Lorsque nous les rencontrons, ils ont déjà eu le temps de digérer un peu le rapport de l'équipe de hacking. Le document a également été transféré à l'audit interne et une réunion est prévue avec le comité directeur. " Globalement, nous avions déjà une assez bonne idée de nos forces et faiblesses, mais il y a tout de même eu quelques surprises auxquelles nous allons devoir remédier ", précise Kevin Meersschaert.

Tom Coolen reconnaît qu'un hôpital ne peut jamais être couvert à 100%. " Il y aura toujours des problèmes qui passeront entre les mailles du filet. Et puis la technologie et les systèmes de sécurité évoluent tellement vite... impossible de suivre à la trace le moindre nouveau développement pour prendre les mesures qui s'imposent. "

" In fine, il faut partir du principe que l'intrusion d'un hacker n'est jamais à exclure ", enchaîne Kevin Meerschaert. " La question à se poser, c'est "jusqu'où pourra-t-il aller ?" Il faut se concentrer sur les joyaux de la couronne - le dossier patient ou les systèmes d'information financière, par exemple. "

" Nous pouvons remédier à relativement court terme aux failles révélées par le rapport, mais un nouveau test dans quelques mois en trouverait certainement d'autres ", ajoute Tom Coolen.

Le jdM : Investir dans la sécurité de l'information, n'est-ce pas un peu peine perdue ?
TC : Non. Comme ce test l'a très bien montré, le maillon faible reste surtout l'utilisateur, et ce facteur humain peut être maîtrisé. L'important, pour le moment, ce n'est donc pas tant d'investir dans le matériel et les logiciels que de mettre en place de bonnes procédures et de sensibiliser notre personnel. Ce dernier point nous donne malheureusement du fil à retordre : le simple fait de demander aux gens de changer leur mot de passe provoque déjà des murmures de protestation.

KM : Nous avons déjà essayé toute une série d'approches. Il y a peu, nous avons par exemple diffusé avec nos lettres d'information internes un article sur la sécurité et la sécurisation dans la sphère privée, dans l'espoir que nos collègues appliquent aussi ces mesures à l'hôpital... mais au vu du nombre de personnes qui ont effectivement consulté le texte, on ne peut pas parler d'un franc succès.

Comment expliquez-vous cette attitude au sein du personnel ?
KM : Les gens sont trop peu conscients de la problématique et des éventuels risques de sécurité, et que celui qui n'a jamais pensé que cela ne lui arriverait pas leur jette la première pierre... Ce sont aussi des matières très techniques et pas franchement sexy ! (rire)

TC : Le tout est de trouver un équilibre entre la sécurité et le confort des utilisateurs. Cela dit, les bons conseils ne suffisent pas : il est tout aussi important d'être vigilant, d'être attentif à cet inconnu qui, l'air de rien, fouine dans les couloirs du département...
L'impulsion devrait venir des autorités ou du niveau sectoriel - je songe par exemple à un jeu sérieux, comme cela s'est déjà fait dans notre hôpital pour la sécurité incendie. Une autre piste serait de couler la sécurité de l'information dans une formation obligatoire.

Que pensez-vous de la sécurité de l'information à l'az Groeninge à la lumière de ce test ?
KM : Je suis plus convaincu que jamais qu'il est essentiel d'en tenir compte dès le stade de la conception : les mesures de contrôle nécessaires doivent être prévues dès l'introduction d'un nouveau projet informatique. C'est bien plus efficace et plus efficient que de tout ajuster a posteriori.

TC : Pour le service informatique, le risque de ce genre de test est qu'on ne voie que les drapeaux rouges alors même que nous abattons déjà beaucoup de travail. Les personnes qui n'ont pas besoin de s'en préoccuper au quotidien ne remarquent souvent pas les nombreuses mesures de sécurisation qui existent. Heureusement, le comité directeur est bien au fait de la problématique de la sécurité de l'information, ce qui nous permet parfois de réaliser des investissements coûteux mais invisibles.

Quel est le budget consacré chaque année à la sécurisation de l'information ?
TC : En 2014, environ 120.000 euros soit 0,04% - un budget qui recouvre les logiciels antivirus, le firewall, le VPN, les moyens internes... C'est peu ? Vous connaissez comme moi la situation financière des hôpitaux belges, et ce montant se situe malgré tout dans la médiane des dépenses pour ce poste dans les établissements flamands. Entre-temps, notre budget informatique a d'ailleurs augmenté pour inclure une assurance contre la cyber-criminalité, des mesures de sécurité supplémentaires contre le ransomware et un NOC (dont les autres hôpitaux ne disposent pas tous). (d'un air résolu) Avec un coût de quelques milliers d'euros tout au plus, un exercice comme celui-ci ne plombe pas trop notre budget. Il doit être possible de dégager cette somme chaque année.

Lorsque nous les rencontrons, ils ont déjà eu le temps de digérer un peu le rapport de l'équipe de hacking. Le document a également été transféré à l'audit interne et une réunion est prévue avec le comité directeur. " Globalement, nous avions déjà une assez bonne idée de nos forces et faiblesses, mais il y a tout de même eu quelques surprises auxquelles nous allons devoir remédier ", précise Kevin Meersschaert. Tom Coolen reconnaît qu'un hôpital ne peut jamais être couvert à 100%. " Il y aura toujours des problèmes qui passeront entre les mailles du filet. Et puis la technologie et les systèmes de sécurité évoluent tellement vite... impossible de suivre à la trace le moindre nouveau développement pour prendre les mesures qui s'imposent. " " In fine, il faut partir du principe que l'intrusion d'un hacker n'est jamais à exclure ", enchaîne Kevin Meerschaert. " La question à se poser, c'est "jusqu'où pourra-t-il aller ?" Il faut se concentrer sur les joyaux de la couronne - le dossier patient ou les systèmes d'information financière, par exemple. " " Nous pouvons remédier à relativement court terme aux failles révélées par le rapport, mais un nouveau test dans quelques mois en trouverait certainement d'autres ", ajoute Tom Coolen.Le jdM : Investir dans la sécurité de l'information, n'est-ce pas un peu peine perdue ? TC : Non. Comme ce test l'a très bien montré, le maillon faible reste surtout l'utilisateur, et ce facteur humain peut être maîtrisé. L'important, pour le moment, ce n'est donc pas tant d'investir dans le matériel et les logiciels que de mettre en place de bonnes procédures et de sensibiliser notre personnel. Ce dernier point nous donne malheureusement du fil à retordre : le simple fait de demander aux gens de changer leur mot de passe provoque déjà des murmures de protestation. KM : Nous avons déjà essayé toute une série d'approches. Il y a peu, nous avons par exemple diffusé avec nos lettres d'information internes un article sur la sécurité et la sécurisation dans la sphère privée, dans l'espoir que nos collègues appliquent aussi ces mesures à l'hôpital... mais au vu du nombre de personnes qui ont effectivement consulté le texte, on ne peut pas parler d'un franc succès.Comment expliquez-vous cette attitude au sein du personnel ? KM : Les gens sont trop peu conscients de la problématique et des éventuels risques de sécurité, et que celui qui n'a jamais pensé que cela ne lui arriverait pas leur jette la première pierre... Ce sont aussi des matières très techniques et pas franchement sexy ! (rire) TC : Le tout est de trouver un équilibre entre la sécurité et le confort des utilisateurs. Cela dit, les bons conseils ne suffisent pas : il est tout aussi important d'être vigilant, d'être attentif à cet inconnu qui, l'air de rien, fouine dans les couloirs du département... L'impulsion devrait venir des autorités ou du niveau sectoriel - je songe par exemple à un jeu sérieux, comme cela s'est déjà fait dans notre hôpital pour la sécurité incendie. Une autre piste serait de couler la sécurité de l'information dans une formation obligatoire.Que pensez-vous de la sécurité de l'information à l'az Groeninge à la lumière de ce test ? KM : Je suis plus convaincu que jamais qu'il est essentiel d'en tenir compte dès le stade de la conception : les mesures de contrôle nécessaires doivent être prévues dès l'introduction d'un nouveau projet informatique. C'est bien plus efficace et plus efficient que de tout ajuster a posteriori. TC : Pour le service informatique, le risque de ce genre de test est qu'on ne voie que les drapeaux rouges alors même que nous abattons déjà beaucoup de travail. Les personnes qui n'ont pas besoin de s'en préoccuper au quotidien ne remarquent souvent pas les nombreuses mesures de sécurisation qui existent. Heureusement, le comité directeur est bien au fait de la problématique de la sécurité de l'information, ce qui nous permet parfois de réaliser des investissements coûteux mais invisibles.Quel est le budget consacré chaque année à la sécurisation de l'information ? TC : En 2014, environ 120.000 euros soit 0,04% - un budget qui recouvre les logiciels antivirus, le firewall, le VPN, les moyens internes... C'est peu ? Vous connaissez comme moi la situation financière des hôpitaux belges, et ce montant se situe malgré tout dans la médiane des dépenses pour ce poste dans les établissements flamands. Entre-temps, notre budget informatique a d'ailleurs augmenté pour inclure une assurance contre la cyber-criminalité, des mesures de sécurité supplémentaires contre le ransomware et un NOC (dont les autres hôpitaux ne disposent pas tous). (d'un air résolu) Avec un coût de quelques milliers d'euros tout au plus, un exercice comme celui-ci ne plombe pas trop notre budget. Il doit être possible de dégager cette somme chaque année.