Entretien avec Ivano Somaini

«Des pirates informatiques publient à nouveau des données sensibles sur la santé en Suisse», «Des milliers de données suisses sur la santé finissent sur le Darknet après une attaque de pirates informatiques», «Des pirates informatiques attaquent un cabinet médical et publient des données de patients». Nous sommes souvent confrontés à ce genre de gros titres. En effet, les cabinets médicaux, y compris ceux des dentistes, sont une cible privilégiée des cyberattaques.

Il est grand temps de se pencher sur le sujet. Nous nous sommes entretenus avec Ivano Somaini, expert en sécurité informatique chez Compass Security à Zurich. Il nous explique à quels risques les cabinets sont réellement exposés, comment se protéger au mieux et ce qu’il faut faire en cas d’urgence.

Ivano, d’après ton expérience, quels sont les risques numériques auxquels les cabinets dentaires sont le plus souvent confrontés?

Le plus grand risque numérique pour les dentistes est la perte des données des patients. Il s’agit de données sensibles; des données personnelles avec mention des numéros d’assurance en passant par des informations sur l’employeur. Si celles-ci sont volées ou cryptées, cela place les responsables de cabinet dans une situation délicate.

Dans quelle mesure? Que font les pirates avec ces données?

Auparavant, les cybercriminel·le·s cherchaient à crypter les données et à demander une rançon pour les débloquer. De nos jours, de nombreux cabinets médicaux assurent en outre la sécurité de leurs données à l’aide d’une sauvegarde.

C’est pourquoi les cybercriminel·le·s exfiltrent les données, en les volant pour ainsi dire, les cryptent et menacent de les divulguer si l’on ne paye pas de rançon. Les cabinets risquent de voir leur image ternie en cas de publication.

Existe-t-il d’autres dangers numériques?

Il arrive régulièrement que des cybercriminel·le·s paralysent des appareils numériques, tels qu’un scanner dentaire. Le personnel du cabinet ne peut alors plus effectuer son travail habituel. Avec cette méthode, les pirates demandent aussi une rançon.

En outre, certains pirates bloquent l’agenda d’un cabinet. C’est moins critique, mais cela peut être une source de stress.

Comment les cybercriminel·le·s accèdent-ils aux systèmes? Peux-tu nous décrire un incident classique?

La plupart des attaques se font par le biais d’un e-mail de phishing qui demande à l’utilisateur d’effectuer une action. Un exemple: je reçois un e-mail avec une pièce jointe que je suis tenté d’ouvrir. Il peut s’agir par exemple d’une fiche de paye ou d’une lettre de motivation. Dès que j’ouvre la pièce jointe, on me demande d’agir. Par exemple, je dois débloquer une situation et pour cela, je dois activer les macros, la fonction d’automatisation des procédures.

Ce que je ne sais pas, c’est que cette pièce jointe contient un code malveillant. Dès que j’active les macros, j’autorise le code malveillant à s’exécuter sur mon appareil. Petit à petit, d’autres codes malveillants sont téléchargés jusqu’à ce que, finalement, tout mon appareil soit infecté et que les fichiers soient cryptés.

Le temps que je me rende compte de ce qui arrive à mon système, il sera probablement trop tard?

Exactement, il n’y a aucune possibilité de réagir une fois que le code malveillant a été activé. Les cybercriminel·le·s font preuve d’une grande sophistication dans ce domaine. Par exemple, mon ordinateur m’indique qu’il est en train d’effectuer une vérification afin de détecter la source de l’erreur. Mais cette apparence est trompeuse, car les pirates créent eux-mêmes la vérification supposée du système pour gagner encore plus de temps.

En règle générale, je reçois alors un message indiquant que mes données ont été cryptées. Les pirates me donnent ensuite des instructions sur la manière dont je dois procéder pour récupérer mes données. Je ne peux pratiquement plus rien faire. Sauf si j’ai une sauvegarde ou si je paye la rançon. Les pirates informatiques réclament d’ailleurs presque exclusivement cette somme en cryptomonnaie afin de rester anonymes.

Est-ce le seul mode opératoire des cybercriminel·le·s?

Probablement le plus fréquent, mais pas le seul. De nombreux cabinets autorisent l’accès au système depuis le domicile. Je peux donc me connecter à l’aide d’une URL et saisir un nom d’utilisateur et un mot de passe. Dans ce cas aussi, les pirates agissent par le biais d’e-mails de phishing.

Je reçois un e-mail qui m’amène, sous un prétexte particulier, sur la page de connexion supposée et m’incite à saisir mon nom d’utilisateur et mon mot de passe. Mais la page a été créée par des pirates informatiques qui ont pour but de voler mes données de connexion. Ils peuvent ainsi se connecter au vrai système et avoir accès à toutes les données. Souvent, ils génèrent alors des dommages directement dans le système.

Et certains pirates essaient même d’infecter mes contacts pour se propager. D’autres encore recherchent spécifiquement ma sauvegarde pour la crypter avant de s’attaquer au reste de mes données.

N’y a-t-il rien que je puisse faire si je sens que quelque chose ne va pas?

On peut débrancher l’appareil probablement infecté. Et il faut alors contacter immédiatement le partenaire informatique et s’adresser à un membre du service de cybercriminologie ou du service de réponse aux incidents. Ils tentent de trouver le point d’entrée et de réduire les dégâts au maximum.

Les cabinets dentaires peuvent-ils se protéger?

La protection la plus efficace est sans doute de savoir que tout le monde peut être piraté. Il faut faire preuve d’une prudence saine face aux e-mails auxquels on ne s’attend pas. Les dentistes et leur personnel doivent faire attention aux pièces jointes qu’ils ouvrent et aux liens sur lesquels ils cliquent.

En cas d’urgence, il est essentiel d’avoir un plan de crise à disposition. Tout cabinet devrait s’attendre à être victime d’une cyberattaque à un moment ou à un autre. Dans ce cas, il vaut mieux être bien préparé. Une sauvegarde, la mise à disposition des contacts importants en cas d’urgence et l’établissement d’une procédure concrète permettent de gagner un temps précieux lorsqu’il s’agit de récupérer ses propres données.

Mais surtout, les cybercriminel·le·s sont de très bons hommes et femmes d’affaires. Ils n’attaquent généralement que là où ils peuvent frapper rapidement. Plus l’entrée dans le système est difficile, moins on est attractif comme cible d’une attaque. Les solutions antivirus et les mises à jour régulières des systèmes compliquent déjà fortement la tâche des pirates.

Y a-t-il des choses que les propriétaires et le personnel des cabinets doivent absolument éviter?

Utiliser le même mot de passe partout. C’est une négligence dans l’espace numérique. Mais la prudence est également de mise en dehors du cabinet. Car, surtout depuis la pandémie, la vie privée et la vie professionnelle sont souvent mélangées. Nombreuses sont les personnes qui emportent leur outil de travail à la maison et l’utilisent à titre privé. L’ordinateur portable contenant les données des patients ne doit toutefois pas être utilisé à des fins privées.

Et qu’est-ce qui est souvent mal évalué en matière de cybersécurité?

Nous avons régulièrement affaire à des personnes qui pensent qu’il est moins sûr de stocker des données dans le Cloud ou d’utiliser des solutions basées sur le Cloud. Pourtant, il est souvent plus sûr de stocker des données dans le Cloud que sur un serveur personnel dans sa cave. Parallèlement, nous envoyons chaque jour des données très privées par l’intermédiaire des réseaux sociaux comme WhatsApp. C’est assez paradoxal.