverts.
  • Effectuer des rapprochements des comptes clés, p. ex., trésorerie, plan d'étage, comptes d'usine, etc. Enquêter et résoudre le rapprochement des éléments le plus rapidement possible.
  • À l'approche de la fin du mois, envisagez d'alerter vos fabricants d'équipement d'origine (OEM), s'il y a lieu, d'un retard probable dans la production des états financiers.
  • Si votre groupe de concessionnaires a des exigences externes en matière de rapports sur les états financiers et/ou des exigences de conformité aux clauses restrictives de dette, envisagez d'alerter votre banquier d'un retard probable dans le respect de ces délais, si applicable.

Considérations relatives à la piste de vérification

Nous reconnaissons que la sécurité de votre réseau et l'intégrité de vos données seront votre priorité absolue lorsque vous retournerez à l'environnement CDK, et en même temps, de nombreux groupes de concessionnaires font l'objet d'un audit externe des états financiers. Pour ces groupes, la préservation de la « piste de vérification » sera très importante, et nous couvrirons quelques conseils et pratiques exemplaires sur ce sujet dans une alerte future.

Réseau et sécurité

Nous pensons qu'il est prudent de supposer le pire du point de vue du réseau global et de la sécurité et nous vous encourageons à réagir en conséquence. À ce titre, nous avons fourni la liste de contrôle suivante des domaines que les membres du personnel informatique doivent évaluer afin d'identifier certaines lacunes potentielles qui, une fois corrigées, renforceraient la posture de sécurité du concessionnaire. Si un fournisseur de services gérés (MSP) est utilisé pour maintenir les réseaux de concessionnaires, ces questions aideront à s'assurer que le MSP couvre tous ces domaines.

  • Procédures de compte privilégié et stratégies de mot de passe/réinitialisations de mot de passe
    • Effectuez une réinitialisation de mot de passe à l'échelle du système pour tous les utilisateurs de domaine, administrateurs et comptes de service (si possible).
      • Effectuez des audits de mots de passe pour analyser les mots de passe actuels.
        • Interdire l'utilisation de mots de dictionnaire et d'hybrides pour les mots de passe. Les utilisateurs devraient être formés à penser en termes de phrases de passe plutôt que de mots de passe.
        • Interdire les variantes de « mot de passe », « noms de mois », « noms de saison » et « prénoms » comme mots de passe.
        • Ne peut pas être identique aux 12 mots de passe précédents.
        • Âge maximal du mot de passe indéfini, 365 ou la plupart des jours autorisés par la réglementation de l'industrie.
        • Âge minimum du mot de passe d'un jour.
        • Longueur minimale du mot de passe de 12 caractères.
      • Assurez-vous que les contrôleurs de domaine ne sont pas configurés pour stocker les hachages LM (LAN Manager) des mots de passe si la compatibilité descendante n'est pas requise.
      • Exigez des mots de passe de 15 caractères avec complexité pour les comptes d'administrateur et les comptes privilégiés.
        • Aucune duplication de mots de passe exacts entre l'un de ces trois comptes d'administrateur, par exemple, les mots de passe d'administrateur de domaine doivent être différents des mots de passe d'administrateur de serveur local et de station de travail.
  • Inventaire des biens
    • Assurez-vous que le plan de réseau et les documents de conception sont mis à jour pour inclure tous les actifs.
    • Incluez tous les appareils avec visibilité externes (Internet) et  les appareils internes pour toutes les infrastructures du concessionnaires (sur site et hébergées en infonuagique).
    • Assurez-vous que les copies sont stockées hors réseau ou isolé avec la politique de réponse aux incidents répertoriée ci-dessous.
  • Gestion de la surface d'attaque
    • Effectuez une analyse des vulnérabilités de tous les appareils avec visibilité sur l’externe (Internet) et internes.
      • Éliminez tous les services inutiles d'Internet qui n'ont pas besoin d'être activés. Les connexions aux pares-feux et les connexions aux appareils de l'Internet des objets (IoT) doivent toutes être supprimées d'Internet.
      • Tous les périphériques hérités doivent être supprimés ou segmentés des réseaux d'entreprise via un pare-feu ou une liste de contrôle d'accès (ACL) car ils sont exploitables, et les mots de passe de ces périphériques ne doivent refléter aucun autre compte privilégié sur d'autres postes de travail ou serveurs (administrateurs locaux sur les postes de travail et les serveurs).
  • Suivez les procédures de gestion des correctifs pour tous les systèmes d'exploitation (OS), les applications installées sur les postes de travail et les serveurs des utilisateurs finaux (Office, Adobe, etc.) et les mises à jour du firmware des appareils (commutateurs, routeurs, pare-feu, etc.).
  • Formation de sensibilisation aux utilisateurs finaux
    • Les auteurs de menaces tentent de tirer parti des entreprises en période de stress. Envoyez un courreil à tous les utilisateurs et rappelez-leur de ne pas fournir d'informations sensibles (mots de passe) ou de détails à quelqu'un qui appelle en se faisant passer pour un service informatique, un fournisseur tiers ou des utilisateurs internes comme le CHEF DE LA DIRECTION FINANCIÈRE.
    • Les auteurs de menaces peuvent compromettre les courriel des fournisseurs et envoyer des courriels aux concessionnaires prétendant être une autre organisation via un courriel légitime, ce qui inclut également les courriels potentiels qui semblent provenir d'une source légitime.
    • Aucun CCA ou virement bancaire ne doit être effectué sans suivre toutes les procédures appropriées, quelle que soit l'urgence, y compris si l'e-mail provient de votre chef de la direction financière.
  • Capacités de sauvegarde et de restauration
    • Assurez-vous d'avoir testé les fonctionnalités de sauvegarde et de restauration pour les serveurs et les postes de travail, y compris les serveurs d'applications.
    • Assurez-vous que les sauvegardes sont immuables ou que vous avez des images dorées pour tous les appareils qui sont isolé du réseau d'entreprise.
      • La plupart des organisations peuvent restaurer facilement les serveurs, mais comment réimager tous les postes de travail des utilisateurs finaux si les événements de rançongiciel traversent plusieurs emplacements ? Si ce processus n'est pas hautement automatisé, il s'agit d'un problème critique que vous devez immédiatement résoudre.
    • Une fois que le DMS a restauré les données des clients des concessionnaires, il peut être utile que votre concessionnaire puisse également sauvegarder ses données en dehors du DMS. Cela permettrait aux concessionnaires d'avoir des copies de leurs données à l'extérieur du système, de stocker les données dans leurs réseaux (infonuagie ou sur site), de sauvegarder les données quotidiennement et d'examiner / tester régulièrement pour s'assurer que les concessionnaires ont des copies des données de base des clients.
      • Ce risque de sécurité a été identifié dans le plus récent incident de sécurité DMS, où un fournisseur critique / principal (DMS) avait le potentiel de perdre les données client de chaque concessionnaire et pourrait avoir été incapable de remédier à cette menace après l'incident de sécurité.
      • Il peut également être utile pour les concessionnaires de vérifier les fournisseurs principaux pour s'assurer que leurs fournisseurs critiques / principaux adhèrent aux meilleures pratiques de l'industrie, ainsi qu'aux attentes et aux accords de niveau de service (SLA) du concessionnaire.
  • Intervention en cas d'incident
    • Assurez-vous d'avoir une politique en cas d’incident formelle et mise à jour ainsi qu'une arborescence de contacts pour toutes les parties prenantes clés, y compris les fournisseurs, qui est isolé du réseau d'entreprise. Si la politique en d’incident ne couvre pas les incidents de sécurité (le fournisseur principal étant affecté), alors le mettre à jour.
    • Il est également fortement recommandé de tester la force du plan de réponse à un incident à l'aide d'un exercice simulé pour former l'équipe d'intervention et identifier les lacunes dans le plan.
  • Détection et réponse gérées/Protection des terminaux(MDR/EPP)
    • Assurez-vous que vos technologies MDR/EPP (antivirus) sont mises à jour et que des analyses complètes du disque sont effectuées. Une évaluation des lacunes devrait être effectuée par rapport à la déclaration des biens, et les biens sur lesquelles ces technologies sont déployées lorsqu'on les compare à l'inventaire des biens des appareils décrits ci-dessus. Assurez-vous que ces technologies sont déployées à l'échelle de l'entreprise.
    • Si vous exécutez des programmes antivirus sans fonctionnalités EPP, vous devez envisager la mise à niveau vers un logiciel de protection des terminaux.
  • Implémentation d'IDS/IPS et journalisation automatisée d'événements
    • Assurez-vous que la journalisation et les alertes sont activées dans tout le domaine. Pouvez-vous détecter les modifications apportées au groupe administrateurs de domaine ? Demandez au personnel informatique d'ajouter et de supprimer un exemple d'administrateur de domaine au contrôleur de domaine et de voir si vous avez une visibilité en temps réel sur cet événement via une alerte à l'informatique ou au MSP.

Si vous ne pouvez pas détecter ou « voir » cet événement, vous ne verrez pas d'auteurs de menaces lorsqu'ils se trouvent dans votre réseau, ce qui pourrait déclencher d'autres événements critiques répertoriés ci-dessous :

  • Chiffrement de fichiers sur des terminaux hôtes
  • Désactivation des services de récupération sur les terminaux hôtes
  • Suppression de fichiers journaux sur les ordinateurs terminaux hôtes
  • Suspension des terminaux hôtes des technologies MDR/EPP
  • Suppression de clichés instantanés sur les terminaux
  • Établissement d'une connexion distante via un pare-feu à un serveur de commande et de contrôle (C2) et à un point de terminaison interne

Si l'un de ces événements a été détecté en temps réel, il est peut-être temps de couper toutes les connexions Internet de l'entreprise.

  • Surveillez-vous vos journaux et alertes 24/7 ? Si ce n'est pas le cas, vous voudrez peut-être parler à un fournisseur de services de sécurité gérés pour vous aider.
  • Pare-feu
    • Assurez-vous que les pares-feux sont mis à jour et que la journalisation est activée et révisée quotidiennement.
    • Assurez-vous que la liste de contrôle d'accès et les entrées (ACL/ACE) sont renforcées et accordé basées sur l'adresse IP et les services nécessaires et clairement étiquetés.
    • S'assurer que les procédures de renforcement ont été effectuées par rapport à une directive de référence réputée, telle que le Center for Internet Security (CIS).
    • Votre pare-feu peut-il détecter l'exfiltration de données vers des indicateurs de compromission connus (IoC) via le serveur C2 ?
  • Filtre de trafic Web
    • Éliminez le trafic inutile des utilisateurs finaux vers des sites Web non liés aux entreprises et bloquez par catégories (si possible).
    • Assurez-vous que le trafic DNS sortant est inspecté et filtré avec les technologies appropriées qui empêchent les abus DNS sortants par les auteurs de menaces et leurs serveurs C2.
  • Filtrage des courriels / Renforcement des courriels
    • Assurez-vous que DMARC, SPF et DKIM sont configurés de manière appropriée pour le système de messagerie d'entreprise.
    • Nous vous recommandons d'utiliser un leader de l'industrie pour la sécurité des courriels ainsi qu'un leader technologique de l'analyse du comportement secondaire qui s'intègre à la passerelle de messagerie de sécurité. La majorité des violations de données se produisent via ce vecteur, et l'utilisation de plusieurs couches de sécurité est considérée comme une meilleure pratique de l'industrie.
  • Scripts et procédures de renforcement
    • Assurez-vous que la commande Windows et PowerShell sont limités via la stratégie de groupe aux seuls utilisateurs d'administrateur réseau.
    • Assurez-vous que seuls les objets requis disposent de privilèges DCSync.
    • Assurez-vous que seuls les comptes de service ont des noms principaux de service (SPN) pour la prise en charge de Kerberos et ont des mots de passe forts et complexes (>15 caractères).
    • Identifiez les utilisateurs qui disposent des privilèges appropriés pour effectuer des attaques d'informations d'identification de clichés instantanés et réduisez leurs niveaux de privilèges pour empêcher l'attaque. Vous pouvez également ajouter des paramètres de contrôle de sécurité supplémentaires pour empêcher le principe « tout le monde » de modifier l'attribut msDS-KeyCredentialLink pour tout compte privilégié.
  • Liste d'autoriser l'application
    • Ce contrôle est généralement manquant dans les réseaux de la plupart des organisations, mais il s'agit d'un contrôle de défense fort dans le cas où le MDR / EPP ne parvient pas à empêcher la charge utile d'un auteur de menaces de s'exécuter.
  • Prévention de la perte de données (DLP)
    • Assurez-vous que vos contrôles DLP et vos capacités de visibilité ont une visibilité sur les points de terminaison de l'utilisateur final, le trafic sortant via des pare-feu, des serveurs de messagerie et des serveurs C2 potentiels via le trafic DNS.
  • Segmentation du réseau
    • Assurez-vous que les réseaux d'entreprise sont segmentés de manière à résister aux attaques de mouvement latéral (pare-feu entre les concessionnaires) pour assurer la continuité des emplacements, où la sécurité d'un emplacement n'affecte pas un autre concessionnaire sur le toit sous le même groupe de propriété.
    • Assurez-vous que la solution de mot de passe d'administrateur local Microsoft (LAPS) est activée et que les comptes d'administrateur local sont supprimés.
    • Le point de terminaison Windows client à client doit être bloqué.
    • Les protocoles d'accès à distance doivent être renforcés et limités aux membres du personnel informatique ou au MSP qui gère le réseau du concessionnaire.

Nous reconnaissons que la liste ci-dessus peut sembler écrasante, mais nous pensons qu'il s'agit d'un événement sans précédent qui nécessite une réponse globale. Si vous souhaitez plus d'informations ou si vous avez des questions sur ces questions de réseau et de sécurité, veuillez contacter un professionnel de Forvis Mazars.

Plus d’infos ?

André Pelletier
André Pelletier Dir. princ. en audit TI et Leader de l'innovation - Montréal

Profil détaillé