Cybersécurité, prévenir le risque - La Semaine Vétérinaire n° 1977 du 17/02/2023
La Semaine Vétérinaire n° 1977 du 17/02/2023

Protection

ENTREPRISE

Auteur(s) : Par Françoise Sigot

Les cliniques vétérinaires tout comme les autres entreprises peuvent difficilement se passer des outils numériques. Un avantage dans la gestion quotidienne, mais un risque en termes d’attaque des systèmes informatiques. Face à ces menaces se protéger devient indispensable.

Gestion administrative, outils d’exercice professionnel, autant de systèmes désormais tous informatisés… et autant de risques d’être victime d’une attaque. Face aux vols de données, sabotages, demandes de rançon, atteintes à la vie privée, la cybersécurité devient un enjeu essentiel. En 2021, la Commission nationale de l’informatique et des libertés a reçu pas moins de 5 037 signalements de violation de données personnelles, soit une augmentation de 79 % par rapport à 2020. La plateforme Thésée de dépôt de plainte en ligne pour escroquerie sur Internet, lancée en mars dernier, atteint déjà 75 000 signalements. Et la situation ne devrait guère s’améliorer… Le spécialiste américain de la cybersécurité Trellix prévoit une progression des cyberattaques causées par les conflits géopolitiques en Asie et en Europe, ainsi qu’une intensification de l’hacktivisme. Les pirates ne ciblent pas toujours les grandes organisations, les petites entreprises sont aussi souvent attaquées car elles sont des proies faciles pour les hackers. Pourtant, rares sont les cliniques vétérinaires qui ont mis en place des dispositifs permettant de prévenir de telles attaques.

L’affaire de tous

Contrairement à ce que beaucoup pensent, la cybersécurité n’est pas exclusivement l’affaire de spécialistes des systèmes informatiques. Chaque collaborateur doit désormais intégrer ce risque dans ses pratiques quotidiennes. Il ne s’agit pas de transformer les membres de son équipe en geeks capables de déjouer une attaque, mais plutôt de les sensibiliser au risque et d’adopter des pratiques plus responsables. En la matière, il est d’usage de définir cinq pratiques essentielles pour se prémunir. La première est d’adopter une politique de mot de passe rigoureuse. Autrement dit en changer régulièrement et le « sécuriser » au maximum en mêlant chiffres, lettres et caractères spéciaux. Le centre de cybersécurité britannique conseille d’en créer avec trois mots aléatoires. Un moyen de composer des mots de passe plus longs que d’ordinaire, donc plus difficiles à déjouer. La deuxième vise à sauvegarder régulièrement ses données, c’est-à-dire au moins une fois par semaine, voire plus si l’on procède à des opérations sensibles. Il est également conseillé de faire ses mises à jour régulièrement. Par ailleurs, se protéger des virus et des logiciels malveillants nécessite la mise en place de solutions spécifiques, notamment des antivirus sur chaque poste informatique. Enfin, la dernière pratique essentielle est d’éviter les réseaux Wi-Fi publics et inconnus.

Former un référent

Même si la cybersécurité doit être l’affaire de tous, il n’est pas inutile de former un collaborateur voué à ce risque. L’idée n’est pas d’en faire un anti-hacker capable de déjouer n’importe quelle attaque, mais plutôt d’avoir dans l’équipe une sorte d’observateur attentif, en alerte permanente sur les menaces. Une surveillance continue sera ainsi assurée en interne. De plus en plus d’organismes proposent ce type de formation qui n’est souvent un investissement que de quelques heures. On peut ainsi avoir dans son équipe un salarié qui est d’abord capable d’évaluer les menaces puis qui se charge notamment de surveiller l’activité sur le réseau afin de détecter les comportements potentiellement dangereux. Ce collaborateur fait office de vigie ; il s’assure que les consignes de sécurité sont bien respectées et que l’application de règles communes, facilement transmissibles au nouveau personnel, est de mise. Enfin, il établit une base de procédures de référence en cas de menace et a fortiori d’attaque. Désormais, des entreprises proposent ces services et se chargent de surveiller à distance l’activité sur les réseaux d’une entreprise et d’intervenir en cas de menace avérée. Ces spécialistes sont également souvent de bons conseils pour paramétrer les protections au regard des risques potentiels.

Sécuriser son réseau

Au-delà des hommes, rouages essentiels pour devancer les attaques, il est tout aussi primordial de sécuriser son réseau. Et là, il s’agit d’une affaire de spécialistes. Il est souvent nécessaire de passer par un audit pour savoir quels ordinateurs et quels autres dispositifs connectés à Internet sont reliés au réseau de l’entreprise. L’objectif est également de repérer les éventuelles failles et sources de vulnérabilité pour les corriger, par exemple en vérifiant que tous les appareils sont à jour et équipés de solutions pour les protéger. Cette analyse permet aussi de vérifier les contrats en lien avec le réseau. Par exemple, définir qui est responsable si, lors d’une attaque, les données stockées sur un cloud disparaissent ou sont piratées. Enfin, après l’audit vient le temps de s’équiper pour sécuriser le réseau. Des pare-feu – ils sécurisent un réseau en gérant le trafic et en bloquant le trafic entrant non désirable – au VPN – un élément de sécurité qui chiffre les données – en passant par les antivirus, de nombreux équipements existent. Il s’agit de bien les paramétrer en fonction des caractéristiques du réseau de la clinique, du potentiel de risque et des moyens que l’on souhaite allouer à la cybersécurité. Un fil doit guider l’action : adopter une approche proactive en investissant dans la surveillance de la sécurité revient toujours moins cher que de « réparer » les conséquences d’un piratage. Toutefois, il est conseillé de se méfier des solutions clés en main, et de préférer le sur-mesure. D’autant qu’opter pour une protection sur mesure ne revient souvent guère plus cher que de piocher dans un catalogue.

Un plan d’action gouvernemental

Face à la recrudescence des actes de cybermalveillance, le gouvernement accompagne les entreprises, notamment avec un guide, La Cybersécurité pour les TPE-PME en 13 questions, publié par l’Agence nationale de la sécurité des systèmes d’information, en partenariat avec la Direction générale des entreprises (DGE). Disponible gratuitement sur le portail de la DGE1 du ministère de l’Économie et des Finances et de la Souveraineté industrielle et numérique, ce document aborde les bases de la sécurité numérique tout en apportant des réponses concrètes aux problèmes que les petites entreprises peuvent rencontrer. En appui de ce document, depuis ces dernières années, un ambitieux plan de renforcement cyber a été mené, notamment en direction des établissements de santé2, une des cibles préférées des pirates informatiques. Ainsi, de nombreux audits d’établissements ont été conduits, une vaste campagne de sensibilisation « Tous cybervigilants » a été lancée, et le déblocage de nouveaux financements pour améliorer la sécurisation des logiciels et autres outils techniques est en cours.

1. bit.ly/3xdckCV.

2. https://esante.gouv.fr/strategie-nationale/cybersecurite.