Cybersécurité : « Une attaque par jour contre nos hôpitaux »

Les cyberattaques contre nos institutions hospitalières se poursuivent et s’intensifient comme nous avons pu le voir en 2022 à Namur, Marche, dans le Hainaut et à Bruxelles. Aujourd’hui, pour lutter efficacement contre ce phénomène en croissance, les hôpitaux doivent prendre des mesures urgentes, efficaces et préventives comme le rappelle Christophe Celio, Cyber Security Leader du Procsima-Group lors d'un récent événement "Cyberwal by Digital Wallonia "

« L’évolution est préoccupante en effet. La plupart des attaques ciblent le domaine hospitalier parce que le but premier d’un hôpital est de sauver des patients et vies... et qu'ils ne sont pas toujours équipés pour se défendre.”

Les types d’attaques ont évolué au cours de ces dernières années : « À présent, elles sont de plus en plus complexes et passent par les objets connectés notamment qui sont très présents dans les hôpitaux : montre connectée, Ipad, smartphone, appareils médicaux, sondes, monitoring...Il faut donc très bien sécuriser et adopter des politiques adéquates afin de limiter les risques avec ces différents objets sans quoi, ils représentent un nombre sans cesse croissant de porte d’entrée dans le réseau hospitalier. »

Vendredi, samedi et dimanche les jours fragiles

La fréquence des attaques a aussi changé: “Une par jour à l’encontre de nos institutions hospitalières. Il ne s’agit plus d’attaques de la part de personnes isolées, mais plutôt de la part d’organisations qui possèdent en leur sein des hackers avec des fonctions bien précises et qui se coordonnent. Ils ont des process très étudiés avec des modes de financement bien établis. ”

Du côté des hôpitaux, cette explosion des attaques réclame une anticipation de la part des équipes: “Récemment, il y a eu une tentative d’attaque au niveau du CHC Mont Légia. Elle n’a pas abouti parce qu’une personne au service informatique a été vigilante un vendredi soir. Il a permis d’éviter une catastrophe. C’est un autre aspect dont les hôpitaux doivent avoir conscience: leur système est plus vulnérable le vendredi en fin de journée, les week-end et les jours fériés parce qu’il y a moins de personnel de surveillance. Il ne faut donc pas oublier de renforcer aussi les équipes ces jours-là. Il faut aussi donner aux équipes  des moyens techniques qui permettent d'analyser ce qui se passe en amont et en aval de leur réseau. ”

Les failles et le rôle des médecins

Les failles des hôpitaux ont aussi évolué au cours de ces dernières années: “Les attaques ciblent les personnes qui travaillent dans l’hôpital avec des SMS (Smishing), du Phishing, un lien ou un fichier contenant un virus, clé USB, disque dur.... Il convient de mieux former les personnes aux outils numériques et accroitre la prévention en la matière au sein de l’institution. Le niveau de maturité du personnel est encore insuffisant. ”

Les médecins, à ce niveau, ont un rôle à jouer : “Ils n’ont pas toujours envie de se former en la matière. Ils ont parfois l’impression que cette sécurité ne relève pas de leur responsabilité. C’est faux. A présent, ils sont responsables des données qu’ils traitent avec les patients. L’hôpital ne sera plus le seul incriminé en cas de non-respect des règles de sécurité.”

Des assurances de plus en plus coûteuses

Des assurances existent aujourd’hui pour les institutions hospitalières : “Avant 2020, les assurances en la matière couvraient les pertes d’exploitation et une valorisation des données perdues. Elles indemnisaient à 80 ou 100%. À présent, les règles ont changé:  les franchises ont triplé et les assurances ne couvrent plus qu’à 40 ou 50%. Les assurances proposent ainsi de réaliser des audits pour évaluer le niveau de maturité des hôpitaux et un niveau d'éligibilité  (impact sur le montant du contrat d'assurance, franchise, …) ” 

Aujourd’hui ces assurances coûtent des sommes importantes : “En plus, elles réclament aux hôpitaux des garanties : une gouvernance de qualité ISO 27001, la mise en place des « Normes minimales de sécurité de l'information Hôpitaux » (la norme NIS2 dont les hôpitaux feront partie cette fois-ci en 2025)....Tous les hôpitaux ne peuvent toutefois pas se payer ce type d’outils et d'actions préventives. ”

Face à cela, les hôpitaux tentent de se mettre en réseau pour se protéger: “Il y a un échange de connaissances avec une organisation comme Unessa notamment qui permettent d’avoir des tables de discussions sur le sujet sur des thématiques précises. Par ailleurs, nous travaillons avec le centre de Cybersécurité et le Cert pour être informés. Par ailleurs, il y a une vigilance accrue des activités (au niveau du périmètre externe) autour des hôpitaux et nous collectons les données dans une console appelée EWS (Early Warning System) qui a été mis en place avec le centre de cybersécurité belge.”

Une enquête d’une entreprise australienne montrait que 39% des pirates informatiques déclarent pouvoir accéder et dérober des données sensibles dans un hôpital en moins de 5 heures. Est-ce possible chez nous ? « Les attaques sont préparées longtemps à l’avance, mais elles peuvent en effet aller très vite une fois qu’elles sont lancées....si elles n’ont pas été anticipées par les institutions. C’est pour cela qu'il faut prévoir des moyens financiers adéquats. ”

Lire aussi: Un hôpital néerlandais et d'autres en Europe ont été la cible de "hackers prorusses"

Vous souhaitez commenter cet article ?

L'accès à la totalité des fonctionnalités est réservé aux professionnels de la santé.

Si vous êtes un professionnel de la santé vous devez vous connecter ou vous inscrire gratuitement sur notre site pour accéder à la totalité de notre contenu.
Si vous êtes journaliste ou si vous souhaitez nous informer écrivez-nous à redaction@rmnet.be.

Derniers commentaires

  • Jean-Louis LINDER

    01 février 2023

    Qui va payer le coût de cette sécurité informatique?
    Qui souhaite tout informatiser?
    Le traitement des patients reste un acte humain et pas une donnée informatique.