Les deux orthodontistes associées n’auraient jamais imaginé subir une telle attaque dans leur petit cabinet médical • © L.Cagnato
L’ensemble des propos des professionnels de santé ont été recueillis par France 3 Aquitaine.
Un jour tout bascule…
L’histoire n’est pas nouvelle ni unique d’ailleurs mais elle concerne cette fois-ci une dizaine de cabinets simultanément, tous localisés en Gironde. Attaqués via un ransomware, toutes leurs données ont été cryptées. Impuissants et dans l’impossibilité de continuer à travailler, ils ont payé les sommes réclamées par les cyberpirates.
« Quand on a ouvert, c’était un gruyère, il y avait des trous dans les plannings, on n’avait plus accès aux rendez-vous », témoigne Isabelle Calvi, secrétaire médicale de l’un des cabinets attaqués à Pessac, près de Bordeaux.
Ce jour-là, c’était un vendredi de novembre dernier. Les stigmates sont encore présents à la lecture de leur témoignage.
« On n’avait plus aucune trace non seulement des rendez-vous mais aussi des règlements, des remboursements, de l’historique des patients, leurs radios, etc. On avait tout perdu », relate Patricia Cabanie, orthodontiste.
« On ne savait pas à quelle heure on commençait, ni à quelle heure on allait finir alors que tout est normalement très cadré, très minuté. Il a fallu gérer l’impatience des patients qui étaient là en doublon, en triplon »
, explique Isabelle Calvi.
« C’était une grosse période de stress, des journées interminables, des nuits, on était tous sous le choc », poursuit Patricia Cabanie, l’une des deux orthodontistes du cabinet.
« On ne voyait pas de solution, ajoute son associée Quitterie Sanchez. Il nous était impossible de reconstituer l’historique des patients alors que nous en avons absolument besoin pour les soigner, on doit vérifier comment leur dentition a évolué. »
Après dix jours d’impasse, les deux orthodontistes se sont résolues à céder. « On était sûres qu’on ne pouvait pas continuer comme ça, c’était impossible. »
« Le hacker demandait une rançon. La question était, est-ce qu’on donne l’argent et on récupère tout ? Va-t-il bien nous rendre la totalité de nos données ? Et puis il fallait acheter de la cryptomonnaie… On avait la sensation de vivre un mauvais film. On se disait, c’est pas possible, c’est pas en train de nous arriver ! », raconte Patricia Cabanie.
La dizaine d’autres cabinets dentaires a subi la même mésaventure. Et la plupart ont payé, de quelques milliers à 15000 euros selon les cas.
« On a dû aller sur Binance acheter de la cryptomonnaie, on a transféré l’argent et, en une fraction de seconde, comme par magie, tout est revenu. On a tout récupéré, se souvient Patricia Cabanie. Ça a été un grand soulagement quand on a vu que tout rentrait dans l’ordre. »
Les hackers sont à la recherche de la moindre faille informatique
Si Isabelle, Quitterie et Patricia livrent leur témoignage, c’est pour sensibiliser leurs confrères et consœurs et éviter à d’autres de tomber dans le piège. Ces extorsions touchent de plus en plus les professions libérales et les petites sociétés. « Depuis deux, trois ans en effet, on constate une augmentation importante de ce type de faits qui touche nos moyennes et petites entreprises », confirme la Cheffe du groupe de lutte contre la cybercriminalité à la Police Judiciaire de Bordeaux.
« Tous les secteurs d’activité sont concernés, la question à l’heure actuelle n’est pas de savoir si on va être attaqué, mais quand. Les malfaiteurs repèrent les victimes qui ont des failles dans leur système informatique, souvent les petites structures moins préparées et donc plus vulnérables », poursuit-elle.
Sauvegardes et mises à jour : la parade contre les « rançongiciels »
« Il suffirait de peu de choses pour être protégé. Ou en tout cas reprendre rapidement son activité économique, car c’est là tout l’enjeu », explique la capitaine de police.
Elle préconise de sauvegarder ses données tous les jours, de mettre très régulièrement à jour logiciels et applications et de sensibiliser l’ensemble des salariés à un minimum « d’hygiène numérique ».
« On n’ouvre pas n’importe quelle pièce jointe d’un mail, on fait attention aux sites que l’on consulte. En règle générale, il ne faut pas avoir le clic trop rapide. Et puis, il faut prévoir un process en cas d’attaque, savoir qui prévenir et quoi faire », détaille-t-elle.
Ne pas payer
Pour cette enquêtrice forte d’une longue expérience dans le domaine, être préparé est la clef. « Les sociétés qui prennent la mesure du risque seront forcément moins attaquées. »
« Et dans tous les cas, nous déconseillons fortement de payer la rançon. Ça ne garantit pas la récupération de toutes les données et ça ne préserve pas d’attaques ultérieures. »
Evaluez le niveau de sécurité informatique de votre cabinet
En tant que professionnel de santé, vous êtes soumis à des réglementations précises concernant les données présentes dans votre cabinet.
Ce questionnaire a pour but de vous aider à évaluer votre niveau de sécurisation de ces données informatiques.
Vous obtiendrez ensuite un compte rendu détaillé selon vos réponses et des conseils pour améliorer votre niveau de sécurité.
Commentaires