Avec l’expansion de ses services numériques, les besoins de transparence de Physiotopia Basel GmbH en matière de sécurité informatique ont augmenté. Grâce à Cyber-Risk Discovery de Sunrise Business, la PME a pu détecter et corriger ses vulnérabilités informatiques en quelques jours. 

Le client 

Physiotopia Basel GmbH* est un centre de physiothérapie qui emploie environ 20 collaborateurs et collaboratrices. Le cabinet propose des traitements de physiothérapie classiques, tout en développant progressivement son offre de services numériques. Les patient-e-s peuvent prendre rendez-vous en ligne, acheter des produits liés à la santé dans la boutique en ligne ou s’informer sur les réseaux sociaux. Le paysage informatique est simple: un site web, un système CRM et de facturation, ainsi que des comptes de messagerie professionnelle. Une administratrice à temps partiel est responsable du service informatique, en plus de ses fonctions administratives. Il n’y a pas de département informatique et aucune expertise spécifique en cybersécurité.

Le contexte

Avec la croissance du cabinet, le nombre de points de contact numériques n’a cessé d’augmenter. De plus en plus de patient-e-s réservaient leurs rendez-vous en ligne, cherchaient des informations sur le site web ou commandaient des produits liés à la santé sur la boutique en ligne. Les médias sociaux sont également devenus un canal important pour les demandes de la clientèle. Cette évolution était positive sur le plan commercial, mais elle augmentait la surface d’attaque du réseau. En conséquence, le cabinet était de plus en plus confronté aux e-mails de phishing: certains membres du personnel ont reçu des messages frauduleux, parfois contenant des liens vers de faux sites de connexion. Dans le même temps, des domaines imitant le nom du cabinet sont apparus, visant apparemment à tromper les patient-e-s. Il était évident pour la direction que, même avec une petite structure et une infrastructure informatique restreinte, le cabinet était désormais visé par des cybercriminels. 

Cette situation générait une grande incertitude. Il manquait une vue d’ensemble permettant de localiser précisément les cyberrisques, d’évaluer leur ampleur et de déterminer les mesures les plus urgentes à prendre. Jusqu’à présent, les questions informatiques étaient traitées de manière réactive, p. ex. lorsqu’un certificat expirait ou qu’il fallait faire une mise à jour système. Il n’y avait pas d’approche structurée pour identifier et évaluer systématiquement les vulnérabilités. La direction savait que la cybersécurité était un sujet central, mais ne disposait ni des ressources humaines ni de l’expertise nécessaires pour y faire face de manière approfondie. Le risque de compromission des données des patient-e-s ou d’atteinte à la réputation du cabinet en cas de fraude devenait de plus en plus tangible. 

Pourquoi choisir Cyber-Risk Discovery de Sunrise Business?

C’est pourquoi Physiotopia Basel recherchait une solution capable d’apporter de la transparence, sans surcharger l’entreprise ni générer des coûts d’investissement élevés. Il était crucial qu’une analyse puisse être effectuée rapidement, facilement et d’une manière compréhensible pour une petite entreprise. Cyber-Risk Discovery répondait à ces exigences. La solution basée sur l’IA fonctionne entièrement depuis l’extérieur, adoptant ainsi le même point de vue que celui des attaquants. Elle identifie les domaines, sous-domaines, services cloud, adresses e-mail, pages de connexion, certificats, profils de réseaux sociaux et même les données circulant sur le darknet. Autrement dit, il n’y a pas de mise en œuvre compliquée, pas d’accès interne au système et pas d’examen fastidieux pour le cabinet. Seuls l’adresse du site web, une adresse e-mail professionnelle et un raccordement à Internet sont nécessaires pour lancer le processus avec la plateforme d’analyse basée sur l’IA. 

La solution et la collaboration 

Sunrise Business, en coopération avec ImmuniWeb, a créé le profil client pour la plateforme avec laquelle Physiotopia Basel GmbH a pu effectuer l’analyse. Après seulement quelques jours, les résultats de l’analyse étaient disponibles, révélant plusieurs points critiques. Deux sous-domaines, inutilisés depuis longtemps, étaient encore actifs et fonctionnaient avec un logiciel obsolète présentant des failles de sécurité connues. Un certificat SSL avait expiré, ce qui empêchait de garantir la transmission sécurisée des données. En outre, des identifiants volés de comptes e-mail professionnels ont été retrouvés sur le darknet, représentant un potentiel point d’entrée pour des attaques. Enfin, des configurations défectueuses du DNS ont été découvertes, pouvant permettre aux attaquants de créer plus facilement des copies très similaires du domaine. 

Les responsables ont été impressionnés par le rapport, tant par ses résultats que par sa clarté. Au lieu de listes techniques interminables, le rapport offrait une hiérarchisation claire des risques: ceux à corriger immédiatement, d’autres à traiter à moyen terme et ceux à simplement surveiller. L’administratrice à temps partiel a ainsi pu mettre en œuvre des mesures concrètes, sans avoir à déchiffrer de jargon technique. Elle a particulièrement apprécié l’assistance 24 heures sur 24 et 7 jours sur 7, à laquelle elle a pu poser ses questions. L’assistance lui a donné des conseils pratiques, notamment sur le renouvellement d’un certificat SSL ou sur les politiques de mot de passe adaptées aux petites entreprises sans expertise interne en cybersécurité.

Le résultat

Sur la base de la première analyse, Physiotopia Basel a corrigé avec succès environ 70% des vulnérabilités critiques initialement identifiées, preuve d’une amélioration immédiate de la sécurité. Les sous-domaines inutilisés ont été désactivés, le certificat SSL renouvelé et de nouvelles politiques de mot de passe plus strictes introduites pour l’ensemble du personnel. De plus, la direction a décidé de mettre en place une authentification multifacteur pour les comptes e-mail, conformément aux recommandations de Cyber-Risk Discovery. 

Après environ quatre mois, la réévaluation a été effectuée via la plateforme. Cette réévaluation a confirmé que les lacunes critiques avaient été comblées avec succès. La deuxième analyse a également identifié de nouveaux aspects, comme des profils de réseaux sociaux créés au nom du cabinet.  

Physiotopia Basel a bénéficié d’une grande valeur ajoutée: En très peu de temps, le cabinet a obtenu une vue d’ensemble complète de sa surface d’attaque numérique et des cyberrisques existants. Il a pu mettre en place des mesures concrètes pour prévenir une cyberattaque et mieux protéger les données des patient-e-s ainsi que les informations commerciales. La direction du cabinet a gagné en confiance dans la stabilité de ses systèmes et dispose désormais d’une base solide pour prendre ses futures décisions informatiques de manière ciblée.

Les avantages

• Analyse de toutes les surfaces d’attaque numériques pertinentes dans les plus brefs délais 

• Recommandations claires et hiérarchisées, faciles à mettre en œuvre sans expertise spécialisée 

• Détection de vulnérabilités critiques, comme des logiciels obsolètes, des certificats expirés ou des données d’accès volées 

• Mise en œuvre immédiate de mesures avec un minimum d’efforts internes 

• Assistance 24 heures sur 24 et 7 jours sur 7 assurées par des expert-e-s en cas de questions, et assistance en temps réel 

• Réévaluation grâce à une seconde analyse, confirmant que les failles de sécurité ont été comblées de manière durable 

• Protection améliorée des données des patient-e-s et de la réputation de la marque

* Cet exemple de Physiotopia Basel GmbH est fictif. Cependant, les expériences décrites sont très pertinentes pour de nombreuses PME.