Suite à la cyberattaque qui paralyse l'activité médicale de Vivalia depuis le 14 mai à 3h30 , la fédération hospitalière Santhea rappelle à quel point le secteur hospitalier et des institutions de soins est "vulnérable dans un contexte où le nombre et le degré de sophistication de ces menaces d'un genre nouveau ne fait que croître. Affaiblis plus que jamais financièrement et en termes de personnel par la crise sanitaire, dépourvus de subsides pour se prémunir face aux cyber-risques et privés du statut d'organismes essentiels à protéger, les hôpitaux représentent aujourd'hui une cible de choix pour les pirates qui écument l'internet. Faute de mesures et d'un financement structurel adéquat, c'est toute notre système de soins de santé qui risque de sombrer".

L'intercommunale Vivalia a dû prendre une série de mesures suite à cette attaque: opérations non-urgentes supprimées, consultations et examens annulés, centres de prélèvements et antennes Covid-19 à l'arrêt et déclenchement du Plan d'Urgence Hospitalier (PUH).

"Cette nouvelle attaque de hackers contre l'un des hôpitaux de notre pays n'a hélas rien d'étonnant lorsqu'on connaît la situation budgétaire catastrophique dans laquelle ceux-ci se retrouvent actuellement. Déjà affaiblis financièrement avant la crise sanitaire, celle-ci n'a fait que renforcer leur vulnérabilité, dans un contexte où ils ne bénéficient d'aucun subside, fédéral ou régional, pour se prémunir contre des cyber-risques pourtant de plus en plus nombreux et sophistiqués. Plus interpellant encore, nos hôpitaux ne sont même pas considérés à l'heure actuelle comme l'une des catégories de structures essentielles à protéger des pirates du web, ce statut leur étant refusé par les décideurs politiques belges", souligne Yves Smeets, directeur général de Santhea.

Directive européenne

Pour contextualiser, Santhea rappelle l'adoption en 2016 de la Directive européenne NIS (Network and Information System Security) visant à assurer un niveau de cybersécurité élevé et commun pour les réseaux et les systèmes d'information de l'Union européenne. Transposée en droit belge en 2019 seulement, elle impose une série d'obligations aux Opérateurs de Services Essentiels (OSE) - identifiés comme tel par chaque autorité sectorielle nationale - en vue de mettre en place un système de gestion de la sécurité de l'information basé sur les normes ISO 27001/27002. "En tant qu'autorité sectorielle, le SPF Santé publique devait identifier les premiers OSE pour le 3 novembre 2019. Cependant, celui-ci n'a pas procédé à cette identification, privant ainsi le texte de ses effets dans le secteur des soins de santé. Une erreur qui n'a pas échappé aux yeux de la Commission Européenne, celle-ci l'ayant pointée dès le 30 octobre 2020, parmi d'autres manquements de la Belgique en matière de mise en conformité à la Directive NIS."

Santhea déclare avoir tenté, sans succès, de rencontrer le SPF Santé publique à ce sujet, afin de plaider pour l'identification des hôpitaux comme OSE et l'octroi d'un subventionnement à la hauteur de ce statut en matière de cybersécurité. "Malgré la crise sanitaire que nous avons traversée, laquelle a démontré une nouvelle fois à quel point les institutions de soins sont essentielles au bon fonctionnement de notre pays, le SPF Santé Publique se réfère à l'existence des Plans d'Urgence Hopitaliers (PUH), aux processus d'accréditation et aux normes ISO 27001/27002 pour justifier sa position. Ne nous leurrons cependant pas : dans les faits, le PUH n'est qu'un plan de réaction à une situation d'urgence, et non une mesure visant à anticiper les attaques et renforcer la sécurité ; les accréditations Canadienne/Américaine ne se penchent pas sur la sécurité informatique ; et très peu d'hôpitaux sont aujourd'hui accrédités aux normes ISO précitées."

Pour Santhea, face aux nombreuses cyberattaques (Chwapi, CHR Haute Senne, Clinique Sain-Luc...) dont le secteur a fait les frais dernièrement, il est essentiel et indispensable de définir un périmètre d'application de la directive et de la loi belge NIS dans le secteur de la santé, ainsi qu'un budget annuel structurel suffisant pour permettre la mise en oeuvre de cette réglementation et, plus largement, d'une politique de cybersécurité de qualité au sein des institutions de soins.

20 millions d'euros

La fédération estime que les 20 millions promis en 2022 par le ministre des Affaires sociales et de la Santé publique pour renforcer le niveau de cybersécurité des hôpitaux ne peuvent pas rencontrer les besoins actuels. "Ainsi, selon une enquête récemment menée dans les hôpitaux flamands, le coût moyen qu'engendrent les efforts nécessaires en termes de cybersécurité serait passé de 368 euros par lit en 2019 à 484 euros par lit en 2020. En extrapolant ces chiffres, on arrive à un coût annuel de plus de 24 millions d'euros pour l'ensemble des hôpitaux généraux et psychiatriques belges. L'adaptation de leur niveau de maturité au niveau de cybermenace actuel et futur nécessiterait par conséquent un financement structurel. Faute de quoi, le risque encouru par les hôpitaux et leurs patients ne fera que se renforcer avec le temps", prévient Santhea. "À titre de comparaison, la France, bien que disposant d'un réseau d'hôpitaux bien plus étendu que le nôtre, a adopté un plan de lutte contre la cybercriminalité d'un milliard d'euros d'ici 2025."

Santhea demande aux autorités de prendre la mesure de l'urgence en la matière, avant que ne survienne le premier décès belge imputé officiellement à une cyberattaque, comme ce fût le cas pour une patiente de l'hôpital universitaire de Düsseldorf en septembre 2020.

Suite à la cyberattaque qui paralyse l'activité médicale de Vivalia depuis le 14 mai à 3h30 , la fédération hospitalière Santhea rappelle à quel point le secteur hospitalier et des institutions de soins est "vulnérable dans un contexte où le nombre et le degré de sophistication de ces menaces d'un genre nouveau ne fait que croître. Affaiblis plus que jamais financièrement et en termes de personnel par la crise sanitaire, dépourvus de subsides pour se prémunir face aux cyber-risques et privés du statut d'organismes essentiels à protéger, les hôpitaux représentent aujourd'hui une cible de choix pour les pirates qui écument l'internet. Faute de mesures et d'un financement structurel adéquat, c'est toute notre système de soins de santé qui risque de sombrer". L'intercommunale Vivalia a dû prendre une série de mesures suite à cette attaque: opérations non-urgentes supprimées, consultations et examens annulés, centres de prélèvements et antennes Covid-19 à l'arrêt et déclenchement du Plan d'Urgence Hospitalier (PUH)."Cette nouvelle attaque de hackers contre l'un des hôpitaux de notre pays n'a hélas rien d'étonnant lorsqu'on connaît la situation budgétaire catastrophique dans laquelle ceux-ci se retrouvent actuellement. Déjà affaiblis financièrement avant la crise sanitaire, celle-ci n'a fait que renforcer leur vulnérabilité, dans un contexte où ils ne bénéficient d'aucun subside, fédéral ou régional, pour se prémunir contre des cyber-risques pourtant de plus en plus nombreux et sophistiqués. Plus interpellant encore, nos hôpitaux ne sont même pas considérés à l'heure actuelle comme l'une des catégories de structures essentielles à protéger des pirates du web, ce statut leur étant refusé par les décideurs politiques belges", souligne Yves Smeets, directeur général de Santhea. Pour contextualiser, Santhea rappelle l'adoption en 2016 de la Directive européenne NIS (Network and Information System Security) visant à assurer un niveau de cybersécurité élevé et commun pour les réseaux et les systèmes d'information de l'Union européenne. Transposée en droit belge en 2019 seulement, elle impose une série d'obligations aux Opérateurs de Services Essentiels (OSE) - identifiés comme tel par chaque autorité sectorielle nationale - en vue de mettre en place un système de gestion de la sécurité de l'information basé sur les normes ISO 27001/27002. "En tant qu'autorité sectorielle, le SPF Santé publique devait identifier les premiers OSE pour le 3 novembre 2019. Cependant, celui-ci n'a pas procédé à cette identification, privant ainsi le texte de ses effets dans le secteur des soins de santé. Une erreur qui n'a pas échappé aux yeux de la Commission Européenne, celle-ci l'ayant pointée dès le 30 octobre 2020, parmi d'autres manquements de la Belgique en matière de mise en conformité à la Directive NIS."Santhea déclare avoir tenté, sans succès, de rencontrer le SPF Santé publique à ce sujet, afin de plaider pour l'identification des hôpitaux comme OSE et l'octroi d'un subventionnement à la hauteur de ce statut en matière de cybersécurité. "Malgré la crise sanitaire que nous avons traversée, laquelle a démontré une nouvelle fois à quel point les institutions de soins sont essentielles au bon fonctionnement de notre pays, le SPF Santé Publique se réfère à l'existence des Plans d'Urgence Hopitaliers (PUH), aux processus d'accréditation et aux normes ISO 27001/27002 pour justifier sa position. Ne nous leurrons cependant pas : dans les faits, le PUH n'est qu'un plan de réaction à une situation d'urgence, et non une mesure visant à anticiper les attaques et renforcer la sécurité ; les accréditations Canadienne/Américaine ne se penchent pas sur la sécurité informatique ; et très peu d'hôpitaux sont aujourd'hui accrédités aux normes ISO précitées."Pour Santhea, face aux nombreuses cyberattaques (Chwapi, CHR Haute Senne, Clinique Sain-Luc...) dont le secteur a fait les frais dernièrement, il est essentiel et indispensable de définir un périmètre d'application de la directive et de la loi belge NIS dans le secteur de la santé, ainsi qu'un budget annuel structurel suffisant pour permettre la mise en oeuvre de cette réglementation et, plus largement, d'une politique de cybersécurité de qualité au sein des institutions de soins.La fédération estime que les 20 millions promis en 2022 par le ministre des Affaires sociales et de la Santé publique pour renforcer le niveau de cybersécurité des hôpitaux ne peuvent pas rencontrer les besoins actuels. "Ainsi, selon une enquête récemment menée dans les hôpitaux flamands, le coût moyen qu'engendrent les efforts nécessaires en termes de cybersécurité serait passé de 368 euros par lit en 2019 à 484 euros par lit en 2020. En extrapolant ces chiffres, on arrive à un coût annuel de plus de 24 millions d'euros pour l'ensemble des hôpitaux généraux et psychiatriques belges. L'adaptation de leur niveau de maturité au niveau de cybermenace actuel et futur nécessiterait par conséquent un financement structurel. Faute de quoi, le risque encouru par les hôpitaux et leurs patients ne fera que se renforcer avec le temps", prévient Santhea. "À titre de comparaison, la France, bien que disposant d'un réseau d'hôpitaux bien plus étendu que le nôtre, a adopté un plan de lutte contre la cybercriminalité d'un milliard d'euros d'ici 2025." Santhea demande aux autorités de prendre la mesure de l'urgence en la matière, avant que ne survienne le premier décès belge imputé officiellement à une cyberattaque, comme ce fût le cas pour une patiente de l'hôpital universitaire de Düsseldorf en septembre 2020.