Cyberattaque, l’autre virus

Titulaire de la pharmacie du Soleil à Juvignac, une commune de 10 000 habitants située dans la première couronne de Montpellier (Hérault), Fabien Jay a eu une bien mauvaise surprise en arrivant un matin de septembre dernier à son officine. « En allumant le serveur du logiciel de gestion officinale (LGO) est apparu sur l’écran un message indiquant que toutes mes données avaient été cryptées, confie-t-il. Et que si je voulais les récupérer, je devais payer une rançon en bitcoins. » Le pharmacien a alors la bonne réaction (voir encadré p. 18) : il arrête immédiatement le serveur, le débranche du réseau, et s’assure que les postes au comptoir sont eux aussi éteints.

Ces attaques sont monnaie courante en officine. « En septembre dernier, rien que sur notre région, nous avons dû intervenir sur une dizaine de serveurs crypto-bloqués », assure Malik Benhamida, directeur technique Languedoc-Roussillon et référent sécurité de Winpharma. Même constat du côté de Pharmagest. « Sur notre parc de 9 000 pharmacies équipées avec le logiciel de gestion à portail intégré (LGPI), une ou deux sont victimes de cyberattaques chaque mois, avec heureusement peu de conséquences », confie Denis Supplisson, directeur général délégué du groupe. Pour parvenir à leurs fins, les rançonneurs utilisent souvent le même angle d’attaque : à partir de l’adresse IP de la pharmacie, ils exploitent une faille de sécurité pour accéder aux postes connectés au réseau et y déposer un virus qui, au redémarrage de la machine, crypte l’ensemble des données. « Pour obtenir la clé de décryptage qui va permettre de les récupérer, il faut payer une rançon en bitcoins, la monnaie de référence des hackers, qui peut aller jusqu’à 20 000 € », ajoute Malik Benhamida.

Des faiblesses mises au jour

Si les virus en pièces jointes qui avaient pour mission d’endommager irrémédiablement les machines ont, eux, quasiment disparu, les officines peuvent aussi être victimes de vols de données. « Pour ce type d’attaque, les hackers utilisent des virus qui, lorsque vous cliquez sur une pièce jointe ou un lien, aspirent toutes les données sensibles de l’ordinateur : mots de passe, informations de cartes bancaires, numéros de Sécurité sociale ou de mutuelle, adresses e-mail, numéros de téléphone… Données qui ont une vraie valeur marchande sur le darknet », rappelle Carlos Abrantes, directeur commercial de Smart Rx. Les failles de sécurité exploitées par les hackers sont souvent les mêmes. « Ils arrivent à s’introduire lorsqu’ils ont affaire à une ancienne version de Windows qui n’a pas bénéficié de mise à jour de sécurité depuis longtemps, constate Malik Benhamida. Ils peuvent aussi profiter de l’absence d’antivirus, d’un réseau Wifi non sécurisé ou de l’ouverture du bureau à distance de Windows. »

Se fier à son LGO

Pour se prémunir contre les cyberattaques, le plus simple est de faire appel à son éditeur de LGO. Tous ont en effet développé une expertise pour protéger les serveurs des officines et les données des LGO sauvegardées dans leurs data centers. « Chez Pharmagest, nous disposons d’une équipe de 25 experts en cybersécurité qui déjouent en moyenne 6 000 attaques par jour sur notre réseau », confirme Denis Supplisson. Chez Smart Rx, toutes les officines sont protégées par un virtual private network (VPN). « Ainsi, l’ensemble des transactions du quotidien avec la Sécurité sociale, les organismes de tiers payant, les banques ou les mutuelles complémentaires ne sont pas visibles sur Internet, l’adresse IP de la pharmacie étant masquée », assure Carlos Abrantes. Les données du LGO sont, elles, automatiquement encryptées, et un antivirus ainsi qu’un antimalware sont installés sur le serveur et tous les postes.

Chez Pharmagest, les données du LGO sont protégées par un dispositif de mots de passe tournants inclus dans l’offre de base. « Nous avons fait le choix de ne pas crypter les données du serveur, cette technologie posant encore, à ce jour, un problème de rapidité et de modèle économique, les systèmes de cryptage coûtant relativement cher. Pour offrir à nos clients un niveau de protection suffisant contre les intrusions, nous changeons régulièrement les mots de passe qui permettent d’accéder au système et à la base de données, en veillant à ce que chaque pharmacie ait un mot de passe différent. » Pharmagest propose également en option, pour environ 10 € par mois, Offisecure, une solution de VPN, et, pour 3 € par poste, Offiprotect, un antivirus capable de détecter les signatures virales et les comportements anormaux.

De son côté, Winpharma a fait des choix technologiques différents pour ses clients qui, à 80 %, lui font confiance pour gérer leur sécurité. « Sur les serveurs, toutes les données sont répliquées en temps réel sur un poste de secours, confie Malik Benhamida. Celui-ci prendra automatiquement le relais du serveur principal crypto-bloqué et choisira un nouveau serveur secondaire pour assurer les sauvegardes. Par conséquent, le poste infecté peut-être reformaté à partir de la dernière sauvegarde, sans aucune perte de données. » Pour les connexions sortantes, Winpharma a fait le choix de ne pas utiliser de VPN. « Afin de ne pas limiter les débits et de ne pas entraver la liberté de naviguer sur Internet, précise Malik Benhamida. Pour sécuriser les télétransmissions et la sauvegarde des données du LGO sur nos serveurs hébergeurs agréés de données de santé (HADS), nous utilisons une connexion secure shell (SSH), qui offre un niveau de cryptage supérieur à celui d’un VPN. » Toutes les entrées extérieures sont également bloquées. « Lorsqu’un membre de l’équipe souhaite se connecter à distance au LGO, nous créons alors une connexion VPN entre son ordinateur portable ou son smartphone et le serveur de la pharmacie afin d’éviter toute intrusion », note Malik Benhamida. Les équipes de Winpharma s’attachent également à sécuriser le réseau Wifi en paramétrant la liste des périphériques autorisés à s’y connecter. L’éditeur propose, lui aussi en option, pour 2,50 € HT par mois et par poste, un pack antivirus et pare-feu.

Ça n’arrive pas qu’aux autres

En adoptant le dispositif de cybersécurité proposé par son LGO, le pharmacien limite les risques d’attaque. Le souci, pour Denis Supplisson, c’est que toutes les pharmacies ne sont pas suffisamment protégées. « Trop de titulaires prennent encore le cyberrisque à la légère, considérant qu’ils ne sont pas exposés, regrette-t-il. Sur notre parc de 9 000 officines, la moitié seulement a opté pour les dispositifs de sécurité que nous proposons en option. Ce qui veut dire que tous les autres sont vulnérables. Et lorsque vous vous retrouvez avec une informatique paralysée, vous ne pouvez plus travailler. En plus, si la dernière sauvegarde date de plusieurs jours ou de plusieurs semaines, les conséquences en matière d’exploitation peuvent devenir très préjudiciables. »

Dans son officine, Fabien Jay n’a subi, lui, aucun préjudice. Le serveur de secours ayant pris le relais automatiquement, le pharmacien a pu redémarrer tous les postes un quart d’heure plus tard, et accueillir sa patientèle comme si de rien n’était. « Les sauvegardes étant effectuées en temps réel, il n’y a pas eu non plus de pertes de données, ajoute le titulaire. Et en fin de matinée, tout était réglé, l’équipe de Winpharma ayant reformaté et relancé le serveur principal. »

Que faire en cas de ransomware ?

Si vous découvrez qu’un hacker a crypté vos données et vous réclame une rançon en bitcoin pour les récupérer, pas de panique. « La première chose à faire, c’est d’éteindre le ou les ordinateurs infectés, conseille Malik Benhamida, de Winpharma. Après quelques secondes, débranchez tous les postes du réseau afin d’éviter la contamination et appelez le service technique de votre LGO. » La rançon ? Il ne faut surtout pas la payer. « A ma connaissance, personne n’a jamais récupéré ses données après avoir cédé au chantage, les hackers disparaissant en général dans la nature », souligne Malik Benhamida. Mieux vaut donc faire confiance à l’éditeur de son LGO pour rétablir une situation qui empêche la pharmacie de travailler. « La première chose que l’on fait dans ce type d’attaque, c’est d’installer un antivirus quand il n’y en a pas ou de mettre à jour l’antivirus existant afin de nettoyer les postes infectés, précise le référent sécurité. Pour ce qui est du serveur ou de l’ordinateur crypto-bloqué, il n’y a pas 36 000 solutions : nous reformatons entièrement la machine. D’où l’importance de réaliser des sauvegardes régulièrement. »

À RETENIR

– Le piratage des données de santé touche aussi les pharmacies et peu d’entre elles sont suffisamment protégées.

– Les fournisseurs de LGO proposent des moyens de protection contre le piratage informatique. Les postes doivent aussi être équipés d’antivirus et de pare-feu à jour.

– En cas de demande de rançon, la première chose à faire est d’éteindre les ordinateurs, de les débrancher du réseau et de contacter l’assistance technique de son LGO. Et mieux vaut ne pas payer la rançon.