Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
Retrouvez tous vos contenus sur mobile avec l'application du Point Vétérinaire.
Téléchargez gratuitement l'application !
Informatique
ENTREPRISE
Auteur(s) : Par Fabrice Jaffré
En forte augmentation, le rançongiciel n’épargne pas le monde de la santé. En moyenne, un hôpital
par semaine en a été la cible en 2021. Les témoignages de professionnels de santé et de
vétérinaires se multiplient sur Internet. Petit aperçu des bonnes techniques à adopter face à la
menace, car savoir comment réagir ne s’improvise pas.
Un rançongiciel – ransomwareen anglais – est un logiciel qui va chiffrer les documents présents sur l’ordinateur, ou le smartphone, puis afficher un message contenant une demande de rançon en échange d’une clé permettant de déchiffrer les documents. Il peut être installé involontairement en ouvrant une pièce jointe d’un courriel piégé, en téléchargeant un logiciel vérolé sur l’Internet, ou encore déposé à distance par un attaquant qui a pénétré le réseau de la clinique en exploitant une faille.
En 2021, la question n’est plus de savoir si la clinique sera attaquée, ni quand, mais comment se préparer, afin de minimiser les impacts et d’assurer la meilleure continuité de l’activité possible. Mais si l’attaque a eu lieu, quels sont les premiers gestes à faire ? Et que ne faut-il surtout pas faire ?
Les gestes qui sauvent
En cas d’attaque ou de suspicion d’attaque, la première mesure est d’isoler de l’Internet le réseau de la clinique, en déconnectant le câble d’arrivée (ADSL ou fibre). L’objectif est de couper l’accès à l’attaquant et d’empêcher une fuite de données. On pourra ensuite déconnecter du réseau le matériel informatique (certains rançongiciels ont la capacité de passer d’ordinateur en ordinateur et d’attaquer les périphériques de sauvegarde branchés au réseau), et activer la veille prolongée sur les postes afin de stopper l’activité́ du programme malveillant.
La deuxième étape consiste à contacter son prestataire informatique. S’il est indisponible, le site Cybermalveillance.gouv.fr liste des prestataires spécialisés en cybersécurité1. Les vétérinaires ayant souscrit une assurance cyber pourront également contacter l’assureur qui aura un rôle de conseil.
Parallèlement il est conseillé de tenir un journal de bord dans lequel seront notés les différents événements en les horodatant : anomalie constatée, manipulation effectuée, ordinateur touché, message apparu, etc. Il sera utile au prestataire et à l’assureur.
Les gestes à éviter
Il est préférable de ne pas éteindre les ordinateurs. L’analyse de la mémoire vive permet parfois au prestataire spécialisé de trouver des traces des logiciels utilisés et des opérations effectuées par l’attaquant, ce qui peut faciliter l’étape de remédiation.
Le paiement immédiat de la rançon, sous la pression du compte à rebours qui est parfois affiché à l’écran, est fortement déconseillé. Une analyse doit être faite, en tenant compte des conseils des prestataires, de la fraîcheur des sauvegardes et du montant demandé.
Enfin, il est tentant de remettre en route le plus rapidement possible le système informatique quand on a des sauvegardes à disposition. C’est pourtant à proscrire, tant que le ou les points d’entrée de l’attaquant ne sont pas identifiés et colmatés.
Les étapes suivantes
On conseille généralement de déposer plainte pour extorsion auprès de la police ou de la gendarmerie, et de signaler l’attaque à son assureur. La plainte permet de poursuivre les attaquants s’ils sont repérés – et parfois ainsi de récupérer les clés de déchiffrement – et est indispensable pour ouvrir un dossier avec l’assureur.
Si des données à caractère personnel sont compromises, il sera nécessaire de renseigner le registre des violations, en respect du règlement général sur la protection des données (RGPD). En cas de risque pour les personnes concernées, une notification de la violation devra être faite à la Commission nationale informatique et libertés (Cnil) dans les 72 heures – il est possible de démarrer la déclaration sans avoir tous les éléments et de les préciser dans un second temps. Enfin, en cas de risque élevé, a prioripeu fréquent dans le cas d’une clinique vétérinaire, il sera indispensable en plus de prévenir directement les personnes concernées de la violation. L’appréciation du risque devra tenir compte du type de violation, de la nature des données, du nombre de personnes concernées et des conséquences pour ces personnes.
L’étape de remédiation ne peut intervenir qu’après avoir trouvé la porte d’entrée de l’attaquant (hameçonnage par courriel, clé USB vérolée, etc.) et éliminé les logiciels malveillants.
Dans certains (rares) cas, il est possible de récupérer les clés de chiffrement du rançongiciel sur des sites comme No More Ransom. Mais le plus souvent il faudra passer, avec l’aide du prestataire, par une restauration propre des ordinateurs en utilisant la dernière sauvegarde, après avoir vérifié qu’elle était saine.
Devenir cyber-résilient
Au regard de l’enjeu, une anticipation des attaques est indispensable. Elle aura pour objectifs la diminution des risques et l’amélioration de la résilience. Quatre points principaux peuvent être distingués.
Le premier point concerne le respect de bonnes règles d’hygiène informatique au sein de la clinique : mots de passe, antivirus, pare-feu, mise à jour des logiciels et système2, et bien entendu des sauvegardes, qui doivent respecter une méthode. Les vérifier régulièrement est indispensable, afin de contrôler leur fiabilité et leur exhaustivité. Ne jamais attendre le jour de la restauration pour s’apercevoir que les sauvegardes sont inutilisables ! La fréquence de réalisation des sauvegardes dépend de la perte acceptable par l’entreprise.
Le deuxième point consiste à sensibiliser l’équipe (par des formations) aux bonnes pratiques et aux bons réflexes en cas d’attaque informatique. Un personnel averti vaut un bon antivirus !
Le troisième point est la constitution d’une liste de prestataires locaux pouvant accompagner la clinique, tant en préventif (audit, installation d’outils de surveillance du réseau, etc.) qu’en forensique (après une attaque). Une liste d’opérateurs Pris (prestataires de réponse aux incidents de sécurité) figure sur le site Cybermalveillance.gouv.fr3.
Le quatrième point consiste à rédiger (en faisant participer toute l’équipe) un plan de continuité d’activité (PCA), qui répondra aux problématiques du type « rédiger l’ordonnance sans informatique », « commander des médicaments sans logiciel », c’est-à-dire la liste des procédures de fonctionnement en mode dégradé.
Un poste informatique équipé des logiciels de la clinique à jour et qui ne sera jamais relié au réseau, sur lequel on pourra installer une sauvegarde en cas d’attaque, évitera bien du stress.
La souscription d’une assurance cyber fait également partie des bonnes pratiques.
En matière de médecine vétérinaire comme d’informatique, mieux vaut prévenir que guérir !
