Les cyberattaques représentent un danger grandissant pour les hôpitaux et la santé de leurs patients. Voici quelques mois, le Centre fédéral pour la cybersécurité avait mis en garde les hôpitaux contre les logiciels de rançon (ransomware). La dernière attaque a eu lieu à la clinique St Luc à Bouge. Son directeur, Paul d’Otreppe, témoigne: «Les médecins ont perdu deux jours de travail».
Avant, la clinique André Renard, en province de Liège, a été victime d’une cyberattaque tout comme le Chwapi à Tournai après que d’autres attaques aient eu lieu en France ou en Allemagne. Pour les pirates, les deux plus grands types d’attaques lucratives contre les hôpitaux sont l’extraction de données de santé et les ransomwares. Le mois passé ce sont les consultations et les examens de la clinique Saint-Luc de Bouge, près de Namur qui ont été annulées après une cyberattaque.
Les médecins ont perdu deux jours de travail
Pour Paul d’Otreppe, le directeur de l’hôpital et président de l’ABDH, l’attaque s’est produite à la suite d’une erreur humaine extérieure à l’hôpital. «Nous avons pu réagir rapidement. L’hôpital dispose d’une équipe de cybersécurité qui est remarquable. Les médecins ont perdu deux jours de travail. L’hôpital a dépensé deux ans de budgets informatiques pour réparer le système. Tous les directeurs d’hôpitaux sont concernés par cette problématique.» Les pirates auraient réclamé à l’hôpital une rançon de 150.000 euros. «Il y a eu une demande de rançon et nous ne l'avons pas payée. Nous n’avons même pas imaginé l’éventualité.»
Du côté de l’ABSyM, on souligne que très peu de médecins sont assurés pour ce type d’événement à ce jour: ni sur la cyberattaque ni sur la perte de revenu qui en découle. Pour sa part, Francis De Drée, président d’Hospitals.be insiste sur la question du préjudice: «Il peut être moral ou toucher à la qualité des soins ou financier. Celui qui m’inquiète le plus, c’est l’impact sur l’activité des soins de l’hôpital». Lorsqu’un hôpital est attaqué, il peut toujours contacter la Computer Emergency Response Team fédérale, ou CERT.be, qui est le service opérationnel du Centre pour la Cybersécurité Belgique (CCB).
Dégager des moyens fédéraux
Lors d’une journée d'étude sur la cybersécurité organisée par l’ABDH le 14 octobre, les responsables informatiques des hôpitaux ont appelé à une plus grande coopération entre les institutions hospitalières et plus de moyens aux autorités politiques. Un premier résultat modeste dans la consultation du gouvernement fédéral, qui commence à allouer un budget informatique annuel de quelque 20 millions à cette fin. Cela reste insuffisant. A titre de comparaison, les hôpitaux belges consacrent environ 3 à 4% de leur chiffre d'affaires à l'informatique. Aux États-Unis, le budget informatique représente environ 10% du chiffre d'affaires des hôpitaux. Une mise en garde a été émise concernant de nombreux dispositifs médicaux qui sont trop souvent contrôlés par des ordinateurs et des systèmes anciens. Le Pr Pascal Verdonck, vice-président de l’ABDH, insiste aussi sur une prise de conscience: «Les médecins insistent sur leur liberté d'essayer toutes sortes de choses à l'hôpital, mais ce désir de liberté se heurte régulièrement aux principes de la cybersécurité. Si le personnel hospitalier reste aveugle à cette prise de conscience, il n'y a qu'une seule issue: les sanctions, et même le licenciement».
Enfin, avec la 5G, la sécurité promet de devenir beaucoup plus compliquée pour les hôpitaux. «Quoi qu'il en soit, nous ne devons pas laisser ces risques éventuels nous arrêter», a estimé Micha Berger, CTIO de Telenet. «Les applications de la 5G sont l’avenir des hôpitaux.» La question de la sécurité est donc loin d’être refermée…
Lire aussi:
> Cyberattaques: les médecins et les directeurs d’hôpitaux doivent avoir une assurance
> Protection: «Un groupe de collaboration entre les hôpitaux»