Bonne nouvelle. Le 27 janvier, Europol a annoncé le démantèlement de l’un des plus importants logiciels de cybercriminalité grâce à l’opération conjointe de huit pays – dont la France et les États-Unis. En six années d’existence, Emotet a infecté des centaines de milliers d’ordinateurs dans le monde. Son but ? Vendre l’accès à ces machines à d’autres cybercriminels, tels le rançongiciel Ryuk, parmi les plus rentables de la planète selon le FBI. Selon un rapport de l’Agence nationale de sécurité des systèmes d’information (ANSSI) publié en décembre 2020, rien que sur le mois précédent, « Ryuk serait responsable de 75 % des attaques sur le secteur de la santé ».
En France, des attaques importantes ont déjà touché des hôpitaux, comme le CHU de Rouen (Seine-Maritime) en novembre 2019. Rien qu’en décembre dernier, ont été attaqués les centres hospitaliers de Narbonne (Aude) et d’Albertville-Moûtiers (Savoie), et même le façonnier français Fareva, qui participe à la production du vaccin anticovid de Curevac, ou encore l'Institut Pasteur fin janvier. Dans un rapport co-écrit avec son homologue allemand, l’ANSSI estime qu’en 2020 le nombre de victimes de cyberattaques a été multiplié par quatre. « Le ciblage du système de santé dans son ensemble et des chaînes d’approvisionnement représente aujourd’hui une menace majeure. De telles cyberattaques pourraient effectivement avoir des effets critiques sur notre capacité à faire face à la pandémie. »
Véritable fléau
Les actes de cybermalveillance visant des fabricants de vaccins se multiplient aussi. Johnson & Johnson, Novavax, AstraZeneca, Moderna… aucun n’est épargné. Pas même les acteurs de la chaîne du froid. En décembre 2020 toujours, l’Agence européenne du médicament (EMA) a été victime d’une cyberattaque dans le but de consulter des documents confidentiels concernant notamment le vaccin anticovid de Pfizer-BioNTech. À l’Agence du numérique en santé (ANS, ex-ASIP), la cellule d’accompagnement à la cybersécurité des structures de santé (ACSS) comptabilise 369 incidents déclarés en 2020, dont 60 % sont d’origine malveillante, soit une hausse de 17 % par rapport à l’année précédente. Pour 58 % de ces incidents, les données ont été impactées.
Pour Denis Supplisson, vice-président du collège pharmaciens de la Fédération des éditeurs d’informatique médicale et paramédicale ambulatoire (FEIMA) et directeur général délégué de Pharmagest Interactive, « les cyberattaques, tout secteur confondu, ont été multipliées par 10 ou 12 en 2020 en raison du confinement et du télétravail ». Le nombre de pharmaciens concernés n’est pas connu. « Bien qu’ils aient une obligation de déclaration à la CNIL en cas d’usurpation ou de vol de données, il n’y a pas de statistiques disponibles. » Mais les cyberattaques sont bien réelles. « Le pharmacien présente un double risque parce que, en tant que professionnel de santé, il stocke des données sensibles de santé, et en tant que commerçant, il procède à des opérations financières. Des pharmacies sont attaquées toutes les semaines, c’est un véritable fléau », remarque Denis Supplisson.
Pas d’antivirus grand public
Les cyberattaques les plus courantes sont celles utilisant un rançongiciel ou ransomware, qui bloque le système informatique et demande une rançon pour le débloquer. Tous les experts de la cybersphère recommandent de ne pas céder et de contacter son éditeur informatique. Mais ces attaques ont évolué et couplent désormais le cryptage des données avant demande de rançon à l’aspiration des data pour les revendre. Pour éviter de se retrouver dans une situation inextricable, il est recommandé en amont d’effectuer des sauvegardes du système quotidiennes déposées en lieu sûr et d’avoir un système de protection professionnel comme ceux proposés par les éditeurs de logiciels officinaux. Il convient aussi d’utiliser un antivirus adapté aux besoins de l’officine, surtout pas d’antivirus grand public et encore moins gratuits, « les plus utilisés, donc les mieux connus et les plus faciles à contourner ». Des conseils à diffuser massivement, car « la pharmacie est trop souvent mal protégée, avec un système informatique ouvert sur l’extérieur. Or le titulaire a un devoir de protection. En cas de vol des données, après avoir arrêté le système et déconnecté Internet immédiatement, il doit faire une déclaration à la CNIL qui lui infligera une amende de 10 % de son chiffre d’affaires s’il n’est pas correctement équipé. Les conséquences financières ne sont donc pas à prendre à la légère. S’ajoute à cela un impact sur l’image de l’officine qui doit informer ses patients dont les données ont été aspirées », explique Denis Supplisson.
Par ailleurs, le vice-président de la FEIMA alerte sur la problématique de la vidéoprotection « maison » avec envoi des données sur un ou plusieurs ordinateurs pour surveiller à distance. « Des spécialistes de la vidéoprotection peuvent offrir un accès distant protégé, ce qui n’est pas le cas quand on installe ses caméras connectées soi-même. Cette vidéoprotection peut alors être très néfaste, elle peut être surveillée par des milliers de personnes… et coûter un cambriolage même en plein jour. »
Relisez vos contrats !
La protection de son système informatique passe par une prudence de tous les instants. « Les pharmaciens ne sont pas non plus à l’abri lorsqu’ils installent des logiciels de petites sociétés, des systèmes de lutte contre les ruptures par exemple, qui peuvent entrer dans les bases de données et extraire des data. Le pharmacien est un hébergeur de données et il a pour devoir de garder ses portes fermées en faisant respecter le RGPD », rappelle Denis Supplisson. Car ces sociétés « utilisent les mêmes techniques que les pirates pour intégrer le système informatique des pharmacies : l’envoi d’un mail avec un lien à cliquer pour exécuter une mise à jour, qui crée une faille pour aspirer les données qui sont ensuite vendues aux laboratoires ; c’est du phishing ».
C’est la procédure suivie par exemple par Apodis Pharma, qui a été victime d’une fuite de données en octobre dernier. Repérée par le site de cybersécurité indépendant Cybernews, cette fuite de plus d'1,7 To a concerné des données sur les ventes de produits pharmaceutiques, les noms complets des partenaires et des employés d'Apodis Pharma, des statistiques sur les stocks des entrepôts des clients, les lieux et adresses d'expédition des produits pharmaceutiques, etc. Pour « Cybernews », même s’il est « difficile de déterminer qui a pu avoir accès à cette base de données exposée sur Internet », le fait qu’elle ait été indexée dans au moins un moteur de recherche « relativement populaire » conduit à penser qu’elle « a été visitée » et que des données ont été téléchargées. Selon Denis Supplisson, ce n’est pas la seule société à proposer une offre risquée pour l’officine. « J’invite les pharmaciens à relire leurs contrats et à vérifier qui porte la responsabilité en cas de problème. »
Dispensation
Renouvellement exceptionnel porté à 3 mois : oui, mais pour quelles spécialités ?
Lancée par l’Ordre des Pharmaciens
Dossier Pharma, une application pour consulter son Dossier pharmaceutique
DASRI
Délivrance d’autotest VIH : pensez-vous à remettre une boîte jaune ?
Exercice professionnel
Traitements chroniques : renouvellement à l'officine possible pour 3 mois