Cyber sécurité : votre clinique est-elle bien protégée ?
Selon une étude publiée en 2017 par Euler Hermès et l’Association des Directeurs Financiers et de Contrôle de Gestion, près de 57 % des entreprises déclarent avoir été victimes d’une cyberattaque en 2016. Parmi elles, 25 % en auraient subi plus d’une dizaine sur un an.
L’humain est au cœur de la sécurité des systèmes informatiques
Malgré une multiplication des solutions techniques visant à renforcer la sécurité des systèmes informatiques, les réponses aux menaces restent insuffisantes.
– Vous possédez un antivirus : est-il à jour ?
– Vous avez investi dans un firewall (ces outils qui permettent d’autoriser/bloquer ce qui entre ou sort de votre système) : avez-vous les compétences pour le maintenir ?
– Vous avez mis en place le chiffrement de vos données : quel est le coût de déploiement de cette solution ? Quel est le risque de ne pas pouvoir restaurer les données chiffrées à cause d’une non maîtrise de ces technologies ?
Autant de question pour révéler un chiffre clé pour votre sécurité et celle de votre établissement vétérinaire : 30 % des attaques informatiques réussies proviennent, à l’origine, d’une erreur humaine.
Selon une étude Gartner publiée au premier trimestre 2018, 95 % des incidents de sécurité dans le cloud résulteront d’une erreur humaine d’ici 2022. Avec un marché en croissance de 24 % par an et dont la tendance devrait rester soutenue dans les cinq années à venir, cette étude donne à réfléchir quant au respect des bonnes pratiques en matière de sensibilisation et d’hygiène informatique au sein de votre établissement vétérinaire.
Voici d’ailleurs le top 5 des erreurs humaines dans les entreprises :
1. Le non-respect des procédures de sauvegarde
2. Le partage de son mot de passe avec des collègues
3. L’utilisation d’appareils personnels au sein de l’entreprise
4. L’installation de logiciels « hors norme » sans validation préalable
5. L’effacement des données par erreur
La nécessité de former et sensibiliser
Des publications vulgarisées pour une compréhension du plus grand nombre sont éditées par des organismes de confiance comme l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) l’ANSSI visant à former et sensibiliser aux enjeux (financiers, d’image), aux consignes de sécurité, au respect des chartes informatiques ou encore aux données personnelles.
Voici quelques exemples concrets de points à connaître et respecter scrupuleusement :
– Les équipements personnels comme les clés USB ne doivent pas être utilisés au sein de l’établissement vétérinaire car ce sont des vecteurs possibles de virus ;
– La communication des mots de passes personnels à des tiers peut également représenter des dangers en cas de diffusion non maîtrisée ;
– L’utilisation des mêmes mots de passes pour les interfaces personnelles et privées peut être dangereuse car le fait d’être piraté à titre personnel peut provoquer des dégâts au sein de l’entreprise (et inversement) ;
– Le fait de laisser ouverte une session en oubliant de se déconnecter et également une porte ouverte trop fréquemment constatée dans les structures vétérinaires.
Une menace toujours plus sophistiquée
Chaque jour, des vulnérabilités sont découvertes dans les logiciels, les serveurs ou différents services. Parfois ces failles sont directement exploitées par des moyens techniques, parfois couplées à l’utilisation d’ingénierie sociale comme l’usurpation d’identité au moyen de mails ou d’appels téléphoniques, le clonage de sites hébergés par le pirate (phishing) ou l’installation silencieuse d’outils de contrôle à distance par clés USB.
Des attaques permanentes
Ces vulnérabilités forment des vecteurs d’attaques pour les pirates qui n’hésitent pas à les exploiter à grande échelle. Parmi les cyberattaques les plus couramment recensées contre les PME comme les établissements vétérinaires, on retrouve le « ransomware ».
Ces attaques ont pour but d’extorquer de l’argent ou des informations en échange du décryptage des données et de la suppression du blocage de ces données. Malheureusement, dans les faits, absolument rien ne garantit pour autant que le paiement de ladite rançon permette la récupération des données.
Le classique « malware » est également fréquent. Il se propage par des sites ou services compromis la plupart du temps, dont les objectifs peuvent être divers et infinis. Il est par exemple possible que la machine infectée soit utilisée pour commettre des actions illégales, allant de l’utilisation de la machine en rebond pour commettre d’autres attaques à l’hébergement de fichiers ou de services cachés.
Votre matériel ou votre site Internet peut également être victimes d’attaques de type DDoS (Distributed Denial Of Service) visant à inonder le réseau d’informations dans le but de perturber voire bloquer un site ou service en ligne.
Enfin, les techniques de phishing où le pirate se fait passer pour une source de confiance ou une connaissance afin de pousser la victime à divulguer des informations sensibles (ses identifiants de connexion, ses coordonnées bancaires…) doivent être connues de tous les membres d’un établissement vétérinaires. La méthode est largement répandue et ce depuis de nombreuses années mais elle fait toujours plus de victimes.
Les établissements vétérinaires sont directement concernés
Des cas concrets de mises en jeu de la sécurité informatique surviennent très régulièrement en France dans des structures vétérinaires. Voici l’exemple réel d’un ransomware ou logiciel de rançon dont a été victime une clinique vétérinaire :
Le vecteur de l’attaque fut l’ouverture d’un e-mail piégé envoyé par le pirate sur la messagerie de la clinique. Une fois qu’il a pu avoir accès au système informatique grâce à la brèche ouverte par le courriel, le pirate n’a eu qu’à rentrer dans le logiciel de gestion de la clinique pour prendre la main sur la base de données locale. Une fois la base de données dans les mains du pirate, il n’a eu qu’à supprimer l’intégralité de celle-ci et la remplacer en lieu et place de ces données un message stipulant la rançon à payer pour retrouver ses données.
Exemple de message demandant une rançon a un établissement vétérinaire pour récupérer sa base de données clients
Si ce cas se présente dans votre établissement vétérinaire, le seul mot d’ordre est : ne payez jamais. En effet, vous n’aurez aucune garantie de récupérer les données après votre paiement, et cela encourage par ailleurs les attaques par ransomware. Pour prévenir ce type de problème, faites en sorte d’avoir une solution de sauvegarde à jour, et d’effectuer des tests de restauration régulièrement pour vous assurer que tout fonctionne.
Le campus sur les réseaux