“En Belgique, les hôpitaux sont des cibles faciles” : Pourquoi les cyberattaques dans les établissements de soins de santé se multiplient
Les attaques cyber d’ampleur contre les hôpitaux ou institutions de santé sont de plus en plus nombreuses. Après le CHU Saint-Pierre ce week-end, un autre grand hôpital bruxellois a été frappé ce lundi. Les fédérations hospitalières tirent la sonnette d’alarme et estiment ne pas avoir l’expertise nécessaire ni les moyens financiers suffisants pour se protéger efficacement face à de telles attaques.
/s3.amazonaws.com/arc-authors/ipmgroup/9a65cfe0-1da5-4444-a30b-1af2ed95b52f.png)
Publié le 13-03-2023 à 15h35
:focal(2229x1464.5:2239x1454.5)/cloudfront-eu-central-1.images.arcpublishing.com/ipmgroup/APPJ5EG57NE2LH5DH3U2JI4NDI.jpg)
Une fois de plus, un hôpital a été victime d’une cyberattaque. Il s’agit du CHU Saint-Pierre ce week-end. Dans la nuit de vendredi à samedi, les serveurs informatiques du CHU Saint-Pierre à Bruxelles ont commencé à sérieusement ralentir, mettant en alerte les informaticiens de garde.
Durant plusieurs heures, la centrale 112 déviait les ambulances vers les autres hôpitaux afin de ne pas surcharger les hôpitaux. Le plan d’urgence contre les cyberattaques a permis à l’hôpital de limiter les dégâts.
Hormis les urgences, l’hôpital a ainsi continué de fonctionner normalement toute la journée. “D’un point de vue des activités, on a redémarré à la normale ce lundi matin, confie le service de presse du CHU Saint-Pierre. Mais la prudence est de mise pour tout sécuriser, les enquêtes sont en cours. La cellule cybercriminalité est également sur le coup et toutes les précautions ont été prises”. L’hôpital ne souhaite pas communiquer plus à ce stade mais pour l’heure, aucun vol ou fuite de données médicales n’ont été constatés.
"Nos moyens sont largement insuffisants face à la menace actuelle"
“Notre plan nous a permis de ne causer aucun désagrément pour le patient, c’était notre priorité, ajoute-t-il. L’origine reste inconnue, tout comme l’objectif de cette cyberattaque. De plus, aucune rançon n’a été réclamée pour le moment. Aujourd’hui, l’hôpital peut fonctionner relativement normalement même si les analyses sont en cours, ce qui demande énormément de précautions. C'est d’ailleurs la première fois qu’on subit une telle attaque”.
Les hôpitaux manquent de moyens
Les attaques cyber d’ampleur contre les hôpitaux ou institutions de santé sont plus nombreuses aujourd’hui et davantage médiatisées. La Belgique n’est d’ailleurs pas la seule à être touchée. À Barcelone, le plus grand hôpital de la ville, qui s’est fait voler une quantité massive de données, fait face à une importante demande de rançon pour les récupérer.
“Les hackers sont à la recherche d’infos, notamment d’informations médicales sensibles et les hôpitaux sont donc des cibles prioritaires, souligne Yves Smeets, directeur général de Santhéa, l’association professionnelle et patronale d’institutions de soins wallonnes et bruxelloises. Elles se revendent ensuite sur le darknet assez facilement. Quand cela se produit, les conséquences sont nombreuses et importantes. On doit retourner aux procédures papier pour les demandes d’analyses, d’imagerie, etc. Cela ralentit tout le processus. Il y a un retard clinique et aussi au niveau du processus de facturation”.
D’après Santhéa, l’hôpital n’a ni l’expertise ni les moyens financiers pour se prémunir efficacement de telles attaques. Le secteur estime qu’il est urgent d’appréhender ce problème à grande échelle.
Si des fonds ont déjà été débloqués par le fédéral pour renforcer la cybersécurité des établissements hospitaliers, le secteur attend plus d’investissements. Comme prévu en 2021, un montant de 64 millions d’euros devrait en effet atterrir sur les comptes de l’Inami entre 2022 et 2025.
“C’est largement insuffisant face à la menace actuelle, déplore-t-il. Cela ne finance même pas l’équipement nécessaire pour se protéger efficacement, c’est un énorme souci. L’autre gros problème, c’est qu’il existe une directive européenne sur la protection information qui indique que les États membres doivent désigner les hôpitaux comme opérateurs essentiels dans chaque pays. Les établissements de soins sont donc jugés prioritaires mais la Belgique a refusé de la suivre, notamment car cela imposerait un certain nombre de craintes et de normes qui engendreraient des moyens supplémentaires à mettre sur la table, on a donc essuyé un refus”.
Le secteur s’attend à voir le nombre d’attaques exploser
Parmi ces nouveaux “secteurs essentiels” sont concernés également ceux de l’énergie, du transport et de la banque. Ces obligations incluent notamment la réponse aux incidents, la sécurité des chaînes d’approvisionnement, le cryptage et la divulgation de vulnérabilités, parmi d’autres dispositions.
L’été dernier, le Parlement européen est allé un pas plus loin en adoptant une nouvelle directive allant dans le sens d’un élargissement des établissements concernés, NIS 2, qui étend l’obligation de sécurité à 150 000 entreprises et organisations européennes – contre 15 000 aujourd’hui, d’après le magazine d’actualité hebdomadaire français Marianne. “Cette dernière risque de changer la donne, estime Yves Smeets. Les hôpitaux y seront désignés spécifiquement comme opérateurs essentiels, le droit belge devra donc être adapté, ce qui nous permettra d’avoir accès au réseau européen d’informations dans l’optique de remplir nos obligations”.
Depuis le début de la pandémie, les experts en menaces de type cyber estiment qu’il y a clairement une augmentation du phénomène. “On s’attend à voir les attaques se répéter, indique-t-il. Un autre grand hôpital bruxellois a d’ailleurs été frappé ce lundi (une enquête est en cours). On est sur une menace grandissante qui ne sera pas résolue rapidement, il faut donc continuer d’investir dans la cybersécurité, ça doit devenir une priorité pour notre gouvernement”.