" Les autorités publiques délaissent la sécurité informatique des hôpitaux "

Le JM Hospitals: Est-ce que vous êtes satisfait de l'appui dont vous avez bénéficié en tant qu'institution de première nécessité, tant de la part de l'APD (Autorité de protection des données), la police fédérale et la CERT (Cyber Emergency Response Team) que des autorités publiques, d'un point de vue davantage financier? Stéphane Rillaerts: La police, l'APD et la CERT ont été extrêmement rapides, bienveillants et efficaces. Nous les avons remerciés mille fois pour l'expertise qu'ils ont apporté dès le vendredi matin de la cyberattaque. Ils nous ont aidés à réagir à cette situation et nous ont épaulés pour détecter les hackers potentiels. Au niveau financier, nous essayons actuellement d'activer un dispositif qui avait été à l'origine pensé par Rudy Demotte (PS, ministre de la Santé publique de 2004 à 2007, NdlR) suite à la catastrophe de Ghislenghien pour faire valoir un financement exceptionnel lié à une catastrophe extérieure à l'hôpital. Cela permettrait de justifier des surcoûts particuliers faute à des événements totalement exceptionnels. Nous ne sommes évidemment pas dans le même cas de figure que la catastrophe de Ghislenghien, et nous n'avons pas de certitudes que cette possibilité soit activable. Nous attendons encore une réponse de la part des autorités, mais nous sommes peu optimistes, pour le dire franchement. D'autres hôpitaux ont subi le même genre d'avatars et si ce mécanisme était activable, il aurait probablement déjà été sollicité par d'autres institutions. De manière générale, il est clair que les autorités de la santé publique ne prennent pas suffisamment en compte la question de la sécurité informatique des hôpitaux. Nous sommes des cibles privilégiées de cyberattaques, car nous manipulons des données sensibles. Les moyens que la santé publique accorde aux institutions hospitalières pour l'informatique ne contiennent rien de spécifique pour assurer la cybersécurité. Nous avons une guerre de retard par rapport à d'autres pays. Effectivement, nous avons une guerre de retard. Nous évoluons de plus dans un système de financement compliqué et les services publics financés par la collectivité ont tendance à coûter trop cher. En l'occurrence, je ne me plains pas trop car nous avons pour l'instant un ministre qui, sans pouvoir nécessairement faire tout ce qu'il souhaiterait, fait preuve d'une écoute bienveillante par rapport à nos difficultés parce qu'il connaît bien l'hôpital de l'intérieur. Mais le financement reste très en deçà de nos besoins et de ce qui existe dans d'autres secteurs, comme le secteur bancaire par exemple, où les équipes sont autrement plus étoffées et outillées que celles dont nous disposons. Enfin, je ne suis pas sûr que la meilleure réponse à apporter à ce type de problème soit de saupoudrer des financements hôpital par hôpital. Ce qu'il faudrait, c'est une coordination organisée par l'État pour protéger les hôpitaux de manière collective. Des systèmes de sécurité organisés centralement seraient beaucoup plus efficaces. Ce serait plus utile que d'avoir chacun sa petite enveloppe pour organiser sa sécurité informatique dans son coin. La cybercriminalité est un phénomène assez nouveau dans les institutions de soins. Vous imaginiez cela possible, il y a cinq ans à peine? Affirmer cela serait très présomptueux parce que l'informatique évolue à une vitesse folle. Même dans notre vie de tous les jours, l'informatique permet de choses que l'on aurait pas imaginé il y a cinq ans. Cela entraîne des effets pervers. Côté hospitalier, on assiste depuis une vingtaine d'année à l'émergence de l'information hospitalière, qui est aujourd'hui devenue essentielle. Elle l'a toujours été, mais la structuration de l'information telle que l'informatique le permet aujourd'hui- elle plus pertinente, complète, détaillée, précise et accessible - la rend encore plus précieuse. Un exemple: lorsqu'un patient arrive aux urgences, même s'il n'est pas connu de l'institution, il y a moyen de connaître ses antécédents, son parcours médical, et une série d'informations qui permettront de mieux le prendre en charge. Cela est positif. Et l'information, si elle est sensible, est protégée à la fois par le secret médical et le RGPD. Il est clair que je n'aurais jamais imaginé me retrouver dans la situation dans laquelle nous nous sommes retrouvés le 27 mai au matin. Mais le secteur aurait quand même pu anticiper davantage, en se basant sur les expériences que d'autres institutions de soins ont vécu - et continuent à vivre - dans d'autres pays. Cela concerne les autorités publiques, mais également les fournisseurs. Il y a peu, nous avions encore des fournisseurs qui refusaient de mettre à jour des logiciels de matériel médical qui tournaient encore sous Windows XP, un système d'exploitation qui n'est plus supporté par Windows depuis longtemps car la firme considère que ce n'est pas intéressant pour elle. Sans doute ne comprend-t-on pas l'importance et surtout le risque encouru par les hôpitaux. On peut également aller plus loin dans la réflexion et se considérer otages des grandes entreprises de logiciels - Microsoft, Google et consorts - qui ont une tactique commerciale visant à aller vers une obsolescence programmée de leurs logiciels. Cela amène leurs clients - les hôpitaux en l'occurrence - à devoir courir derrière toujours plus de nouvelles versions pour maintenir une norme de sécurité. Cela coûte toujours plus cher et nous sommes en quelque sorte pieds et poings liés face à ces tactiques menées par des entreprises qui ont le monopole sur ces produits.