CYBERSÉCURITÉ : 9 MESURES SIMPLES À METTRE EN ŒUVRE - La Semaine Vétérinaire n° 1891 du 19/03/2021
La Semaine Vétérinaire n° 1891 du 19/03/2021

ÉQUIPEMENT

ENTREPRISE

Auteur(s) : FABRICE JAFFRÉ

Le nombre d’attaques informatiques a quadruplé en un an. En France, le coût moyen des cyberattaques s’élève à 35 000 €. Les cyberpirates s’attaquent également aux petites entreprises, dont les établissements vétérinaires, en adaptant le montant de leur rançon aux capacités de la structure. Décryptage des précautions à prendre.

Notre confrère Fabrice Jaffré, fondateur de Kena conseil (formation RGPD et conseil en conformité RGPD pour les TPE), est titulaire du certificat de spécialisation de délégué à la protection des données du Conservatoire national des arts et métiers de Paris, membre de l’Association française des correspondants à la protection des données à caractère personnel

Le risque zéro n’existe pas. Ainsi, entre 2019 et 2020, en France, le nombre d’attaques informatiques a été multiplié par 4 en un an1 : le coût moyen s’élève à 35 000 €2. Mais le respect de certaines règles va protéger des conséquences de nombreux incidents qui ne sont pas dus aux cyberattaques (incendie, crash de disque dur, dégât des eaux, fausse manipulation, vol d’ordinateur, etc.), et dédouaner en partie le responsable de sanctions de la Commission nationale informatique et libertés (Cnil) et accélérer la reprise d’activité en cas d’attaque.

La sécurité des données est une obligation légale (article 32 du RGPD, règlement général sur la protection des données). Le 2 mars dernier, la Cnil a précisé qu’elle consacrerait une bonne partie de ses contrôles en 2021 à la sécurité technique des données personnelles confiées aux entreprises.

Le vétérinaire a tout à gagner à augmenter le niveau de sécurité de son entreprise, à commencer par les neuf mesures indispensables présentées ci-dessous.

Utiliser des mots de passe solides

Une des portes d’entrée des cyberpirates est l’utilisation de mots de passe trop simples. Un mot de passe robuste comporte 12 caractères minimum (sauf cas particuliers, voir encadré) et mélanger minuscules, majuscules, chiffres et caractères spéciaux. Le mot de passe de la messagerie doit être particulièrement soigné, puisqu’il permet de se faire rappeler les mots de passe des sites web en cas d’oubli. Une règle incontournable : ne jamais utiliser un mot de passe identique pour différents accès. Les gestionnaires de mots de passe comme LastPass, Dashlane, KeePass facilitent leur gestion. Surtout ne pas coller un post-it sous le clavier ! Le mot de passe doit être changé au moindre doute, et dans l’idéal tous les trois à six mois. Chaque personne physique doit avoir son propre accès, qui ne sera jamais communiqué à autrui. Il faudra également changer les mots de passe par défaut de tous les périphériques connectés (imprimante, caméra de surveillance, fax numérique, etc.). En 2018, un pirate a pénétré le réseau informatique d’un casino en passant par le thermomètre connecté, mal protégé, d’un aquarium !

Effectuer (correctement) des sauvegardes

Il faut planifier des sauvegardes complètes des données, qui seront chiffrées et archivées dans un état immuable, et des sauvegardes incrémentielles journalières, si possible chiffrées également. Il est conseillé de déconnecter l’outil de sauvegarde (par exemple un disque dur externe) du réseau une fois que la sauvegarde a été faite, afin qu’il ne soit pas touché par une attaque informatique comme un rançongiciel. La sauvegarde sera stockée à l’extérieur de la clinique, physiquement ou dans le cloud, à moins d’utiliser un coffre étanche et ignifugé. Il est indispensable de vérifier la sauvegarde. Il faudra à ce titre organiser régulièrement avec l’infogérance ou l’éditeur du logiciel un test de restauration afin de valider sa lisibilité et son exhaustivité.

Installer un antivirus

Les antivirus permettent de se protéger d’une grande majorité d’attaques et de virus connus. Il existe de nombreuses solutions gratuites (comme Kaspersky, Avast, AVG) ou payantes, dépendant du niveau de protection et des services complémentaires recherchés (anti-malwares, analyse comportementale, etc). Seul ou avec l’aide de l’infogérance, le vétérinaire gagnera aussi à sécuriser son accès Internet par l’installation d’un pare-feu et d’un VPN pour les accès de l’extérieur au logiciel de gestion de la clinique.

Appliquer les mises à jour de sécurité

Il est tentant de repousser « à plus tard » les mises à jour de sécurité que proposent le système d’exploitation ou les logiciels. Et pourtant c’est une faille ouverte que peuvent potentiellement exploiter les cyberpirates. Il est donc primordial d’appliquer rapidement les « patchs » de sécurité, en ayant par précaution vérifié auparavant l’existence d’une sauvegarde récente.

Définir une politique de contrôle d’accès

Le vétérinaire rassemblera dans un document les profils d’habilitation, afin de limiter l’accès des utilisateurs aux seules données dont ils ont vraiment besoin, que ce soit le logiciel de gestion de la clinique, l’agenda en ligne, le disque dur stockant les images de vidéosurveillance, le cloud, etc. Un vétérinaire a découvert qu’un stagiaire avait récupéré les coordonnées téléphoniques d’une jolie cliente en accédant au logiciel de gestion qui lui était pleinement accessible. Ce document et les accès afférents seront mis à jour à chaque départ, arrivée ou changement de poste d’un collaborateur.

Inculquer le virus de la sécurité informatique

La source numéro un des attaques informatiques est l’hameçonnage – phishing en anglais –, qui est un courriel visant à récupérer par tromperie des codes d’accès. « Le maillon faible est entre le clavier et la chaise », entend-on souvent. La personne derrière le clavier est aussi le meilleur antivirus qui soit, si elle est correctement sensibilisée. L’analogie avec la profession est facile : être en capacité de reconnaître les symptômes, appliquer les premiers gestes d’urgence, et en amont avoir les bonnes mesures d’hygiène.

Des piqûres de rappel à cette sensibilisation initiale sont indispensables. Une étude de Webroot3 a montré que des mises en situation régulière de l’équipe, par une fausse campagne de phishing par exemple, entraînent une baisse de plus de 50 % du taux de clic sur des liens malveillants.

Le vétérinaire doit bien entendu donner l’exemple, en appliquant à son poste de travail les bonnes pratiques d’hygiène informatique. Des mémos et des fiches pratiques à distribuer à l’ensemble de l’équipe ainsi qu’un exemple de charte informatique sont télécharageables sur : kena-conseil.fr/sensibilisation. Il faudra également rédiger et diffuser les procédures sur la marche à suivre en cas d’appel étrange, de comportement anormal sur l’ordinateur, de perte d’ordinateur, etc.

Sécuriser le nomadisme

Face au risque de vol ou de perte, il est fortement conseillé de chiffrer le disque de l’ordinateur portable. L’opération est facile et transparente, notamment sur Windows en version pro ou sur Mac OS X. On évitera également de se connecter à distance au logiciel de la clinique sur un wifinon protégé, en privilégiant une connexion 4G ou en utilisant un réseau privé virtuel (VPN). Et les données à caractère personnel sur des clés USB ou des disques durs externes seront obligatoirement chiffrées.

Documenter

Dans le cadre de l’accountability chère au RGPD, il est important de documenter toutes les modifications, améliorations, mises en place de procédures, formations ou encore actions de sensibilisation. Elles témoigneront de la volonté du responsable de la clinique de protéger au mieux les données de ses clients.

Préparer le pire

Gouverner, c’est prévoir. Et dans le cas présent, diriger l’entreprise, c’est anticiper les conséquences des attaques. On pourra ainsi préparer la procédure de signalisation de violation de données à la Cnil dans certains cas, la communication à réaliser auprès des clients, le PRA (plan de reprise d’activité), le repérage de prestataires de confiance pour intervenir4, et pourquoi pas contracter une police d’assurance « cyber ».

1. Chiffres 2020 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). www.bit.ly/3cmqlDJ

2. www.bit.ly/3bz92Qy

3. www.bit.ly/3bvwxKe

4. Cybermalveillance.gouv.fr permet de déclarer un acte de cybermalveillance et d’être mis en contact avec des prestataires certifiés, qu’on peut également contacter en amont. www.bit.ly/3le2OJj

Abonné à La Semaine Vétérinaire, retrouvez
votre revue dans l'application Le Point Vétérinaire.fr