Comment mieux proteger

vos donnees personnelles

et professionnelles

de la cybercriminalite ?

Comment mieux proteger

vos donnees personnelles

et professionnelles

de la cybercriminalite ?

Pratique igitale

La cybercriminalite :

Definition et quelques chiffres

Ces faits en constante progression ne concernent pas que les grandes entreprises. En 2012, 79% des entreprises ont connu une cyberattaque. 39% des violations de données relevaient de la responsabilité d’un tiers ou d’un prestataire. 35 % sont effectués grâce à un smartphone, une tablette, un ordinateur volé ou perdu.

En France, 11% des entreprises ont porté plainte pour une attaque logique ciblée (chiffre sous-estimé, car le paradoxe veut que porter plainte équivaut à reconnaître votre culpabilité si l’on prouve votre négligence informatique). Ces attaques sont minutieusement préparées, leur délai d’exécution est d’en moyenne 173,5 jours. D’où l’intérêt de sauvegardes régulières pour pouvoir remonter aux origines du délit.

C’est l’ensemble des infractions pénales commises via des réseaux informatiques. Les attaques sont le fait de hackers, experts en informatique, dotés de puissants moyens informatiques et également experts en communication, pouvant détruire votre réputation.Les hackers se distinguent en 2 groupes :

les white hackers qui« s’amusent » à vous montrer vos failles informatiques pour que vous en soyez conscients.

les black hackers qui ne s’intéressent qu’à en tirer un profit financier et travaillent pour le crime organisé.

La cybercriminalité menace aussi bien la sécurité informatique des institutions gouvernementales, des grandes ou petites entreprises que des particuliers. Elle convoite les données personnelles, bancaires, financières, médicales, pour la valeur qu’elles représentent. En effet, une fois piratées, les pirates vous demandent une rançon pour vous les rendre et/ou les mettent aux enchères sur l’équivalent d’un black E-bay.

€

2

Quels types de menace ?

Les crimes et délits informatiques sont très variés :l intrusion dans un ordinateur ou un réseau l contrefaçon de logiciels ou de bases de données l téléchargements illégaux l piratage de réseau téléphonique l défiguration de sites sensibles l modification ou suppression de données l défaut de sécurisation des données personnellesl collectes frauduleuses, illicites ou déloyales de données à caractère

personnel

En tant que médecin exerçant à titre libéral ou directeur de clinique, vous êtes responsable des fichiers informatiques de données personnelles recueillies auprès de vos patients. Vous devez donc en assurer la sécurité. Ainsi, les informations collectées ne doivent pas être déformées, endommagées ou accessibles à du personnel non autorisé, et les personnes concernées doivent pouvoir exercer leurs droits. Si les données de vos patients venaient à être piratées, vous pouvez être attaqué juridiquement, mais uniquement en cas de négligence ou d’absence de mesures. D’où l’intérêt de suivre quelques règles élémentaires d’hygiène informatique.S’il y a plainte et que votre négligence informatique est démontrée, le risque pénal et financier est lourd.

Article 34 de la loi Informatique et Libertés  : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Article 226-17 du Code Pénal : « La négligence ou l’absence de mesures de sécurité peuvent être sanctionnées de 300 000 euros d’amende et de 5 ans d’emprisonnement. »

Attention, ne soyez pas négligent avec votre sécurité informatique !UN MÉDECIN AVERTI EN VAUT DEUX.

Textes de loi

3

COMMENT COMPOSER UN MOT DE PASSE ?

Dans un système d’information, le mot de passe est souvent le seul élément dont l’efficacité dépend de l’utilisateur. Il est donc très important pour vous de savoir composer un ou plusieurs mots de passe dits forts, c’est-à-dire difficile à retrouver à l’aide d’outils automatisés ou à deviner par une tierce personne. Pour rappel, dans le cas de la pratique médicale, l’accès aux informations est également protégé par l’utilisation de votre Carte de Professionnel de Santé (CPS).

Le challenge est de choisir un mot correctement formé, difficile à craquer avec des outils automatisés, mais aussi facile à retenir pour vous.

Voici quelques règles à respecter :l Utiliser au moins 10 caractères (mais actuellement 12 ou 16 caractères sem-blent une meilleure longueur pour une profession où votre responsabilité pénale est engagée en cas de vol de données personnelles). Si vous devez créer plusieurs mots de passe, donnez-leur une longueur différente à chacun. Cela oblige les hackers à tester toutes les combinaisons de longueur.l Inclure au moins 3 types de caractères différents parmi les 4 possibles (majus-cules, minuscules, chiffres et caractères spéciaux) ;l Eviter absolument les mots de passe relatifs à des informations personnelles (date de naissance, numéro d’ordre, nom des enfants etc.) qui pourraient se deviner trop facilementl Eviter les mots de passe composés à partir de noms existants dans les dictionnaires

v Utiliser des moyens mnémotechniques pour créer votre mot de passe. v Reprendre les premières lettres de chaque mot d’une phrase « J’habite au 8 bis rue Victor Hugo à Saint Brieuc » devient J’ha8brVHaSB.«un Chef d’Entreprise averti en vaut deux» devient 1Cd’Eaev2.v Ou écrire en phonétique“J’ai acheté 3 CD pour cent euros cet après-midi” devient ght3CD%E7am 

4

Les attaques peuvent aussi utiliser des techniques très simples, récupérer un mot de passe sur un post It, par un coup d’œil par-dessus votre épaule ou une demande directe.

L’attaque par ingénierie sociale permet de trouver le mot de passe en récupérant les informations person-nelles de l’utilisateur (nom, prénom, date de naissance de lui-même ou de ses proches, nom d’un animal etc.) sur les réseaux sociaux. Ils peuvent être rentrés manuelle-ment ou synchronisés dans un dictionnaire qui sera ensuite implémenté dans un programme utilisant les techniques « dictionnaire » ou « force brute ».

L’attaque par dictionnaire consiste à utiliser des mots issus d’une liste, pour retrouver des mots de passe utilisant des noms communs (de différentes langues). Plusieurs techniques sont utilisées pour augmenter le nombre de combinaisons testées, notamment  : ajout d’un ou plusieurs chiffres (“password01”);  changement des minuscules ou majuscules (“pAssword”);  remplacement des caractères par des chiffres (“pa55w0rd”).D’où l’intérêt de choisir un mot de passe ne faisant au-cune référence à un mot connu du dictionnaire pour ren-dre ce type d’attaque inutile. Attention ces dictionnaires sophistiqués contiennent des mots légèrement mal or-thographiés, des noms utilisés dans les séries TV et les films, la politique, la religion, les argots etc.

L’attaque dite par force brute essaye d’utiliser toutes les combinaisons possibles. Il est donc évident que plus votre mot est long et complexe, plus il faut de temps pour le trouver. Dans ce cas, un attaquant avec des moyens con-ventionnels ne disposera pas du temps raisonnable pour le trouver. A l’inverse, si vous composez un mot de passe uniquement avec des chiffres (de 0 à 9, il n’y a que 10 signes), il sera enfantin à craquer.

POURQUOI CREER UN MOT DE PASSE

COMPLEXE ?

Si un hacker décide de s’attaquer à votre mot de passe, il dispose de plusieurs méthodes dont certaines disponibles gratuitement sur internet via de simples utilitaires …ou des programmes de craquage de mots de passe très efficaces.

5

Testez vos connaissances

D’après vous, parmi les mots de passe suivants, quels sont les mots de passe « forts » ?

Saurez-vous deviner quelle est la phrase mnémotechnique qui permet de se souvenir des mots de passe suivants ?

Les mots 1,4, 5 sont à éviter, car même s’ils respectent la longueur et le nombre de caractères différents, ils sont reliés à des éléments personnels trop faciles à trouver. Pour le 1, les initiales, pour le 4, le mail, pour le 6 le téléphone (les o à la place des zéros sont reconnus sans peine par les robots).Le mot 2 est séduisant, mais il est trop court. Il sera craqué par un néophyte sur un PC en moins d’1 heure. N’ajouter qu’1 caractère à ce mot et il faut 64 fois plus de temps pour le trouver.Le mot 3 ne convient pas car c’est un mot du dictionnaire (symptomatique) avec quelques caractères transformés que le robot reconstituera aisément. Le mot 5 appartient également au dictionnaire allemand cette fois (Versichert) et les robots sont multilingues.Le mot 7 est parfait, une longueur de 12 caractères, mélangeant 3 caractères (4 majuscules, 4 minuscules, 2 caractères spéciaux) et correspond à la phrase du serment d’Hippocrate « Au moment d’être admis à exercer la médecine, je »

1TVmQ2tl’@ vient de la maxime « Un tiens vaut mieux que deux tu l’auras »H?cU@f1bv%ccl vient du célèbre poème « Heureux qui comme Ulysse a fait un beau voyage ou comme celui-là »A vous maintenant de choisir un ou des mots de passe complexe(s) mais facile à retenir pour vous.

1. DrJ-M.D78

2. rA8(&)1

3. s1ptoMaTik&

4. TranDuc@clin.gen.fr

5. FerSich&rT

6. Jm :o681828oo3

7. Amd’eAaElM,j

8. μEsoTheraπ

1. 1TVmQ2tl’@ 2. H?cU@f1bv%ccl

6

Comment proteger votre securite

par mots de passe ?

Il est important de :l Ne pas réutiliser des mots de passe identiques pour votre messagerie profes-sionnelle et personnelle. l Réserver impérativement des mots de passe différents pour chacun de vos systèmes.l Changer systématiquement les mots de passe par défaut suite à l’installation d’un réseau wifi ou d’appareils connectés à votre ordinateur. Ceci est également vrai pour votre identifant. S’il est par défaut, vous devez également le personnaliser.l Ne jamais mémoriser vos mots de passe dans vos ordinateurs ou téléphones, ni sur internet.l Donc ne jamais cocher la case retenir mon mot de passe.l Ne pas les inscrire sur un aide-mémoire ou post it à côté de votre ordinateur ou sous son clavier.l Ne pas choisir de questions secrètes dont on puisse trouver facilement la réponse sur les réseaux sociaux.l Limiter le nombre de tentatives d’accès à un compte, par exemple à 3.l Protéger votre écran de veille.l Renouveler vos mots de passe si possible de manière périodique (tous les ans au minimum) et au moindre doute de compromission. N’oubliez pas qu’en principe, aucun compte ne devrait être partagé par plusieurs utilisateurs. Si malgré tout, c’est le cas, vous devez changer de mots de passe plus régulièrement et notamment à chaque départ de personnel.l Le conserver de manière à préserver sa confidentialité.

A savoir :Si votre mot de passe a été renouvelé suite à un oubli, une fois que votre mot de passe a été réinitialisé, changez-le dès la première connexion pour le personnaliser.

7

10 conseils pour vous proteger

contre les intrusions

Mettez régulièrement à jour votre système d’exploitation, vos logiciels (y compris votre navigateur internet), votre anti-virus et votre pare-feu.

Si vous utilisez un ordinateur portable, un smartphone ou une tablette pour vos visites à domicile, n’oubliez pas de les sécuriser aussi avec un mot de passe et un anti-virus. Prévoir un verrouillage au bout de quelques minutes de non utilisation.

Sécurisez votre réseau WIFI si vous en avez un, par une clé WPA2 plutôt que par clé WEP

Faites attention aux pièces jointes aux mails et aux modules de téléchargement sur internet. Ne répondez pas aux mails d’inconnus et ne cliquez pas sur un lien proposé dans ce type de mail. En cas de doute sur un mail envoyé par un de vos proches, contactez le autrement pour vous assurer que le mail provient bien de lui.

N’exécutez jamais de programmes dont vous ne connaissez ni l’expédi-teur ni la finalité.

Sauvegardez régulièrement vos fichiers, dossiers et logiciels importants sur un disque externe. Ne conservez pas cette sauvegarde à proximité de votre ordinateur, mais plutôt dans un tiroir fermé à clé.

Supprimez les logiciels et les comptes utilisateurs superflus

Nettoyez complètement les ordinateurs qui doivent être remplacés.

Pensez à protéger physiquement vos ordinateurs, bureaux fermés à clé après votre départ par exemple. Soyez également vigilant avec votre matériel nomade, quand vous êtes en déplacement.

Et bien sûr, n’hésitez pas à faire appel à un spécialiste informatique pour vous aider.

8

Conseils spEcifiques A

la pratique mEdicale

L’utilisation de la CPS (carte de professionnels de santé) assure la sécurité de vos échanges de données à la fois par une signature électronique qui vous est propre et par le cryptage automatique des données que vous transmettez. Mais n’oubliez pas de l’ôter de votre lecteur en fin d’activité, sinon la sécurité des données peut être compromise.Pensez à sensibiliser votre personnel et vos confrères aux enjeux de sécurité informatique. Rappelez-leur les éléments essentiels : l Choisir des mots de passe forts renouvelés tous les ans, l Effectuer des sauvegardes régulières,l Bien cloisonner les données de la vie professionnelle et celles de la vie privée, l Faire attention à la sécurité des moyens informatiques nomades,l Ne rien faire dans la vie virtuelle qu’on ne ferait dans la vie réelle,l Penser à une bonne fermeture de vos locaux.

Ne jamais donner vos identifiants et mots de passe pour des raisons de sécurité par mail. Ne jamais cliquer sur un lien dans un mail douteux. Lors d’un téléchargement, les risques sont multiples, variés et importants. Un cheval de Troie peut installer à votre insu plusieurs types de logiciels :

Attention aux mails frauduleux et téléchargements douteux

des espiogiciels, qui espionnent toutes les actions faites sur votre ordinateur (sites visités, applications utilisées, frappes tapées au clavier, documents ouverts, etc.)

des publiciels qui envahissent votre écran de publicité, au niveau des barres du navigateur internet, par des pop-ups, ou par des messages système

des outils qui transforment votre ordinateur en machine zombie : elle obéit à distance à d’autres personnes, qui l’utilisent ensuite pour lancer des attaques ou dérober des informations confidentielles, etc.

9

Que faire en cas d incident ?

Quels réflexes avoir ?Dès constatation de l’infraction : 1. Cessez l’utilisation du poste pour éviter d’effacer des preuves qui ont une durée de vie limitée et sont nécessaires à l’enquête. 2. Maintenez votre ordinateur sous tension 3. Ne le redémarrez pas, car il serait alors impossible de connaître les processus actifs lors de l’intrusion. Vous risqueriez de provoquer une modification sur le système de fichiers et perdre ainsi de l’information utile pour l’analyse de l’attaque.4. Si votre poste est en réseau, déconnectez le du réseau pour stopper la propa-gation de l’attaque, si elle est toujours en cours. Si l’intrus est toujours connecté au poste compromis, il n’aura ainsi plus de contrôle sur celle-ci et ne pourra donc pas surveiller ce que vous faites et/ou modifier des fichiers.

Comment repérer une menace ? Si votre ordinateur semble avoir un comportement inhabituel, certains symptômes ponctuels peuvent vous alerter comme :l L’impossibilité de se connecter à votre ordinateurl Un (des) fichier(s) disparu(s) l Système de fichiers endommagé l Connexions ou activités inhabituelles l Activité importante l Services ouverts non autorisés l Présence d’un renifleur de mots de passe (généralement appelé « sniffer ») l Modification intempestive du fichier de mots de passe, date de modification suspectel Création ou destruction de nouveaux comptes l Création de fichiers, y compris de fichiers cachés.

Ces éléments peuvent également être diagnostiqués par des outils de détection d’intrusion.

10

Qui contacter ?

Vous pouvez demander assistance et prendre conseil sans être obligé de porter plainte auprès de la BEFTI, qui dispose d’une hotline dédiée ouverte de 9 à 19 h. Par ailleurs, en cas de piratage de vos ordinateurs, il est évident qu’il vaut mieux prendre contact par téléphone que par mail.

BEFTIBrigade d’Enquêtes sur les Fraudes aux Technologies de l’InformationDépend de la Direction Régionale de la Police Judiciaire de la Préfecture de Police de ParisCompétence sur Paris et la petite couronne, mais apporte également son assistance au plan nationalTel : 01 55 75 26 19Mail : pppj-befti-information@interieur.gouv.frSite : http://www.prefecture-police-paris.interieur.gouv.fr/

OCLCTICOffice Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication,Dépend de la Direction Centrale de la Police Judiciaire.Compétence nationale, point de contact internationalTel : 01 47 44 97 55Site : http://www.interieur.gouv.fr/

Gendarmerie Nationale/DLCCPôle judiciaire de la gendarmerie nationaleService Technique de Recherches Judiciaires et de DocumentationDivision de lutte contre la cybercriminalitéCompétence nationaleTel : 01 58 66 59 99 (standard, demander le STRJD, division de lutte contre la cybercriminalité)Site : http://www.gendarmerie.interieur.gouv.fr/fre/Sites/Gendarmerie/Contacts/Trouver-ma-gendarmerie

11

Pour aller plus loin 

Vous pouvez compléter vos informations sur le portail de la sécurité informatique mis en place par le gouvernement. Régulièrement actualisé, il comprend des fiches pratiques et d’autoformation ainsi que les accès aux principaux intervenants publics sur le sujet. http://www.securite-informatique.gouv.fr/

La CNIL (Commission Nationale Informatique et Libertés) a édité en 2011 un guide très complet concernant toutes les problématiques de fichier que peuvent rencontrer les professionnels de santé. Vous pouvez le télécharger ici : http://www.cnil.fr/file-admin/documents/Guides_pratiques/CNIL-Guide_professionnels_de_sante.pdf

Elle a également édité un guide assez exhaustif sur la sécurité des données personnelles. Vous pouvez le télécharger ici : http://www.cnil.fr/fileadmin/docu-ments/Guides_pratiques/Guide_securite-VD.pdf.

Si vous partez en voyage avec des données confidentielles de recherche par exemple, il peut vous être utile de consulter le guide passeport pour les missions à l’étranger de l’ANSSI et de sélectionner les conseils que vous pouvez mettre en pratiquehttp://www.securite-informatique.gouv.fr/IMG/pdf/Passeport-de-conseils-aux-voyageurs_janvier-2010.pdf

Les informations de ce document sont principalement référencées par des données CNIL, ANSSI (Agence Nationale de la sécurité des Systèmes d’information), BEFTI (Brigade d’enquête sur les Fraudes aux Technologies de l’Information), ASIP et mission sécurité informatique.gouv.fr.

DM-14.03 (10/14) © Santor 2014 : tous droits réservés