Combien seriez-vous prêt à payer pour récupérer les données numériques associées à votre activité professionnelle ?
En février dernier, un centre hospitalier californien a reconnu avoir payé une rançon de 17 000 dollars pour récupérer l’accès à son système informatique infecté par un logiciel malveillant. Locky, un nouveau « cryptovirus? », avait chiffré les données, les rendant inutilisables. Près de 900 patients avaient été déplacés et le fonctionnement des services avait été perturbé pendant une dizaine de jours. En France, d’après Philippe Loudenot chargé de la sécurité des systèmes informatiques au ministère de la Santé, un millier d’incidents informatiques a touché des établissements de santé en 2015. Si 90 % sont liés à une mauvaise protection ou à un mauvais usage des systèmes qui les exposent aux virus circulant sur l’Internet, 10 % sont des attaques délibérées ciblant un établissement particulier(1).
Depuis 1 an l’usage des « cryptovirus » s’est particulièrement intensifié. Ils se propagent essentiellement par l’intermédiaire de pièces jointes associées aux courriers électroniques. La simple ouverture d’un tel fichier, qui peut être en .doc, .xls, .pdf, ouvre la porte du disque dur au virus qui s’emploie à y crypter les données. Une fois le travail effectué, l’ordinateur est bloqué. L’écran affiche alors la marche à suivre pour obtenir une clé de déchiffrement. Celle-ci consiste le plus souvent à payer une somme en bitcoins, un procédé réputé intraçable. Un marché florissant s’est développé qui propose pléthore de logiciels antivirus, certes pas inutiles mais toujours en retard face à l’inventivité des pirates. La consultation du site du Centre gouvernemental de veille d’alerte et de réponse aux attaques informatiques permet de se rendre compte de l’évolution quotidienne des menaces(2). Toutefois, pour un cabinet dentaire comme pour un particulier, qui ont peu de risque d’être les victimes d’une attaque ciblée, les mesures à prendre sont d’abord préventives. Bien sûr il est conseillé de ne pas ouvrir les fichiers émanant de courriers non identifiés ainsi que de refuser toute instruction dont on ne comprend pas clairement l’utilité. Mais personne n’est à l’abri d’une erreur ou d’une inattention, aussi la nécessité de faire des sauvegardes est fondamentale. Leur fréquence, adaptée à l’usage, devra être quotidienne pour une utilisation professionnelle. Elles devront être réalisées sur des supports externes différents pour chaque jour de la semaine et déconnectés de l’ordinateur. La solution la plus confortable consiste à s’abonner à un des services de sauvegarde à distance généralement proposés par les éditeurs de logiciels. Encore faut-il s’assurer de la qualité et du niveau de sécurité fourni. L’Agence des systèmes d’information de santé (ASIP Santé) a publié un cahier des charges destiné à de tels services(3). Si malgré tout vous êtes victime d’un incident, le site de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) propose une marche à suivre face à différentes situations(4). Tout praticien doit être conscient que les données de son activité ne sont pas menacées que sur son ordinateur. Celui-ci se trouve relié à un système informatique de santé bien plus vaste mis en place autour de la carte Vitale. Certes l’Assurance maladie a des moyens qui sont à l’échelle de son budget et, depuis le développement de la carte Vitale, il n’a pas été rapporté d’incidents de ce type. Mais le projet de généralisation du tiers payant et de son extension aux mutuelles soulève d’une manière aiguë la question de la sécurité. Du fait de la multiplicité des organismes et de la moindre importance des sommes en jeu, ces derniers investiront-ils à la mesure des risques encourus ?
(1) DSIH.fr l’actualité des SIH et de la e-santé : http://www.dsih.fr/article/1874/les-si-de-sante-nouvelles-cibles-des-hackers.html
(2) Centre gouvernemental de veille d’alerte et de réponse aux attaques informatiques : http://www.cert.ssi.gouv.fr/
(3) ASIP Santé. Règles de sauvegarde des systèmes d’information de santé : http://esante.gouv.fr/sites/default/files/pgssi_guide_regles_sauvegarde_v1.0.pdf
(4) ANSSI. En cas d’incident : http://www.ssi.gouv.fr/en-cas-dincident/