Vieux comme le monde, le vol dans les commerces n'épargne pas les pharmacies. Et elles ont dû, comme les autres, se protéger en s'équipant de portiques antivol, de systèmes de vidéosurveillance, ou encore en embauchant des agents de sécurité. Toutefois, avec la digitalisation qui, chaque jour, s’invite de plus en plus dans l’officine, d'autres dangers guettent le pharmacien. Les cybercriminels n’hésitent pas à s’attaquer aussi aux établissements de santé pour, le plus souvent, leur extorquer de l'argent via, par exemple, l'utilisation de rançongiciels. Lesquels vont chiffrer des données, impactant ainsi l’activité de l’officine, jusqu'à ce que le pharmacien paye une rançon pour restaurer ses accès.
Les établissements de santé sont des cibles de choix car ils ont, d’une part, la réputation, souvent avérée, d'être mal protégés et, d’autre part, de traiter des données de grande valeur. « Une donnée de santé se vend en moyenne 8 euros sur le darkweb », explique Christophe Dos Santos, président de CyberPharm, société spécialisée dans le contrôle et la surveillance 24/7 des systèmes d'information des pharmacies.
Le risque est donc bien réel. Un acteur de la pharmacie, qui a souhaité rester anonyme, confirme ainsi au « Quotidien du pharmacien » avoir été récemment victime d'une cyberattaque. « Les hackeurs sont parvenus à pénétrer dans notre système d'information, sans pour autant accéder à des données sensibles ». A priori, plus de peur que de mal. Cet incident aura fini de convaincre la structure en question de renforcer ses moyens de cyberdéfense.
En dépit des risques : « 99 % des pharmaciens ignorent les surfaces d'attaques auxquelles ils sont exposés. Il en existe pourtant des milliers. Cela peut venir d'une simple connexion mal sécurisée, d'une imprimante, d'une caméra, d'un écran publicitaire… », décrit Christophe Dos Santos. En somme, tout ce qui est connecté à un réseau est une porte potentielle pour un acteur malveillant.
Fermer les portes ouvertes
« Avec la digitalisation et la multiplication de ces petits équipements, les officines sont de plus en plus exposées au risque cyber », prévient Christophe Dos Santos. Petit entrepreneur oblige, le pharmacien ne dispose pas, dans la plupart des cas, de son propre RSSI (responsable de la sécurité des systèmes d'information) ou DSI (directeur des systèmes d'information). « L'idéal consiste donc à leur donner une solution complète qui agit comme un poste de sécurité et leur permet de déléguer la gestion cyber, pour qu'ils puissent se concentrer sur leur mission », détaille Christophe Dos Santos. Au même titre qu'il délègue, via leurs LGO, en externalisation, des ressources métiers indispensables dans leur quotidien.
Des sondes branchées sur le réseau d'une pharmacie sont en mesure de détecter la surface d'attaque à laquelle est exposée l'officine
C'est toute la mission de sociétés comme Cyberpharm. Par l'intermédiaire de sondes branchées sur le réseau d'une pharmacie, la solution de l’entreprise va être en mesure de détecter la surface d'attaque (la somme des différents points faibles) à laquelle est exposée l'officine. Cet agent de sécurité 2.0 va, par exemple, détecter les connexions nomades : soit des membres de l'équipe officinale accédant au serveur de l'officine depuis la connexion de leur domicile, souvent insuffisamment sécurisée. Il s’agit aussi de détecter si les dispositifs Firewall (pare-feu) sont bien activés, ceux-ci sont primordiaux puisqu'ils déterminent les communications autorisées sur un réseau informatique. Les sondes vont aussi repérer si un antivirus est actif ou inopérant par défaut de licence ou de mise à jour par exemple. Une fois tous ces points d'entrée détectés, un plan d'action pourra être déterminé afin de les sécuriser.
Seront également passés au crible les différents objets connectés dans la pharmacie afin de mettre en évidence toutes les vulnérabilités potentielles. En effet, s'il est de notoriété publique qu'il est vivement conseillé de mettre à jour ses systèmes, cette nécessité est moins connue pour ce qui concerne l’internet des objets (IdO) comme les postes téléphoniques, les imprimantes, etc. « Car les cybercriminels vont au plus simple et exploitent le plus souvent des vulnérabilités détectées et annoncées par les éditeurs », prévient Christophe Dos Santos. Les pirates parient sur le fait que les utilisateurs de ces solutions n'auront pas appliqué de correctifs, par méconnaissance, ou parfois par simple oubli.
Suivre les hackeurs
Les sondes d'acteurs comme Cyberpharm traquent également les cybercriminels en continu depuis le darknet en mettant à jour et en pistant en temps réel les adresses IP qu'ils utilisent. Si l'une d’elles est détectée sur le réseau d'une pharmacie cliente, l'alerte est alors donnée. Les sondes sont également connectées aux principaux éditeurs d'antivirus pour être en mesure de repérer un maximum de menaces potentielles.
D'autres solutions, comme le NDR (Network Detection and Response), développé par Nano Corp, assurent également cette surveillance continue du réseau d'une entreprise pour détecter toute intrusion, menaces et comportements inhabituels qui, par rebond, pourraient impacter une officine. « Nous avons un prestataire de service qui fournit un réseau HDS, qui regroupe entre 200 et 300 sites indépendants, de pharmaciens, CHU, etc. et qui collectivement représente un très grand réseau. On va être au service de ce prestataire pour lui donner cette capacité à se défendre », explique Fanch Francis, cofondateur et CEO de Nano Corp.
Le ver est dans le code
Au-delà de ces seuls problèmes de sécurisation auxquels le pharmacien peut remédier une fois détectés, en mettant à jour ou en activant ses systèmes de sécurité, ce sont aussi les logiciels (softwares) et le Firmware (le code faisant fonctionner un matériel informatique) qui peuvent être sujets à des vulnérabilités. Et sur ces points, les pharmaciens n'ont pas ou peu de prise. « Souvent, ces technologies hébergent des vulnérabilités dans leur code. Par exemple, quand iOS informe d'une mise à jour, ce n'est pas que pour apporter de nouveaux emojis, mais c'est bien souvent pour combler leurs failles de sécurité. » D'où l'importance d'effectuer, dans un premier temps, les mises à jour de ses systèmes. Reste qu’elles viendront apporter des correctifs aux vulnérabilités connues. Qu'en est-il lorsque celles-ci n'ont pas été repérées ou ne font l'objet d'aucun correctif, ni publication connus de la part des éditeurs ? Des vulnérabilités dites « zéro-day » que les fournisseurs de service, tels Cyberpharm et Nano Corp, s'échinent à détecter.
Protéger le pharmacien de lui-même
Mais s'il y a bien une chose que les entreprises ne peuvent faire, c’est protéger le pharmacien de lui-même. « Il y a un gros travail d'évangélisation à réaliser », reconnaissait l'acteur de la pharmacie piraté, qui a souhaité rester anonyme. Ce dernier reconnaît que, dans le secteur, certaines pharmacies ne sont toujours pas équipées de simples pare-feu. Charge aux groupements notamment d'effectuer en partie ce travail d'évangélisation, en proposant par exemple des prestataires de confiance à leurs adhérents. Bien qu'au final, les pharmacies demeurent des entités autonomes, libres de leur choix.
Le phishing (hameçonnage) consiste à utiliser de faux sites WEB ou des SMS/courriels trompeurs pour endormir la méfiance des victimes
Au-delà de la seule technologie, ce sont bien les compétences individuelles du pharmacien qui sont questionnées. Car la principale porte d'entrée est souvent l'équipe officinale elle-même qui, par manque de connaissance ou d'attention, tombe dans le piège de l'ingénierie sociale. Cette technique de manipulation utilisée par les cybercriminels vise à inciter des utilisateurs à partager des informations confidentielles comme des codes d'accès. L'exemple le plus connu n'est autre que le phishing (hameçonnage) qui consiste à utiliser de faux sites WEB ou des SMS/courriels trompeurs pour endormir la méfiance des victimes et leur dérober des informations personnelles. Sur ces différents aspects, la technique ne suffit pas et c'est bien la vigilance du pharmacien qui prime. À lui de vérifier constamment l’expéditeur, d’autant plus si des liens de redirections ou des pièces jointes sont intégrés dans un courriel, et de ne jamais envoyer de données personnelles ou d’identification par mail, etc.
Il n'y a donc pas d'autres choix que de passer par une phase d'apprentissage. Le ministère de la Santé et de la Prévention plaide d'ailleurs pour la mise en place de sessions de travail sur la cybersécurité au sein des établissements de santé. Le Collectif Club des groupements d'officines et des partenaires de santé a, de son côté, publié un document sur la sécurisation de l'officine : y sont recensés les vecteurs d'attaques les plus courants (messageries électroniques, failles non corrigées) ainsi que les bonnes pratiques que chacun doit adopter pour s’en prémunir au mieux. Citons : la sauvegarde/double sauvegarde des données, la mise à niveau régulière des systèmes et logiciels, l'utilisation de mots de passe robustes, la séparation entre usages personnels et professionnels, l'utilisation d'une messagerie sécurisée de santé, le respect des principes du Règlement général sur la protection des données de santé (RGPD), la destruction des données devant l'être, etc. En cas d'attaque, le document décrit également la marche à suivre en cas d'infection du poste de travail. La CNIL (Commission nationale de l'informatique et des libertés) et l'Ordre national des pharmaciens y sont également allés de leur guide pratique.
En dépit du manque de temps, caractéristique du métier du pharmacien, mieux vaut ne pas jouer avec la cybersécurité. D'autant que, comme le rappelle le CNOP, le pharmacien a la responsabilité d'assurer la sécurité des données de ses patients au regard notamment du RGPD et qu'il peut être attaqué en justice en cas de diffusion desdites données qui lui ont été confiées.
Des hébergeurs sécurisés mais pas sans faille
Les données de santé doivent obligatoirement être stockées chez un hébergeur certifié de données de santé. Mais ces derniers, garants de la sécurité de celles-ci, ne sont pas infaillibles. En décembre 2023, Coaxis, une entreprise de services numériques (ESN) certifiée hautes données de santé (HDS), a été la cible du célèbre groupe de ransomware LockBit3.0, qui a profondément perturbé son système informatique et ses services, et menaçait de divulguer des données subtilisées le mercredi 9 janvier. Les enquêtes menées chez Coaxis indiquent qu'aucune donnée client ou personnelle n'a été exfiltrée. A priori donc, plus de peur que de mal. Pourtant cette attaque pose la question de la sécurisation réelle des données de santé, en cas d’attaque plus grave.