Cyber-risques : protégez-vous

Titulaire de la pharmacie Boudet-Florentino à Saint-Éloy-les-Mines dans le Puy-de-Dôme, Prune Boudet se souviendra longtemps de sa journée du 10 mai 2017. « J’étais dans ma voiture, sur le chemin de la pharmacie, lorsque j’ai reçu un appel d’une de mes préparatrices m’expliquant qu’il y avait un message bizarre sur le serveur informatique de l’officine », se souvient la titulaire qui demande alors à sa collaboratrice de ne surtout toucher à rien. En arrivant à sa pharmacie, Prune Boudet comprend tout de suite que l’ensemble de son système informatique a été piraté : le serveur, mais aussi tous les postes interconnectés entre eux en réseau. « Le message des hackers était clair : si je voulais accéder à nouveau à mes données, je devais payer une rançon », se rappelle la titulaire, qui, une nouvelle fois, a le bon réflexe. Elle contacte tout de suite l’assistance de Winpharma qui lui conseille de débrancher tous les ordinateurs. Mais le mal était fait ! Il a fallu deux jours pour reformater le serveur et tous les ordinateurs, réinstaller les logiciels, et récupérer les données de sauvegarde stockées par WinPharma. « Au final, tout est rentré dans l’ordre, et je n’ai pas payé la rançon, mais pendant deux jours, cela a été une vraie galère au comptoir, note Prune Boudet. Nous avons dû photocopier les ordonnances, et comme nous n’avions plus accès à l’historique des prescriptions, nous avions la hantise de délivrer un traitement contre-indiqué à un patient. Nous ne pouvions pas, non plus, communiquer avec la CPAM, ni facturer certains patients car nous n’avions pas accès au prix des médicaments. Nous avonsdonc dû saisir à la main les 400 opérations réalisées pendant ces deux jours. »

FORMATION et sensibilisation.

Prune Boudet a en fait été victime du principal cyber-risque auquel sont exposées les officines : le ransomware. « Il est très difficile de se prémunir contre ce type d’attaque, explique Franck Dupuydenus, gérant de 3E Informatique une société spécialisée en sécurité des données. Les hackers misent toujours sur la faute d’un utilisateur. En l’occurrence, l’ouverture d’une pièce jointe envoyée par mail qui déclenche l’installation d’un petit programme malveillant qui va crypter toutes les données de l’ordinateur avec un clé impossible à casser. » La seule parade pour éviter ce genre de mésaventure, c’est la formation et la sensibilisation. « Il faut de temps en temps rappeler aux collaborateurs qu’avant d’ouvrir une pièce jointe, ils doivent être très vigilants car les hackers sont passés maîtres dans l’art de se faire passer pour un client ou un fournisseur… », rappelle Franck Dupuydenus.

Les virus, qui ont pendant longtemps été considérés comme le cyber risque n° 1, ne représentent plus aujourd’hui une réelle menace. « A condition toutefois de protéger ses machines avec un antivirus efficace et à jour », alerte ce dernier. Le risque de piratage des données est, lui, pour le coup, encore bien réel. Pour parvenir à leurs fins, les pirates utilisent en général des failles de sécurité dans les logiciels, une page html non cryptée, ou les messageries non sécurisées.

ADOPTER les bons réflexes.

« Pour se prémunir contre ce type de risques, certains réflexes de bon sens doivent être adoptés, rappelle Dominique Pautrat, directeur général de Pharmagest. Nous conseillons toujours à nos clients d’installer le serveur de l’officine dans leur bureau, pour qu’il ne soit pas accessible. Mieux vaut également éviter les clés USB qu’on ne connaît pas. » L’adoption d’une solution de type Mailinblack permettra en outre de protéger la messagerie contre les mails malveillants envoyés par des robots. « Il est également plus que conseillé d’installer un Virtual Private Network (VPN) afin de protéger son SI des intrusions extérieures, le VPN ayant pour rôle d’empêcher les hackers d’accéder à votre adresse IP », ajoute-t-il.

S’il n’y avait qu’un seul conseil à suivre pour se protéger contre les cyber-risques, ce serait de confier la sécurité du SI de votre officine à l’éditeur de votre LGO. Tous ont en effet développé des solutions de sécurité adaptées aux particularités des officines. « Pour protéger les postes informatiques de nos clients, nous avons conçu la solution Offiprotect qui intègre un anti-virus, un antispam et un anti spyware », précise Dominique Pautrat. « Pour sécuriser cette fois l’accès à Internet, nous proposons à nos clients Offisecure, une solution d’accès à Internet sécurisée qui inclut un firewall et un VPN afin de protéger le réseau interne des risques d’intrusions extérieurs. Cette solution a déjà été adoptée par la moitié de nos 10 000 clients », se félicite-t-il.

SOLUTIONS accessibles.

Toutes les données stockées dans LGPI sont également sauvegardées sur des serveurs agréés Hébergement de données de santé. Et pour garantir la sécurité des messages qui transitent entre les pharmacies et les professionnels de santé, Pharmagest a développé la solution Offimss qui permet d’échanger dans un environnement entièrement crypté, en conformité avec la règlementation en vigueur. « Nous sommes allés encore plus loin pour protéger les informations de subrogation qui transitent entre les pharmacies et leur concentrateur, ajoute Dominique Pautrat. Nous avons investi dans des lignes dédiées avec les principaux concentrateurs du marché pour que ces flux ne soient plus visibles sur Internet. »

Toutes ces solutions proposées par les éditeurs de LGO sont vendues à des tarifs accessibles, qui semblent presque dérisoires au regard des risques encourus depuis la mise en place en mai dernier du RGPD. « Ce règlement impose à toutes les entreprises qui traitent des données personnelles de mettre en place des protocoles pour sécuriser ces données, rappelle Franck Dupuydenus. En cas de manquement grave, elles s’exposent à des sanctions pouvant aller jusqu’à 4 % du CA de l’entreprise. » Un montant qui donne à réfléchir…

1 9 millions de français ont été victimes d’un comportement cyber-criminel en 2017 d’après le rapport Norton by Symantec. Dans 45 % des cas, il s’agissait d’une tentative de Ransomware.

POUR ALLER + LOIN

→ Consultez le guide des bonnes pratiques de l’informatique édité par l’ANSSI et la CGPME. Celui-ci vous rappelle les 12 règles essentielles pour sécuriser vos équipements numériques. Il est téléchargeable gratuitement à l’adresse suivante :

www.ssi.gouv.fr/entreprise/guide/guide-des-bonnes-pratiques-de-linformatique

6,1 milliards d’euros, tel serait le préjudice estimé de ces cyber-attaques en 2017, toujours d’après le rapport Norton by Symantec.

Prévention

S’assurer, ou pas ?

La montée en puissance des cyber-risques a donné des idées aux assureurs. La matmut vient par exemple de lancer une garantie Cyber assurance qui protège les officines des pannes informatiques, des attaques virales ou des fuites de données suite à une erreur humaine… Cette couverture permet à l’entreprise touchée d’assurer la continuité de son activité, de transférer le coût financier et de préserver sa réputation. Elle comprend notamment une intervention immédiate et un dispositif de gestion de crise (7j/7 et 24h/24).

Elle prend en charge les dommages liés à l’atteinte aux systèmes d’information, ainsi que la responsabilité civile de l’assuré en cas d’atteinte à la vie privée ou à la confidentialité des données. Lorsqu’on lui demande s’il est opportun de souscrire à ce type d’assurances, Franck Dupuydenus répond : « personnellement, je conseillerais plutôt aux pharmaciens d’investir d’abord dans la protection de leur SI. S’ils souhaitent ajouter ensuite une couche supplémentaire avec de l’assurance, il faut regarder attentivement les conditions du contrat pour voir si le jeu en vaut la chandelle. »