Tels sont les propos de Jo Vander Schueren, general manager du spécialiste de sécurité, Secure-Link. Selon lui, les hôpitaux belges ont des progrès à faire en matière de cybersécurité. Le 11 mars, la Clinique André Renard à Herstal (voir sur notre site) a été victime de pirates russes.

Prioritaire ?

Ces dernières années, on remarque toutefois une évolution. On est quand même davantage conscient de la menace. "Lorsque nous allions parler de sécurité dans les hôpitaux il y a quinze ans, les gens nous regardaient en se demandant pourquoi nous nous tracassions : 'Nous ne sommes quand même pas une banque', entendait-on." En outre, il s'agit de bien plus que les données du dossier patient ou des données financières, que l'on sécurisera bien sûr en premier. "Récemment, nous avons été alertés d'une cyberattaque sur des cibles pakistanaises à partir de systèmes belges." Si les hackers n'ont pas monnayé des données, ils peuvent toujours détourner les systèmes.

"Les dix dernières années, nous remarquons que les managers IT se rendent très bien compte du danger et ils en tiennent compte. Aujourd'hui, cette préoccupation s'est introduite dans toute la gestion hospitalière. Nous recevons des questions du Conseil d'administration, de directeurs financiers, etc." Mais il faut davantage : "La cybersécurité n'est pas encore suffisamment la priorité. Il y a trop peu de projets à ce sujet. On dépense encore trop peu pour le faire vraiment bien."

Maturité

"Lorsque nous allons parler avec un hôpital pour la première fois, nous leur proposons de commencer par un 'assessment'. Celui-ci a pour but d'évaluer la maturité de l'institution : la mesure dans laquelle ils emploient de la main d'oeuvre pour la cybersécurité, les process informatiques qu'ils ont pour veiller à la sécurité, la technologie que possède l'hôpital, ... Nous faisons une mesure au temps zéro et nous pouvons tracer un plan d'actions que l'hôpital doit suivre pour arriver au niveau suivant. Nous disposons de données pour toute l'Europe. Nous pouvons dire où se positionne exactement un hôpital", explique Vander Schueren.

Le Cybersecurity Maturity Model avec lequel travaille SecureLink comporte cinq niveaux. Dans le premier niveau, il y a une protection élémentaire des systèmes, sans réelle planification ou structure. Dans le 5e niveau - le plus élevé -, on a une organisation d'auto-apprentissage qui essaiera de prévoir les menaces imminentes. "Au niveau 5, on retrouve surtout la défense et les services militaires. Le niveau 4 correspond au niveau des institutions financières aujourd'hui. Les hôpitaux devraient en fait se trouver au niveau 3, voire début du niveau 4 ! Mais en Belgique, peu d'hôpitaux atteignent le niveau 3. La plupart ne sont encore qu'au niveau 2."

Les bases

"Lorsque l'hôpital nous dit où il veut arriver, il est parfois nécessaire de faire un pas en arrière. Les bases doivent d'abord être acquises", souligne Vander Schueren.

"Pour commencer, le niveau d'alerte doit être amélioré", relève-t-il. "Les utilisateurs modaux à l'hôpital par exemple, qui reçoivent chaque jour des tas de mails, doivent se rendre compte que ce n'est pas toujours sûr de cliquer sur un lien ou d'ouvrir un mail. Le CEO et le directeur financier, qui sont une cible particulière pour les fraudeurs, doivent être conscients de menaces spécifiques. La formation des utilisateurs doit être un point d'attention constant - mais combien d'hôpitaux s'y attardent vraiment ? Les personnes du service informatique dans l'hôpital, qui écrivent les codes, doivent savoir comment le faire en toute sécurité." La plupart ne sont pas encore conscients des dangers inhérents aux actes de la vie quotidienne : "Il faut changer la façon de voir les choses."

"Le GDPR a fait en sorte d'instaurer un data protection officer. Mais l'on remarque que ce DPO s'occupe d'aspects administratifs, de contrats, ... et beaucoup trop peu de la conscientisation des utilisateurs. On réfléchit trop peu à la façon d'intégrer les process IT pour augmenter la sécurité. Combien d'hôpitaux ont à ce jour déjà un CISO (Chief Information Security Officer), avec de réelles compétences pour la sécurisation de toutes les données, des connexions, des serveurs, ... Il y a encore un fameux chemin à parcourir."

Détection et réponse

Quelle est l'étape suivante importante que les hôpitaux doivent franchir pour arriver au bon niveau de maturité ? "Les hôpitaux ont déjà beaucoup investi dans la technologie de prévention. Ils ont déjà tous un firewall. Ils sont en ordre pour ce genre de choses élémentaires. Mais ils s'en occupent trop peu. Ils devraient analyser les données qui résultent des systèmes de surveillance, et sur cette base adapter les process de cybersécurité, augmenter encore le niveau, etc. Or, ils ne le font pas."

"Tout le monde a investi dans la prévention, c'est une bonne chose et il faut continuer sur cette voie ! Toutefois, il faut aussi s'attacher à la détection et à la réponse. 100% de sécurité, cela n'existe pas. 99% de sécurité, c'est hors de prix. Et s'il y a une chose que les hôpitaux savent bien, c'est qu'ils doivent utiliser leurs moyens financiers au mieux. C'est pourquoi ils doivent poser des choix. Et faire ces choix implique intrinsèquement qu'il y a certaines choses que l'on ne fait pas. Des risques qu'on laisse. Il faut pouvoir vivre avec. Dans le cyberspace, on est toujours vulnérable. On peut toujours être attaqué. Il faut partir du principe que vous serez un jour attaqué !"

"Il ne faut pas sous-estimer ce qui se passe sur internet. Nous voyons constamment des attaques. L'impact d'une cyberattaque est souvent désastreux ! Nous remarquons aussi que lorsqu'une attaque se produit, les hôpitaux et d'autres organisations ne communiquent que très peu à ce sujet. Le GDPR oblige tout le monde à en faire mention s'il y a un risque que des données relatives à des personnes aient été détournées. Mais le premier réflexe est de garder ces choses au sein de l'entreprise. En fait, ce serait mieux de partager l'expérience."

Le premier message est le suivant : faites en sorte de pouvoir détecter une crise, d'avoir de la 'visibilité' (NDLR : non pas que vous soyez vu, mais que vous puissiez identifier ce qui est en train de se passer). Que vous puissiez analyser ce qui se passe dans votre réseau et aux alentours. Que vous ayez un allié qui puisse vous aider. Et enfin, veillez à avoir une réponse qui soit prête ! Que si vous êtes victime d'une cyberattaque, vous sachiez comment réagir. C'est ce que tout le monde - et notamment les hôpitaux - doit faire aujourd'hui...

L'erreur humaine

"Avoir les bases, c'est la première mission. Vous devez sécuriser toute la chaîne : politique du mot de passe, politique du back-up, sécurisation des logiciels, ... En outre, vous devez mesurer, créer de la visibilité, détecter ce qui se passe. C'est crucial..."

Les menaces peuvent venir de l'extérieur de l'hôpital et là, il y a souvent une mauvaise intention qui se cache derrière. Mais ce qui se produit à l'intérieur du système doit aussi être une préoccupation constante pour vous. "Nous avons déjà eu des hôpitaux, il n'y a pas si longtemps d'ailleurs, qui étaient à l'arrêt à cause d'une erreur d'un utilisateur - à cause de gens qui ne savaient pas ce qu'ils faisaient. Le quartier opératoire et les services d'urgence à l'arrêt, le système perturbé pendant des jours..."

Le danger peut se cacher dans les équipements médicaux qui sont connectés au réseau : "Chaque jour arrivent de nouveaux "devices". Combien d'hôpitaux tiennent cela à l'oeil ? Vous ne seriez pas la première organisation à être hackée via un thermostat ou une machine à café qui communique à propos de votre réseau. Vous rebranchez un laptop qui n'est pas suffisamment sécurisé au réseau après que votre fils ait installé un jeu dessus le week-end dernier, et voilà... Un médecin qui, mécontent que sa demande d'une nouvelle imprimante dans le service ait été rejetée, est allé en acheter une lui-même et qui essaie de l'installer, ..."

"Une erreur de configuration dans le réseau peut mettre à plat le système. Configurer un système est souvent du véritable 'travail de spécialiste'. Les hôpitaux ne peuvent toutefois pas se permettre d'avoir de réels spécialistes dans une partie aussi spécifique du système. Ils engagent généralement des généralistes, qui ont une large connaissance. A nouveau, ce n'est pas une fiction. Nous avons encore eu un cas récemment."

Et pour ce qui est du "ransomware" (logiciel informatique malveillant : NDLR), la solution pour les hôpitaux est de refaire souvent un back-up. Ainsi, ils ne doivent pas payer pour récupérer leurs données qui ont été subtilisées par des criminels et qui ont été rendues inutilisables pour l'hôpital. "La dernière tendance dans ce genre de "malware" est que le script détecte le système de back-up, le débranche, et puis seulement lâche le véritable "ransomware." Mais même indépendamment de cela : "Dans combien d'hôpitaux la politique de back-up est-elle bien établie et le process est-il 100% sous contrôle ? Et les sauvegardes sont-elles aussi surveillées ?"

Communauté

Veiller à ce que la sécurité et l'intégrité des données soit assurée, mais aussi toujours disponible - conformément à la législation mais aussi de façon très flexible -, telle est la mission de SecureLink, indique le CEO, Jo Vander Schueren. SecureLink opère comme un intégrateur : "Nous regardons ce qui est disponible sur le marché, nous donnons des conseils à nos clients sur les produits pertinents et nous offrons des solutions globales. La petite moitié de nos hôpitaux sont des hôpitaux - un secteur dans lequel nous avons de l'expérience depuis de nombreuses années."

"Nous sommes spécialisés dans certaines technologies, nous offrons des 'managed services' aux hôpitaux qui sont suffisamment compatibles avec les systèmes que nous maîtrisons. Mais la cybersécurité n'est pas tellement liée à une technologie spécifique. Elle est plutôt liée à ce que l'on en fait ! Nous regardons les données que génère le système de l'hôpital, nous les traitons, les analysons à l'aide de recommandations par rapport à des actions que l'hôpital doit entreprendre.

En outre, nous estimons qu'il est aussi de notre mission d'organiser une 'communauté' - permettre une discussion avec les hôpitaux qui travaillent avec nous et les mettre en contact les uns avec les autres. Les problèmes auxquels ils sont confrontés sont souvent les mêmes pour les différents hôpitaux."