Un point unique de défaillance logicielle pourrait paralyser 15 000 concessionnaires automobiles pendant des jours
Scott Olson / Getty Images
CDK Global se présente comme une solution logicielle en tant que service tout-en-un à laquelle « près de 15 000 revendeurs font confiance ». Une connexion, via un VPN permanent aux centres de données de CDK, offre à un concessionnaire un logiciel de gestion de la relation client (CRM), un financement, un inventaire et davantage d’outils de back-office.
Cette nature tout-en-un explique pourquoi les gens qui tentent d’acheter des voitures, et en particulier ceux qui tentent de les vendre, ont eu quelques jours difficiles. Les services de CDK sont en panne, en raison de ce que la société décrit comme un « cyberincident ». CDK a fermé la plupart de ses systèmes le mercredi 19 juin, puis a déclaré aux concessionnaires dans l’après-midi qu’il avait rétabli certains services. CDK a déclaré aux concessionnaires aujourd’hui, le 20 juin, qu’elle avait « subi un cyber-incident supplémentaire tard dans la soirée du 19 juin » et avait de nouveau arrêté les systèmes.
« Pour le moment, nous n’avons pas de délai estimé pour la résolution et par conséquent les systèmes de nos concessionnaires ne seront pas disponibles au minimum le jeudi 20 juin », a déclaré CDK à ses clients.
Le 20 juin à 14 heures, heure de l’Est, un message automatisé sur la ligne d’assistance des mises à jour de CDK indiquait : « Pour le moment, nous n’avons pas de délai estimé pour la résolution et par conséquent, les systèmes de nos concessionnaires ne seront probablement pas disponibles avant plusieurs jours. » Le message ajoutait que les lignes d’assistance resteraient fermées en raison des mesures de sécurité. Rétablir les services des concessionnaires était « notre plus grande priorité », indique le message.
Sur Reddit, les propriétaires de concessionnaires automobiles et les travailleurs ont accueilli la nouvelle avec une combinaison de colère et de « Qu’est-ce qui ne va pas avec le papier et Excel ? » Certains concessionnaires déclarent ne pas être en mesure de faire plus que des vidanges d’huile ou d’écrire les noms et numéros de clients, tandis que d’autres ont cherché à se contenter de documenter les commandes qu’ils envisagent de passer une fois que leurs systèmes seront de nouveau en ligne.
« Nous avons perdu 4 offres dans mon magasin à cause de cela », a écrit un utilisateur jeudi matin sur r/askcarsales. « L’ensemble de notre groupe automobile utilise CDK pour à peu près tout et nous sommes complètement morts. Plus de 30 magasins dans notre groupe automobile. »
« Jusqu’à il y a un mois, nous étions sur notre propre serveur parce que CDK nous obligeait à passer au cloud pour pouvoir implémenter [Electronic Repair Orders, EROs] », a écrit un employé sur r/serviceadvisors. » Depuis le changement, CDK se bloque plusieurs fois par jour, mais il est maintenant complètement indisponible depuis 2 jours. CDK, je veux divorcer. »
CDK bénéficie d’une hausse de la consolidation
CDK a débuté en tant que branche concessionnaire automobile du géant du traitement de la paie ADP après qu’ADP ait acquis deux sociétés de systèmes d’inventaire et de vente en 1973. CDK a été séparée d’ADP en 2014. À la mi-2022, elle a été acquise par la société de capital-risque Brookfield Business Partners et est devenue privée, suite à la pression d’investisseurs publics activistes pour réduire les coûts.
Brookfield avait déclaré à l’époque qu’elle s’attendait à ce que CDK « bénéficie d’une consolidation accrue dans le secteur de la gestion des concessions », un secteur estimé à 30 milliards de dollars d’ici 2026. Les analystes considèrent généralement CDK comme l’acteur dominant sur le marché de la gestion des concessions, avec 15 000 clients supplémentaires dans l’industrie du camionnage.
Sous la direction du PDG Brian McDonald, qui est revenu dans l’entreprise après son rachat par le capital-investissement, la société a transféré la majeure partie de son unité informatique d’entreprise à la société d’externalisation mondiale Genpact en mars 2023.
CDK a publié un rapport sur la cybersécurité pour les concessionnaires en 2023. Il indique que les concessionnaires ont subi en moyenne 3,4 semaines d’arrêt à cause d’attaques de ransomware, soit potentiellement un paiement moyen de 740 144 $ (ou même les deux). L’assureur Zurich North America a noté dans un rapport de 2023 que les concessionnaires constituent une cible particulièrement intéressante pour les attaquants, car «les concessionnaires stockent de grandes quantités de données personnelles et confidentielles, notamment les demandes de financement et de crédit, les informations financières des clients et les adresses personnelles».
« De plus », indique le rapport, « les systèmes des concessionnaires sont souvent interconnectés à des interfaces et portails externes, tels que des prestataires de services externes ».
Lisa Finney, directrice principale des communications externes chez CDK, a déclaré jeudi dans un communiqué que chez CDK : « En partenariat avec des experts tiers, nous évaluons l’impact et fournissons des mises à jour régulières à nos clients. Nous restons vigilants dans nos efforts pour rétablir notre services et permettre à nos concessionnaires de reprendre leurs activités comme d’habitude le plus rapidement possible.
Jeudi matin, la société n’avait pas précisé si le « cyberincident » était dû à un ransomware ou à un autre type d’attaque.
Ce post a été mis à jour à 14h pour noter un message indiquant que la panne de CDK pourrait durer plusieurs jours. Il a été de nouveau mis à jour à 16h15 avec une déclaration de CDK.
Image de la liste par Scott Olson / Getty Images