Les professions libérales face aux cyber-risques

Pendant un temps, les titulaires de profession libérale se sont crus relativement à l'abri du piratage informatique, vu leur petite taille. Aujourd'hui internet est partout, la digitalisation se généralise, et la 5G amène la révolution des objets connectés. La cybersécurité devient incontournable.

Jean-Christophe de Wasseige

Il s'éloigne le temps où les comptables, les courtiers d'assurances, les agents immobiliers ou les médecins se contentaient de ranger les dossiers de leurs clients dans des armoires fermées. Aujourd'hui, beaucoup de ces données sont devenues digitales. Elles se traitent avec des logiciels spécialisés, se gardent sur des disques durs ou sur des serveurs externes, s'emportent parfois chez soi, s'échangent via e-mail... Tout cela rend le travail plus facile mais aussi plus risqué sur le plan informatique.

À ce propos, les professions libérales sont-elles davantage touchées par les piratages que les particuliers ou les grandes entreprises ? Difficile à dire en l'absence de statistiques à leur endroit. Sur le terrain, peu d'acteurs se disent victimes. L'avouer n'est pas simple, il est vrai. En fait, leur exposition dépend beaucoup du niveau de protection mis en place. Certains indépendants travaillent seuls avec leur propre informatique. D'autres sont installés en cabinet avec des logiciels et/ou des serveurs fournis par des sous-traitants. D'autres encore bénéficient de connexions sécurisées. À l'instar du réseau Portima qui assure toutes les transmissions de données entre les courtiers et les compagnies d'assurances. Les situations varient donc.

"La première mesure pour bien se protéger : mener un audit de son environnement informatique", conseille Olivier Bogaert (Computer Crime Unit).
© europa.eu

"Des cibles évidentes"

Seule certitude : les professions libérales dans leur ensemble sont sous la menace. "Elles constituent des cibles évidentes, affirme Olivier Bogaert, commissaire à la Federal Computer Crime Unit (FCCU). En effet, elles manipulent de nombreuses données, dont certaines sensibles. Ces professions se digitalisent aussi de plus en plus. Enfin, elles font du webmarketing ou utilisent internet pour présenter leurs activités, tenir des actualités, échanger avec leurs clients... Tout cela les rend forcément visibles et attirantes pour les hackers."

Et cela ne devrait faire qu'augmenter à l'avenir. Notamment avec l'arrivée de la 5G qui va généraliser les objets connectés (dont le niveau de protection est actuellement indigent). "Les cybermenaces font partie de ces risques nouveaux que les entreprises vont devoir prendre en compte plus sérieusement, insiste Patrick Cauwert, le CEO de Feprabel, la Fédération des courtiers en assurances et intermédiaires financiers. À la limite, ils sont même plus graves que les risques d'incendie. Car, dans le cas d'une cyberattaque, vous pouvez perdre vos données, retrouver votre PC bloqué, subir une extorsion de fonds, voir votre réputation entachée."

Le phishing, un sacré danger

Au fait, ces risques, quels sont-ils ? Traditionnellement, les principales menaces envers les PME étaient l'intrusion sur le serveur, l'extorsion de données (phishing) ou encore la propagation de virus par e-mail. L'éventail s'est étendu ces dernières années (lire en pages suivantes). Olivier Bogaert (FCCU) pointe une arnaque parmi d'autres. On l'appelle la "fraude au président". "Elle consiste à rassembler une série d'informations sur le dirigeant de l'entreprise. Les hackers utilisent les profils LinkedIn, l'organigramme de la société, les rapports annuels, les adresses e-mail, etc. Ensuite, ils ciblent un employé du service comptable, se font passer pour ledit CEO, et lui demande d'effectuer un virement sur un compte leur appartenant. Une variante existe sous la forme de fausses factures envoyées aux fournisseurs."

Pour Phédra Clouner, directrice adjointe du Centre pour la cybersécurité Belgique (CCB), il faut se méfier tout particulièrement du phishing. "Entre 80 et 90 % des différentes fraudes commencent par là. L'hameçonnage peut déboucher sur l'injection d'un logiciel malveillant, sur le blocage de l'ordinateur avec demande de rançon, sur l'espionnage des données... Le nombre d'incidents le concernant ne diminue pas, malgré toutes les campagnes de sensibilisation. Même les grandes entreprises se font encore berner." Si ce phishing est un vecteur de propagation si efficace, c'est parce qu'il joue sur la curiosité ou l'inquiétude. "En définitive, beaucoup de fraudes réussissent à la suite d'une... erreur de la victime !, poursuit Phédra Clouner. Ainsi, l'utilisateur n'est pas assez attentif aux courriers qu'il reçoit. Voire adopte carrément des comportements à risques, comme utiliser son PC personnel pour s'échanger des documents de travail."

Les sites "ressources"

"Le RGPD a servi de déclic"

La prise de conscience en matière de cybersécurité a progressé grâce à l'entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018. Les professions libérales ont en effet dû s'y plier.

Un guide UCM (50 euros) aide les indépendants et chefs de PME en matière de RGPD.
[ ucmacademy.be/boostez }

Pendant longtemps, un flou a plané sur l'application du RGPD par les professions libérales. Devaient-elles vraiment s'y soumettre ? Certains l'avouent : "On ne se sentait pas vraiment concernés." ; "On n'y comprenait pas grand-chose." ; "On pensait que notre petite taille nous en dispensait." Après consultation de juristes et d'informaticiens, le verdict est vite tombé : il faut y passer. En fait, tout qui collecte des données sur des personnes se doit de les sécuriser.

Concrètement, cela signifie, entre autres choses : ne conserver que les données strictement nécessaires à l'exercice de la profession, s'assurer de leur exactitude, définir une limite de temps à la conservation (exemple : dix ans), rendre ces informations inviolables, rédiger une politique de confidentialité, utiliser des e-mails cryptés en cas de transmission...

D'autres mesures peuvent toutefois être facultatives. Par exemple, lorsque le traitement des données se fait à petite échelle, qu'il est éloigné de l'activité de base ou qu'il se fait de manière occasionnelle. Les petites structures peuvent alors s'exonérer de désigner un Data Protection Officer ou DPO, de consigner les opérations dans un registre. Idem en ce qui concerne l'obligation de prévenir l'organisme fédéral APD (Autorité de protection des données), en cas de fuite ou de vol de données. Une marge d'appréciation existe ici aussi.

Contrainte ou opportunité ?

Le problème, c'est qu'il faut interpréter correctement les textes. Et là commencent les difficultés. À la fédération européenne des PME, SMEunited, on a dressé en avril dernier un inventaire de tous les problèmes rencontrés par les petites entreprises dans cet exercice. Au passage, la fédération n'a pas mâché ses mots. "Cette législation est extrêmement complexe, même pour les experts. Beaucoup de PME ont été obligées de se payer des consultants externes pour la comprendre et instaurer des systèmes de protection qui soient conformes. (...) En fait, ce RGPD a été conçu pour s'attaquer aux comportements des grands acteurs, pas des PME."

D'autres sont moins critiques. "Le RGPD est une évolution, pas une révolution, estime Florence de Villenfagne, spécialiste de la protection des données et consultante. Nombre de ses dispositions existaient déjà mais étaient appliquées avec conciliation en Belgique. Pour ceux qui les ont découvertes en mai 2018, le réveil a effectivement été pénible."

Pas mal d'entrepreneurs ont d'ailleurs perçu ce RGPD comme une contrainte légale supplémentaire. "Or, il peut être une vraie opportunité, poursuit-elle. Il réclame un travail de réflexion et il est l'occasion de mettre à plat la manière dont l'entreprise gère ses données et, par extension, la manière dont elle fonctionne. Tout cela peut déboucher sur de réelles améliorations."

Alors, les professions libérales sont-elles en ordre ? Plusieurs métiers répondent par l'affirmative. Du côté des consultants en cybersécurité, on tempère : "Certains sont effectivement dans le bon ; d'autres ont posé les bases ; mais d'autres n'ont rien fait. Beaucoup de sensibilisation reste nécessaire..."

À l'APD, l'Autorité de protection des données, on avoue ne pas disposer de chiffres. "Pour avoir une vue plus claire, nous venons de lancer une campagne envers les PME et TPE, précise sa porte-parole Aurélie Waeterinckx. Un questionnaire va leur être envoyé via les organisations professionnelles. De cette manière, nous disposerons d'un retour plus précis. Et, à terme, nous pourrons proposer à ces acteurs des outils adaptés pour les aider."

Les fédérations à la rescousse

Une boîte à outils UCM (95 euros) livre, au travers d'une vingtaine de fiches, des exemples et conseils simples pour une sécurité des données optimale.
[ infoucm.be/boiteaoutils }

Certaines fédérations n'ont pas attendu pour prendre des initiatives. Exemples ? Chez les agents immobiliers francophones (Federia), on a fait plancher des juristes pour déterminer précisément les obligations applicables à la profession. "Sur cette base, nous avons rédigé les clauses RGPD à rajouter sur tous les contrats et documents, précise la présidente Deborah Vanesse. Ceux-ci sont téléchargeables par nos membres. Une assurance cybersécurité leur a également été proposée."

Chez les comptables et fiscalistes agrées (IPCF, qui a fusionné avec l'IEC), ce sont des visites préventives chez les affiliés qui ont été réalisées. "Elles les aident concrètement à appliquer le RGPD, détaille le vice-président du nouvel ensemble, Frédéric Delrue. Nous avons choisi cette voie, car nous menions déjà de telles visites depuis deux ou trois ans pour les conseiller sur une autre législation, celle concernant le blanchiment."

Chez les courtiers en assurances (Feprabel), un DPO a été engagé pour servir de support à toute la profession. Un questionnaire a été développé sur le site internet qui, en deux heures, permet aux membres de s'assurer du respect du RGPD. "Enfin, une assurance cybersécurité a été conclue de manière collective", détaille le CEO adjoint, Eric Vanhalle. Pour lui, au final, le RGPD a eu un effet bénéfique : "celui de rappeler à toutes les professions libérales l'importance d'une protection. Il a servi de déclic."

Dix menaces fréquentes

Ce classement a été dressé par l'Agence européenne de la cybersécurité, Enisa.

  1. Les logiciels malveillants. Ces programmes se fichent dans le système et en perturbent le fonctionnement. Certains sont invisibles, tels les chevaux de Troie.
  2. Les attaques internet. Elles profitent des failles existant dans les systèmes d'exploitation, logiciels de navigation, sites... Idem pour les applications téléchargeables.
  3. L'hameçonnage (phishing). Dans un e-mail, un pirate se fait passer pour une institution de confiance, afin de soutirer données personnelles et identifiants.
  4. Les dénis de service. Il s'agit d'envois massifs de requêtes à un serveur dans le but de le saturer totalement et de pénaliser ses utilisateurs.
  5. Les attaques en réseau (botnets). Les pirates infectent des milliers de PC et les utilisent pour lancer des attaques d'ampleur contre des sites ou des serveurs.
  6. Les violations de données. Les hackers réussissent à voler les fichiers de firmes, ce qui met leurs clients en danger. Des multinationales se sont déjà fait prendre.
  7. Les menaces internes. Un employé ne se conforme pas à la politique de sécurité de l'entreprise ou la quitte en emportant des informations sensibles.
  8. L'usurpation d'identité. Les pirates reconstituent le profil d'une personne puis agissent à sa place pour établir de fausses factures, emprunter de l'argent, etc.
  9. Le cryptojacking. Un programme malveillant utilise les ressources de plusieurs PC pour créer des monnaies virtuelles à l'insu de leurs propriétaires.
  10. Les rançons. Un e-mail contient une pièce jointe ou un lien qui, une fois ouvert, charge un programme qui bloque tout PC. Une rançon est alors réclamée.

Autres dossiers se rapportant au même sujet