Cybermenaces : comment protéger son officine ?
L’adage « mieux vaut prévenir que guérir » s’applique autant à la santé publique qu’à la cybersécurité. Sentinelles de santé sur le territoire, remparts contre les virus, les pharmaciens ont aussi vocation à se protéger eux-mêmes, notamment contre la menace immatérielle et montante des cyberattaques. Celles-ci peuvent prendre la forme de vol de données, d’extorsion par des rançongiciels ou d’autres offensives ourdies par des malfaiteurs de plus en plus inventifs. À l’accroissement des usages numériques doit répondre une professionnalisation de la vigilance. Et si la peur n’éloigne pas le danger, les solutions prophylactiques et curatives pour se protéger existent. Alors, comment protéger son officine ? Synthèse des bonnes pratiques avec notre expert, Romain Vergniol, responsable de la sécurité des systèmes d’information (RSSI) du Groupe Cegedim.
Sur le front des risques cyber, l’ennemi ne dort jamais. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) fait état dans son Panorama 2023 d’une « menace informatique en constante augmentation, dans un contexte marqué par de nouvelles tensions géopolitiques et la tenue d’événements internationaux sur le sol français. » Les TPE, PME et ETI ont représenté 34 % des victimes d’attaque par rançongiciel en 2023. Les pharmacies d’officine ne sont donc pas à l’abri. Des exemples récents d’attaques contre des hôpitaux et d’autres acteurs du monde médical témoignent de l’intérêt des cyberpirates pour les données de santé, qui se revendent à prix d’or au marché noir.
Pourquoi les officines sont-elles des cibles ?
« La dépendance des pharmaciens au numérique s’est accrue, et donc le besoin de résilience », analyse Romain Vergniol, en charge de la sécurité des systèmes d’information pour le Groupe Cegedim, dont fait partie Smart Rx. Par résilience, il faut entendre la capacité des systèmes d’information à résister aux attaques, qu’elles soient ciblées ou aléatoires. Les officines, qui traitent et transmettent de plus en plus de données via des systèmes divers (logiciels, messageries, objets connectés…), sont logiquement de plus en plus exposées aux cybermenaces. « Les structures de taille petite, moyenne et intermédiaire sont particulièrement à risque », car souvent exemptes de dispositifs de protection robustes, souligne l’ANSSI. Autrement dit : des cibles faciles.
Quelles sont les principales cybermenaces ?
« Les attaques ont le plus souvent un but lucratif », souligne Romain Vergniol, qu’il s’agisse de s’infiltrer dans les systèmes pour y dérober des données et les revendre sur le darknet ou d’extorquer des fonds via les « rançongiciels » (ou ransomware). Ces logiciels malveillants vont chiffer les données de la victime, les rendant inutilisables jusqu’au versement d’une rançon. L’attaque par un rançongiciel entraîne ainsi une perte d’activité, dès lors qu’elle paralyse les systèmes nécessaires au bon fonctionnement de l’officine
Le vol de données personnelles présente, pour sa part, des risques non seulement pour les patients auxquels elles appartiennent, mais également pour le pharmacien. En cas de négligence avérée, celui-ci peut s’exposer à des amendes prononcées par la Commission nationale de l’informatique et des libertés (CNIL). Dans toutes les situations où il utilise des données personnelles (qu’elles soient de patients, de salariés ou de fournisseurs), le pharmacien titulaire est tenu de respecter le « Règlement Général sur la Protection des Données » (RGPD) en tant que « responsable de traitement ».
Où se situent le plus souvent les failles ?
La créativité des hackers n’a pas de limite et leurs armes sont multiples, des intrusions aux usurpations d’identité en passant par le « hameçonnage » (phishing). Ce dernier consiste à leurrer les utilisateurs via l’envoi de mails trompeurs, les incitant à communiquer des données personnelles (codes d’accès, mots de passe…) ou bancaires. Cette pratique exploite un maillon faible assez courant : le manque de sensibilisation des équipes aux risques cyber et aux mails frauduleux. À cet égard, l’ANSSI propose un guide d’« hygiène informatique » particulièrement utiles pour le management de la cybersécurité dans les petites structures.
La cybersécurité fait partie des objectifs du Ségur du numérique en santé, via notamment la généralisation des messageries sécurisées de santé (MSS). Ainsi, plus aucune ordonnance scannée ne devrait être envoyée au pharmacien sur sa boîte mail personnelle. « L’usage de messageries personnelles pour l’envoi de documents médicaux est une pratique très risquée du point de vue de la sécurité », selon Romain Vergniol. Il suffit qu’un mot de passe trop simple soit piraté et c’est la fuite de données… Pour pallier ce risque, en attendant la mise en œuvre de l’ordonnance numérique, une fonctionnalité permet aux patients d’adresser leurs ordonnances via Mon espace santé aux pharmacies équipées d’une boîte aux lettres MSSanté organisationnelle.
Enfin, les connexions Internet insuffisamment sécurisées représentent une source de vulnérabilité. « Lorsque le pharmacien ouvre un flux sur sa box internet, pour accéder à une application hébergée dans son officine, par exemple de télésurveillance ou de comptabilité, il arrive que le flux soit ouvert trop largement. Cela donne alors accès, depuis l’extérieur, à l’ensemble des données de la pharmacie, dont des ordonnances, Cartes Vitale, etc. », explique Romain Vergniol. Pour prévenir ce type d’exposition (et l’utilisation frauduleuse voire la destruction de données qui peut en résulter), des sociétés dont Smart Rx proposent aux officines des solutions d’accès sécurisé à Internet.
Comment protéger son officine des cyberattaques ?
Téléchargez notre check list avec 7 conseils et bonnes pratiques pour se protéger efficacement contre les cyberattaques en pharmacie.
Que faire en cas de cyberattaque ?
- Déconnecter d’Internet l’équipement sur lequel l’incident s’est produit ;
- Ne pas éteindre ni modifier les ordinateurs et matériels affectés par l’attaque, ne plus les utiliser ;
- Ne jamais payer la rançon demandée ;
- Prévenir le fournisseur du service informatique touché ;
- Signaler l’incident sur https://www.cybermalveillance.gouv.fr/ ;
- Porter plainte et appeler son assureur si l’on est couvert pour les risques numériques ;
- Déclarer l’agression à l’Ordre des pharmaciens ;
- En cas de violation de données personnelles, une déclaration à la CNIL est obligatoire.
- Se faire accompagner par un prestataire spécialisé en réponse à un incident de sécurité.
Vous souhaitez en savoir plus sur comment protéger son officine ?
Quelques ressources utiles :
- Guide de l’ANSSI « La cybersécurité pour les TPE/PME en 13 questions » https://cyber.gouv.fr/publications/la-cybersecurite-pour-les-tpepme-en-treize-questions
- Ordre national des pharmaciens, « Cyberattaques : comment lutter contre le hacking des données de santé ? » https://www.ordre.pharmacien.fr/les-communications/focus-sur/les-actualites/cyberattaques-comment-lutter-contre-le-hacking-des-donnees-de-sante
- Guide RGPD édité par la CNIL et l’Ordre des pharmaciens https://www.cnil.fr/fr/la-cnil-et-lordre-national-des-pharmaciens-publient-un-guide-rgpd
- Agence du Numérique en Santé (ANS), mémento de sécurité informatique pour les professionnels de santé en exercice libéral https://esante.gouv.fr/actualites/lans-publie-un-memento-de-securite-informatique-pour-les-professionnels-de-sante-en-exercice-liberal