Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
DOSSIER
Auteur(s) : Par Fabricé Jaffré
Un exercice serein passe par une bonne hygiène informatique. Elle est essentielle pour
affronter les risques d'attaques des cybercriminels, répondre aux exigences du RGPD et assurer
une meilleure résilience en cas d'incident. Le processus doit être suivi, revu et enrichi
régulièrement.
L'informatique a pris une place grandissante au sein des établissements de soins vétérinaires, de la gestion du fichier à la communication (routage de relances vaccinales, newsletter, site web), en passant par la comptabilité, l'édition des ordonnances, les commandes, l'interconnexion avec certains appareils (analyseur, radiologie numérique), la prise de rendez-vous en ligne, le croisement avec des bases de données internes ou externes fiabilisant le diagnostic et la prescription, la téléconsultation, etc. De ce développement majeur est née une plus grande dépendance. Un dégât des eaux, un incendie, une surcharge électrique, une cyberattaque peuvent entraîner une double peine : une paralysie temporaire, voire la mise en péril de la pérennité de la clinique et des sanctions administratives, par manquement à la sécurité des données personnelles.
Les vétérinaires sont naturellement sensibles à l'hygiène, ils se forment en continu afin de mettre à jour leurs connaissances et se créent un réseau de confrères et consœurs pour échanger sur des situations ou référers. L'importance prise par l'informatique au sein des structures vétérinaires doit les amener à appliquer les mêmes principes. Il est nécessaire d'assurer une bonne hygiène informatique, de se former et de sensibiliser tout le personnel aux risques et aux bonnes pratiques, de protéger les données et de s'entourer de prestataires de qualité.
La règle du 3-2-1
Les consignes de base en sécurité informatique sont généralement simples à mettre en place ou à contrôler. Une politique de mots de passe robustes associée à une procédure de contrôle d'accès (« qui a accès à quoi »), de sauvegarde fiable, la mise à jour des logiciels et systèmes, l'activation de la double authentification dès que possible, la sécurisation du wifi, l'installation d'anti-virus sur tous les postes font partie des points à vérifier en priorité1. Le retard dans l'installation des mises à jour de sécurité des logiciels est régulièrement pointé du doigt par l'Agence nationale de sécurité des systèmes d'information (Anssi) comme point d'entrée de nombreuses attaques informatiques. Qui n'a pourtant pas le réflexe de systématiquement procrastiner les mises à jour de sécurité de l'ordinateur ?
Le risque zéro n'existant pas, il est essentiel de réaliser des sauvegardes de qualité. Une bonne sauvegarde respecte la règle du 3-2-1 : trois versions des données (donc deux copies) sur deux supports différents (par exemple un disque dur et une clé USB) et une version délocalisée. Cette dernière assure de disposer d'une copie des données en cas d'incendie, d'inondation ou encore de rançongiciel ; si la sauvegarde est accessible depuis le réseau, le logiciel malveillant peut également la chiffrer. Il convient d'inclure dans le périmètre des sauvegardes non seulement le fichier clients et animaux, mais également toutes les autres données, telle l'imagerie. Une bonne pratique consiste à réaliser des sauvegardes immuables, non modifiables, à intervalle régulier, ce qui permet de remonter dans le temps si les dernières sauvegardes sont corrompues. Une bonne sauvegarde est également contrôlée régulièrement : en amont lors du stockage, afin de repérer une corruption due à un problème technique ou à un rançongiciel ; et par un test de restauration complète périodique. Attendre le jour de la restauration après attaque par un rançongiciel pour constater que la sauvegarde est inutilisable est un évènement relaté régulièrement par les prestataires informatiques.
Si le logiciel de gestion de la clinique est en mode Saas (software as a service), autrement dit que les données sont en ligne, il est indispensable que le prestataire gérant l'hébergement confirme que les sauvegardes sont au minimum quotidiennes, chiffrées, régulièrement vérifiées et stockées, dans la mesure du possible, en Union européenne.
La sécurité organisationnelle est tout aussi importante que la sécurité technique. Elle passe notamment par l'installation d'une vidéoprotection, l'achat d'extincteurs, un accès physique au serveur restreint, l'utilisation d'une déchiqueteuse pour les documents sensibles, l'installation d'un onduleur contre les surtensions électriques, la rédaction des procédures à utiliser en cas d'incident, etc. Une check-list adaptée à l'exercice vétérinaire et permettant d'effectuer un auto-diagnostic de sa clinique sur plus de 220 points de sécurité technique ou organisationnelle est accessible gratuitement sur le site Kena conseil2.
Enfin, la sensibilisation de toute l'équipe aux bonnes pratiques est essentielle. « L'humain, l'éternel maillon faible de la cybersécurité », titrait Le Monde informatiquedans un article en août 2021. Mais une équipe bien formée constitue la première ligne de défense, et permet de déjouer les tentatives d'hameçonnage par courriel, principal point d'entrée des attaques3. Une charte informatique peut également participer à l'engagement de chacun.
Cela va de soi, les vétérinaires doivent être exemplaires. Quel message font-ils passer si leur mot de passe d'accès au logiciel de gestion est présent sur un post-it collé à l'écran ou s'ils négligent l'installation des mises à jour ?
La souscription d'une assurance cyber ou l'ajout d'une option cyber à son assurance actuelle permet de limiter les pertes financières – perte de revenu liée à l'arrêt ou au ralentissement de l'activité, coûts d'intervention d'experts, frais potentiels pour compenser les dommages causés à des tiers, etc. – suite à une cyberattaque ou à une erreur humaine. À noter que de plus en plus d'assurances cyber excluent explicitement dans le contrat le remboursement des rançons qui auraient été payées (voir encadré). La souscription inclut généralement une assistance 24 heures sur 24 qui permet de dispenser les bons gestes à effectuer en cas d'incident, et d'accompagner les vétérinaires sur les plans juridique et de la communication. Enfin, à défaut de sérénité, on diminue le stress en se préparant, notamment en rédigeant un plan de continuité d'activité (PCA) en mode dégradé4.
Mise en conformité au RGPD
Deuxième axe visant à augmenter la sérénité de l'exercice : la mise en conformité au règlement général sur la protection des données (RGPD) de la clinique. Souvent considérée comme une nouvelle contrainte par les vétérinaires, elle est toutefois un pilier de la cybersécurité. La mise en place d'une bonne hygiène informatique répond déjà à une partie du RGPD, et notamment à l'article 32 sur la sécurité des traitements de données à caractère personnel mis en place au sein de la structure.
Restera essentiellement, chapeauté par le principe d'accountability, la désignation d'un ou d'une pilote de la conformité (en interne ou en externe), la tenue des registres (registre des traitements, registre des violations de données), l'information des clients (par des affiches dans la salle d'attente, un bandeau Cookies et une page Données personnelles sur le site web) et des salariés, la sensibilisation à la protection des données de l'équipe, la vérification ou l'ajout des clauses RGPD dans les contrats avec les sous-traitants ou encore la création d'une documentation générale de la conformité5.
Bien choisir son prestataire informatique
Difficile d'être à la fois vétérinaire, informaticien et expert en cybersécurité. De nombreux points de sécurité technique ou organisationnelle sont simples à mettre en place ou à vérifier. En revanche, d'autres sont plus complexes, tel le paramétrage correct d'un pare-feu ou de la box Internet, ou bien chronophages. Un bon prestataire propose à son client une veille technique afin de colmater d'éventuelles brèches de sécurité découvertes, et l'oriente vers de nouveaux logiciels de sécurité, adaptés à la dimension du réseau de la clinique. Il peut également corriger ou valider la procédure de sauvegarde des données mise en place.
À noter que rien n'empêche d'avoir plusieurs prestataires, chacun expert dans son domaine. L'éditeur du logiciel de gestion de la clinique peut ainsi être chargé de la maintenance du logiciel et du système de sauvegarde, et un prestataire expert en cybersécurité peut auditer, conseiller et accompagner lors d'incidents.
Le premier point est évidemment de sélectionner le prestataire sans attendre la survenue d'un problème informatique. Celui-ci doit maîtriser les spécificités techniques de la clinique – le système d'exploitation utilisé à la clinique, la sensibilité des données, le nombre de postes, la criticité d'une panne, etc. Il est également essentiel qu'il soit force de proposition concernant la modernisation de l'infrastructure de la clinique. Qu'il soit spécialisé dans la maintenance ou dans l'analyse forensique (l'analyse après incident, la « médecine légale » de la cybersécurité), le prestataire doit avoir une connaissance élevée des exigences du RGPD, qui seront transcrites explicitement au travers de clauses dans le contrat. Un critère fondamental est sa proximité géographique et sa disponibilité. Les attaques informatiques ont en effet une prévalence élevée le vendredi soir, le week-end, etc. Dans l'idéal, l'intervention à la clinique sous 24 heures peut être complétée d'une téléassistance quasi-immédiate, ces éléments étant contractualisés. Afin de faire jouer la concurrence, ne pas hésiter à demander un devis concernant différentes situations, telle la restauration complète des ordinateurs après chiffrement des données par un rançongiciel.
Le site Cybermalveillance6 est une bonne source pour trouver des prestataires spécialisés en cybersécurité, que ce soit pour une intervention uniquement sur incident (prestataire référencé) ou incluant une sécurisation en amont (prestataire labellisé).
Pour réduire le champ d'action des cyberattaquants, la vigilance est de mise. La sécurité informatique est le fait de spécialistes, garants d'un environnement moins anxiogène, elle ne peut être prise à la légère.
Damien Baudry
Praticien canin à Allaire (Morbihan)
La sauvegarde, point crucial
Nous considérons la sauvegarde de toutes les données de la clinique comme un point crucial. Nous avons souhaité qu'elle soit automatisée, afin d'éviter le risque d'erreur ou d'oubli, et qu'il y ait une copie externalisée pour repartir de cette version, notamment en cas d'incendie.
Pour le fichier clients et animaux, c'est le logiciel de gestion Dr.veto qui réalise automatiquement une sauvegarde en local, avec 30 jours de rétention. En parallèle, des sauvegardes chiffrées sont envoyées sur un hébergement de notre éditeur, avec 7 jours de rétention. Pour toutes les autres données, c'est notre prestataire informatique qui se charge des sauvegardes depuis notre réseau vers un cloud.
Éric de Vaulx
Praticien rural à Châteauneuf la Forêt (Haute-Vienne)
Plusieurs craintes
C'est surtout la crainte d'un dégât des eaux ou d'un incendie qui nous alertait, mais j'ai appris que les vétérinaires étaient également ciblés par les cyberattaquants et que le paiement de la rançon ne garantissait jamais la récupération de toutes les données. Pour le fichier clients et animaux – nous utilisons à la clinique le logiciel Vétocom –, nous avons un jeu de clés USB, dont une sera externalisée. Nous allons prochainement étudier avec l'éditeur du logiciel de gestion la possibilité d'avoir une sauvegarde déposée automatiquement sur un serveur en ligne.
Jean-Baptiste Koch
Praticien en canine à Epron (Calvados)
Des procédures de fonctionnement
Notre logiciel Vet'Up est en mode Saas. Une sauvegarde chiffrée est réalisée par l'hébergeur –sauvegarde incrémentielle toutes les minutes –, avec vérification d'intégrité en amont. Le corollaire de cette souplesse – on ne s'occupe de rien, tout est automatique – est qu'en cas de coupure Internet nous n'avons plus accès au fichier. C'est pourquoi nous avons des procédures de fonctionnement en mode dégradé, pour pallier l'absence de connexion pendant l'interruption, qui dure en moyenne une demi-journée. Pour l'archivage de l'imagerie, nous avons un PACS (un serveur d'images) ainsi qu'une copie sur un serveur local. Concernant la mise en conformité par rapport au RGPD, nous avons concentré nos premiers efforts sur le site web, les autres étapes vont suivre prochainement.
Rançon : faut-il la payer ?
Outre le fait que le paiement finance la cybercriminalité, rien ne garantit au vétérinaire que la clé de déchiffrement sera fournie par l'attaquant, et le paiement n'affranchit pas d'une attaque ultérieure (par le même attaquant ou par un autre). De plus, le rançonneur exigera le plus souvent un paiement en bitcoin afin de garantir son anonymat, ce qui ne facilite pas la transaction.
Reste le cas de la clinique paralysée avec des sauvegardes datant de plusieurs mois, voire parfois chiffrées elles aussi. L'attaque met alors en péril la pérennité de la clinique, risque qu'on mettra en regard du montant de la rançon. Si la décision de paiement est prise (ce qui n'est pas illégal à l'heure actuelle), deux éléments sont importants à connaître : le cybercriminel est souvent ouvert à la négociation du montant. Et il est prudent de lui demander un Poc (proof of concept), ou démonstration de faisabilité, afin de s'assurer qu'il est capable de déchiffrer ce qu'il a chiffré. Cependant, malgré la récupération de la clé, certains fichiers pourront avoir été corrompus lors du chiffrement et seront irrécupérables.
