Publié le 7 août 2020 dans Compliance par l’équipe Geotab .
Découvrez la cybersécurité de la DCE et comment gérer les risques.
Le 21 juillet, le Federal Bureau of Investigation (FBI) a publié une notification de l’industrie privée (PIN) sur la sécurité des dispositifs de consignation électronique (DCE). Le document, intitulé « Electronic Logging Device Cybersecurity and Best Practices » (cybersécurité et meilleures pratiques en matière de dispositifs de consignation électronique), donne des informations clés sur les dispositifs de consignation électronique et le risque cybernétique, ainsi que des conseils sur la gestion du risque.
Pourquoi la notification a-t-elle été émise ?
L’objectif de l’avis du FBI est d’alerter les entreprises sur l’importance de la cybersécurité de la DCE et sur le potentiel d’activités criminelles cybernétiques. Aucune exigence spécifique en matière de cybersécurité n’est imposée aux fabricants ou aux fournisseurs de dispositifs électroniques d’aide à l’emploi, mais le FBI encourage les entreprises à s’adresser à leurs fournisseurs pour obtenir des informations sur la sécurité.
Comment les flottes peuvent-elles atténuer leur risque de cybersécurité ?
Pour atténuer le risque cybernétique, le FBI recommande aux entreprises de suivre les meilleures pratiques de la LDE. Il encourage également les entreprises à discuter de la cybersécurité avec leur fournisseur de services de lutte contre les cyberattaques. Voici la liste des questions à poser à partir de l’avis du FBI.
Questions à poser à votre fournisseur de solution DCE :
– La communication entre le moteur et la DCE est-elle assurée ?
– Les normes techniques actuelles ou les meilleures pratiques ont-elles été suivies lors du développement du dispositif ?
– Le composant [dispositif ELD] protège-t-il la confidentialité et l’intégrité des communications ?
– Le composant [dispositif ELD] a-t-il fait l’objet de tests de pénétration ?
– L’appareil est-il doté d’un démarrage sécurisé ?
– L’appareil est-il livré avec un mode de débogage désactivé ?
Le FBI déclare que l’adoption d’une « approche active pour l’examen des options liées à la DCE » est une mesure utile. Prendre le temps d’évaluer de manière critique une solution DCE avant son déploiement peut aider à minimiser les risques, mais aussi à vérifier la qualité pour éviter des perturbations coûteuses dues à des problèmes de performance.
Le mandat américain sur la DCE n’exige pas de validation par un tiers ou de test des DCE avant l’autocertification. Il est donc d’autant plus important que les flottes fassent preuve de diligence raisonnable dans la recherche sur les troubles de l’apprentissage.
Les flottes peuvent également se référer aux lignes directrices sur la cybersécurité des systèmes télématiques de la National Motor Freight Traffic Association (NMFTA) pour obtenir des conseils sur l’évaluation des considérations de cybersécurité. Pour en savoir plus sur la NMFTA et la cybersécurité.
Les réponses de Geotab aux questions du FBI pour tous les clients
Bien que le FBI n’ait pas fourni de réponses détaillées aux questions sur la DCE, nous avons décrit ci-dessous ce que nous considérons comme des réponses minimales acceptables de la part d’un fournisseur DCE. Geotab répond à toutes ces considérations de cybersécurité mentionnées ci-dessous.
La communication entre le moteur et la LDE est-elle assurée ?
La section SCP-060 du document NMFTA est la suivante : « Le vendeur doit appliquer les contrôles intégrés dans le dispositif télématique pour limiter les commandes et les données éventuelles transmises au réseau du véhicule. Le dispositif GO est conçu pour minimiser le nombre de commandes ou de données transmises dans le véhicule sur le bus CAN.
Les normes techniques ou les meilleures pratiques ont-elles été suivies lors du développement de l’appareil ?
Geotab publie son cycle de vie du développement logiciel. En outre, veuillez consulter le livre blanc sur l’intégrité des produits de Geotab pour obtenir des informations sur la conformité aux normes internationales. Enfin, Geotab a activement contribué aux exigences de cybersécurité du NMFTA pour les systèmes télématiques liés dans la notice PIN du FBI.
Ce volet protège-t-il la confidentialité et l’intégrité des communications ?
Geotab fournit l’une des solutions télématiques les plus sûres disponibles sur le marché aujourd’hui. Geotab utilise le cryptage pour protéger les données à tout moment pendant leur collecte, leur transmission, leur stockage et leur utilisation. Les appareils GO utilisent l’AES 256 pour crypter toutes les données au repos (DAR). Les clés DAR AES 256 sont générées et stockées dans le microcontrôleur de l’appareil GO.
Chaque appareil GO crée ses propres clés aléatoires AES 256 uniques. Les clés AES 256 sont générées sur le dispositif GO par un générateur de nombres pseudo-aléatoires cryptographiquement sécurisé (CSPRNG). Le module cryptographique de Getoab a obtenu la validation FIPS 140-2. Le certificat porte le numéro #3371. Geotab est la première entreprise de télématique à avoir obtenu la validation FIPS 140-2.
La transmission de données de l’appareil GO à la solution MyGeotab utilise un schéma de clé de cryptage AES 256 pour crypter toutes les données en transit (DIT). Les clés DIT sont stockées de manière sécurisée par les appareils GO à l’aide des clés DAR. Les clés DIT sont également stockées par la solution MyGeotab. Les clés DIT AES 256 sont générées par la solution MyGeotab à l’aide d’un CSPRNG. Tous les serveurs de la solution MyGeotab sont configurés pour fonctionner en « mode FIPS », de sorte que les clés sont générées par une bibliothèque cryptographique validée FIPS 140-2.
Les données des clients dans la solution MyGeotab sont cryptées au repos à l’aide du cryptage de disque AES 256 fourni par Google. Pour plus d’informations sur le cryptage du disque de Google, consultez le site https://cloud.google.com/security/encryption-at-rest/. Les données des clients transmises dans la solution MyGeotab sont cryptées en transit avec TLS 1.2.
Les clients peuvent accéder à leurs données stockées dans MyGeotab de deux manières : via un navigateur web ou via une API. L’accès à l’application web MyGeotab et à l’API se fait par HTTPS avec TLS 1.2. L’accès des clients est contrôlé soit par un nom d’utilisateur et un mot de passe, soit par le SSO avec SAML 2.0. Les règles de complexité des mots de passe sont définies par les clients dans l’application MyGeotab.
Le composant a-t-il fait l’objet de tests de pénétration ?
Oui. Geotab effectue au moins un test annuel de pénétration du matériel sur le dispositif GO.
L’appareil a-t-il un démarrage sécurisé ?
L’appareil GO utilise un micrologiciel qui a été signé de manière cryptographique par Geotab et les clés de cryptage sont stockées en toute sécurité dans la mémoire du microprocesseur embarqué. Cela garantit l’authenticité du microprogramme utilisé par l’appareil GO au moment de son démarrage.
L’appareil est-il livré avec un mode de débogage désactivé ?
L’appareil GO est livré avec le mode de débogage désactivé.
Quelles sont les mesures de cybersécurité supplémentaires mises en place par Geotab ?
Geotab adopte une approche proactive de la sécurité de l’information. En tant que leader mondial des véhicules connectés et de l’IoT, Geotab a développé un programme de cybersécurité rigoureux et complet. Nous travaillons avec des associations industrielles et des universités pour développer des technologies et des pratiques de sécurité et sensibiliser aux meilleures pratiques.
L’année dernière, Geotab a été la première entreprise de télématique à obtenir la validation FIPS 140-2 du National Institute of Standards and Technology (NIST) pour le module cryptographique de notre dispositif de suivi des véhicules Geotab GO. La validation FIPS 140-2 est la référence pour les modules cryptographiques protégeant les informations sensibles dans les systèmes informatiques et de télécommunication pour les applications gouvernementales et militaires en Amérique du Nord.
Visitez le centre de sécurité Geotab pour plus de ressources sur la sécurité
Nous vous invitons à vous rendre au Centre de sécurité Géotab pour obtenir plus de détails sur les politiques et les pratiques de Géotab. Le Centre de sécurité comprend des informations sur la politique de sécurité et l’équipe de direction du Géotab, la confidentialité des données des clients, des ressources d’apprentissage et un formulaire de contact.
Lire la lettre de réponse de Geotab à la notification du FBI
Plus de ressources d’apprentissage Geotab sur la cybersécurité des flottes
Les ressources Géotab suivantes donnent un aperçu des considérations importantes et des meilleures pratiques en matière de sécurité télématique. En outre, vous pouvez consulter d’autres bonnes pratiques et lignes directrices dans le document de la FMCSA intitulé Cybersecurity Best Practices for Integration/Retrofit of Telematics and Aftermarket Electronic Systems into Heavy Vehicles.
Articles de blog :
· Quatre questions sur la cybersécurité que tout responsable de flotte doit se poser
· Les bases de la cybersécurité – comment protéger votre entreprise
· 15 recommandations de sécurité pour la construction d’une plateforme télématique résistante aux cyber-menaces
· Considérations de cybersécurité pour la télématique
Livre blanc :
· Bonnes pratiques pour la gestion de la cybersécurité dans le domaine de la télématique (anglais)
Conclusion
La cybersécurité est une considération essentielle lorsqu’il s’agit de toute technologie ou dispositif pour votre entreprise, y compris les DCE. La notification du FBI sur l’enregistrement électronique rappelle qu’outre la sécurité, la productivité et l’efficacité, les parcs de véhicules et les fournisseurs de solutions doivent toujours être attentifs à la sécurité de leur organisation.
AttriX est une compagnie québécoise qui contribue chaque jour à l’amélioration des habitudes de conduite des chauffeurs à travers l’Amérique du Nord. Grâce à sa populaire solution Challenge Chauffeur et ses solutions de gestion de flotte intégrées conformes à la réglementation canadienne, AttriX se positionne en tête de lice pour satisfaire les besoins complexes des transporteurs canadiens.