Des points d'action concrets

Récemment, une cyberattaque de grande envergure a mis à mal le groupe hospitalier wallon Vivalia ( jdM N° 2715). Le ministre Vandenbroucke a salué la riposte du groupe hospitalier de la province du Luxembourg. À cette occasion, il a souligné que la cybersécurité était une priorité de l'accord de coalition. "Son importance n'est pas nouvelle, mais la cybercriminalité augmente", a-t-il déclaré. "La sécurité des hôpitaux, du personnel, des patients et la continuité des soins sont en jeu. A l'avenir, j'espère donc pouvoir débloquer des budgets supplémentaires."En tout cas, le CFEH et le ministre souhaitent que le secteur fasse des "progrès généraux" et s'arme mieux avant, pendant et après une éventuelle attaque. Par exemple, il appartient aux managers hospitaliers de sensibiliser le personnel à cette problématique. Cela peut se faire par le biais de formations, de contrôles aléatoires, etc. Les analyses de risques doivent indiquer la "maturité" de l'organisation dans ce domaine. Les hôpitaux doivent également élaborer un plan d'urgence complet et un "Incident Response Plan" axés sur la cybersécurité. Ces deux plans doivent faire partie du plan d'urgence global de l'hôpital. En outre, le CFEH indique que les hôpitaux, à titre individuel, n'ont, à eux seuls, qu'une faible capacité de lutte contre les cyberattaques. Ils devraient donc mettre en commun leur expertise et la rendre disponible. Une plateforme permet également d'échanger des expériences. Le CFEH se demande toutefois s'il est possible de surveiller les menaces 24 heures sur 24 et d'anticiper ainsi les cyberattaques. Le CFEH estime que des interventions techniques - avec l'installation de logiciels et de matériel - permettront aux hôpitaux individuels de réduire les risques de cyberattaques. Il recommande également de consulter les compagnies d'assurance à ce sujet. Le gouvernement lutte contre la cybercriminalité depuis plusieurs années déjà. En 2021, ses priorités étaient le développement d'une 'toolbox' Incident Response Planning, une meilleure coopération avec le Centre pour la cybersécurité et l'exploration des possibilités de piratages éthiques et de tests de pénétration. Les "besoins les plus importants" ont été exprimés au début de l'année 2021 dans le cadre d'une enquête menée à la suite de cyberincidents survenus au laboratoire AML et dans deux hôpitaux, le Chwapi et l'AZ Mol. Des mesures ont également été prises dans un certain nombre de domaines. Par exemple, une "boîte à outils" a été mise à disposition pour fournir des informations au délégué à la protection des données (DPO) et aux services de sécurité de chaque hôpital ou laboratoire. La boîte contient du matériel spécifique et des informations du Centre pour la cybersécurité (CCB) et des groupes de travail spécialisés. Une manière d'augmenter la sensibilisation du personnel hospitalier à cette problématique. Afin d'élaborer un plan de réponse aux incidents, le gouvernement a mis en place un groupe de travail. Le résultat est un ensemble d'informations qui a été publié dans la "boîte à outils". Du matériel provenant du CCB a également complété ces données. L'attention a été attirée sur des points spécifiques, par exemple en ce qui concerne les ransomwares (rançongiciels, NDLR). En mars 2020, au début de la crise sanitaire, il est apparu que les hôpitaux sont une cible privilégiée des cybercriminels. Après tout, leur importance sociale est élevée et ils sont donc plus susceptibles de succomber aux pirates. Pour aider le secteur, les liens avec le CCB ont été renforcés. Ainsi, en coopération avec la plateforme eHealth, le CCB a étendu son offre d'"alerte précoce" aux hôpitaux. Depuis 2021, les hôpitaux sont également alertés lorsque des informations pertinentes sont disponibles auprès d'autres sources. La coopération avec des organisations privées pendant la crise sanitaire a notamment permis de créer le site web www.wehelpourhospitals.be. En outre, le département de sécurité de la plateforme eHealth a mis en place un groupe de travail sur "sécurité de l'information pour les Data Protection Officers (DPO) des hôpitaux", qui concerne non seulement la sécurité de l'information mais aussi sur la protection des données. Des groupes de travail distincts sur des sous-thèmes sont proposés. Ils sont facultatifs. En se basant sur la norme ISO 27002, par exemple, le groupe de travail a établi un ensemble de normes de sécurité minimales en 2019. Les DPO ont ensuite sélectionné des mesures. Un an plus tard, le comité a élaboré et publié des lignes directrices avec des outils pour mettre en oeuvre les normes. Naturellement, elles sont régulièrement mises à jour. En 2021, le groupe de travail a analysé l'attaque contre le Chwapi et a partagé des éléments avec les hôpitaux pour favoriser l'apprentissage. Récemment, le gouvernement a demandé aux hôpitaux s'ils appliquent également les mesures sur la base des directives émises. Le groupe de travail a élaboré un questionnaire, à remplir pour la mi-septembre au plus tard. L'objectif est de mesurer la "maturité" dans le domaine de la cybersécurité et de fournir un "outil d'auto-évaluation". Il permet de faire évoluer la "maturité" de la sécurité de l'information par le biais d'un plan d'action. Cette enquête va donner au gouvernement un état des lieux. Si cela s'avère nécessaire et souhaitable, cette démarche permettra de développer des services centraux que les hôpitaux peuvent utiliser de manière simple et rentable. Il va sans dire que les hôpitaux individuels ne doivent pas attendre ce bilan de leur maturité pour affiner ou souligner les points d'action à entreprendre dans un contexte de réseau hospitalier.