Cybersécurité: «Un coût nouveau sans moyen supplémentaire»

Chaque année, combien peut-il y avoir en Belgique de tentatives de hacking, de demandes de rançons, de vols de données dans les hôpitaux? «On remarque globalement en Belgique une augmentation des tentatives d’intrusion, mais les secteurs tiennent à rester très discrets en ce qui concerne les données chiffrées précises.»

Dès le début de la crise du Covid-19, en Belgique, le Centre pour la cybersécurité avait mis en garde les hôpitaux contre les logiciels de rançon. Aux États Unis, plus de 500.000 enregistrements de données patients ont été dérobés. En Allemagne, une patiente en situation critique n’a pas pu être opérée à temps en raison d’un blocage du service informatique, victime d’une cyber-attaque à partir de certificats numériques trafiqués

Pour rappel, déjà en mars 2019, en Belgique, la clinique André Renard, en province de Liège, avait été victime d’une cyber-attaque.

Chaque année, combien peut-il y avoir en Belgique de tentatives de hacking, de demandes de rançons, de vols de données dans les hôpitaux? «Nous n’avons pas de chiffres spécifiques pour le secteur», précise-t-on du côté de la Computer Emergency Response Team fédérale (CERT.be), le service opérationnel du Centre pour la Cybersécurité Belgique. Même son de cloche chez le commissaire Olivier Bogaert, de la Computer Crime Unit de la Police Judiciaire Fédérale de Bruxelles: «On remarque globalement en Belgique une augmentation des tentatives d’intrusion, mais les secteurs tiennent à rester très discrets en ce qui concerne les données chiffrées précises.»

L’email, le principal danger

«Aujourd’hui, on distingue deux grands types d’attaques lucratives contre les hôpitaux: l’extraction de données de santé qui ont une grande valeur et les ransomwares», explique le Dr Benoît Debande, Directeur Général Administratif et Financier du CHIREC (Centre Hospitalier Interrégional Edith Cavell), conscient des enjeux: «Il faut bien se rendre compte qu’aujourd’hui, c’est un business: rançon, cryptage des données, vente des données sur le dark web, individualisation des rançons auprès des patients…»

Le danger des applis et des accès à distance

Au quotidien, pour les hôpitaux, le défi est multiple selon lui: «On doit parfois faire face à des problèmes de mise à jour de logiciels parce que nos fournisseurs nous l’interdisent. Sans oublier que Microsoft publie presque tous les jours des patchs de sécurité qui nécessitent une mise à jour… Et nous ne pourrons pas nous permettre de redémarrer nos systèmes quotidiennement, étant donné que l’hôpital travaille 24h/24! On met donc des systèmes de protection de plus en plus évolués.»

Le développement des technologies de santé n’arrange rien selon lui: «Les enjeux de tous les accès à distance (Télé… monitoring, médecine, travail…) amènent une extension du réseau interne vers l’extérieur. Cela devient une voie d’entrée pour du piratage. Il est important qu’elle soit donc bien sécurisée.»

Le coût augmente

Évidemment, face à une telle menace, la question du coût se pose: «La cybersécurité coûte cher tant en ressources humaines qu’en technologie. Aujourd’hui, le financement hospitalier ne paie rien: il s’agit d’une charge nouvelle importante en termes de sécurité des données de patients et du système de santé. Pour lui, aujourd’hui, investir dans la cybersécurité est tout aussi important qu’investir dans un nouveau scanner. C’est là que le débat va avoir lieu demain si l’on ne nous donne pas plus de moyens.»

Contrer les attaques

Yves Henri Serckx, Directeur en charge de l’IT chez Vivalia, est aussi prêt à déjouer les attaques: «On a eu une attaque téléphonique dans le secteur de la pharmacie… de la part de personnes qui se faisaient passer pour Microsoft.» Il apporte aussi des solutions: «Chez nous, nous avons bloqué le privilège administrateur sur les ordinateurs; toute installation de logiciel se fait dans nos services. Cela réduit les risques. En plus, la surveillance des flux Internet de notre réseau intersites est sous-traitée à un professionnel hautement spécialisé dans ce secteur.»

Test en interne

Pour Jean-Michel Bertho, Directeur du pôle «Système d’Information» du CHR (Centre Hospitalier Régional) de la Citadelle à Liège, il faut être vigilant tant «à la sécurité interne du bâtiment (réseau wifi gratuit par ex.) qu’à l’externe. On anticipe le risque qu’une personne malveillante soit en train de sortir des données de santé ou des numéros de carte d’identité.»

Il ne manque pas d’outils: «Nous avons des mécanismes qui permettent de retrouver la signature de l’attaque.» Avec deux data centers à l’extérieur de l’hôpital, la Citadelle a aussi augmenté sa sécurité physique. Il reste la question du cloud: «Nous avons des discussions avec Microsoft sur la confidentialité des données. En ce qui nous concerne, nous n’avons aucune donnée médicale dans le cloud. En France, certaines institutions ont des données dans le cloud Microsoft qui est certifié hébergeur de santé. Il y a eu des recommandations de la CNIL (Commission nationale de l’informatique et des libertés) en France pour se retirer du cloud Microsoft. C’est un vrai débat en termes de confidentialité.»

Les réseaux hospitaliers

Pour lui, la création des réseaux d’hôpitaux en Belgique «sera mieux pour le patient et l’hôpital parce que cela devrait permettre des mutualisations».

Grégory Chevalier, Directeur des technologies de l’information et de la communication au CHU de Charleroi, s’interroge aussi sur le cloud: «Le marché est dirigé par les éditeurs de logiciels qui vont vers le cloud. Cela va complexifier la manière dont on va implémenter nos outils de sécurité. C’est un élément important qui demande des politiques de sécurité bien décrites…»

Il insiste sur l’importance de travailler ensemble: «Avec les applications de télémédecine, cette portabilité des données ouvre à la mobilité. En termes de gouvernance, il y a beaucoup de choses qui sont initiées par les services médicaux. Ce n’est pas encore dans les mœurs. On doit vraiment travailler ensemble au sein de l’hôpital. On doit être inclus dans chaque projet d’application. C’est un changement de réflexion qui doit être porté à chaque niveau de l’hôpital… Nous sommes d’ailleurs en train de faire une certification 27001.»

Dans l’institution, ils hébergent aussi les serveurs du Réseau santé wallon. Pour lui, les hôpitaux devraient plus travailler ensemble autour d’une plateforme commune: «Un hôpital qui a eu un enregistrement d’un virus pourrait en parler dans une base de données centrale. Cela serait utile en termes de stratégie, d’échange d’expérience…»

Et de conclure: «Dans la sécurité, il y a aussi le volet réaction. Il faut pouvoir réagir très vite. On ne peut pas attendre 4h.»

Ceci est une communication des laboratoires MSD. Ce numéro a été réalisé grâce au support de MSD. Son contenu reflète l’opinion des auteurs mais pas nécessairement celle de MSD.

Réseaux hospitaliers: des synergies à développer

Depuis l’accord de gouvernement du 11 octobre 2014, les réseaux hospitaliers ont accompli du chemin. L’objectif était clairement d’amener davantage de qualité et d’efficience dans les soins. Comme l’a […]

17 janvier 2023
4 min read
Ce qui attend les hôpitaux en 2023

Après la pandémie et la guerre en Ukraine, les chocs s’additionnent pour le secteur des soins de santé. Leurs impacts sur les médecins et les hôpitaux se poursuivront en 2023. Les finances Pour Paul d […]

16 janvier 2023
4 min read

Réseaux hospitaliers: des synergies à développer

Ce qui attend les hôpitaux en 2023

Réseaux hospitaliers: des synergies à développer

Prévention cancer: quelle utilité d’une communication dans l’hôpital?

Autres Catégories