Même si le ministre fédéral de la Santé a tendance à minimiser la cybermenace, l’Inami mène actuellement un projet pour tester en situation réelle la sécurité informatique des hôpitaux en Belgique.
Des serveurs pris en otages. En janvier, tout le Centre Hospitalier de Wallonie picarde (CHwapi) se retrouvait grippé par un ransomware. Près d’un an plus tard, la convalescence informatique se poursuit et les surcoûts directs comme indirects se chiffrent en millions d’euros. Moins médiatisées, d’autres institutions de soins se retrouvent elles aussi victimes de cybercriminels, la Clinique André Renard à Herstal, partiellement paralysée en septembre, et la clinique Saint-Luc de Bouges, piratée en octobre.
« Il y a un certain nombre d’hôpitaux qui, malheureusement, savent maintenant très précisément ce qu’est une cyberattaque », a déclaré dernièrement le ministre de la Santé publique lors du congrès de l’association belge des hôpitaux. Une situation qui aurait incité le gouvernement fédéral à apporter son soutien financier.
« En 2022, 20 millions d’euros seront normalement mis à la disposition des hôpitaux. Ce montant devrait les aider les hôpitaux à développer la sécurité nécessaire, à acquérir et à partager des connaissances, à mettre en place une équipe d’intervention en cas d’urgence informatique (CERT) pour le secteur de la santé », a annoncé Frank Vandenbroucke (Vooruit). En principe, le budget des moyens financiers devrait permettre au secteur de prévenir et contrer les cyberattaques.
Pas d’enjeu politique ?
Le risque cyber d’une ampleur et d’une gravité croissantes reste minimisé par les autorités selon certains experts en IT. Force est de constater que la stratégie politique s’articulait jusqu’à présent autour de trois axes principaux : les promesses budgétaires, les mesures bureaucratiques (avis, circulaires, nouvelles normes, portail d’information) et la communication a minima (pour ne pas dire l’omerta, des cyberattaques préjudiciables étant manifestement passées sous silence).
À ces circonstances interpellantes, s’ajoute le fait que les acteurs de la santé ne sont toujours pas considérés comme des infrastructures critiques telles que les fournisseurs d’énergie ou opérateurs télécom. Et ce même si les données médicales constituent des informations particulièrement sensibles. Et que les paralysies induites par des cyberattaques ont des conséquences sanitaires, en perturbant l’organisation des soins.
Sans compter que Frank Vandenbroucke s’est montré peu affecté par le défi cybersécuritaire depuis sa prise de fonctions. Le ministre fédéral de la Santé avait laissé entendre que face aux attaques informatiques, les hôpitaux n’avaient qu’à se débrouiller seuls. Car « il relève de leur responsabilité de s’informer sur les vulnérabilités de leurs systèmes et d’y remédier si nécessaire ».
D’ailleurs, la cybersécurité n’est pas une seule fois évoquée dans sa récente et longue note de politique générale pour l’année 2022.
Piratage organisé par les autorités
Quiconque peut dès lors s’interroger sur le niveau de sécurité des connexions réseau des hôpitaux et autres prestataires de soins, sur les éventuelles vérifications réalisées, sur l’instance en charge de cette protection.
Dans une réponse parlementaire écrite, le ministre Vandenbroucke a dernièrement dissipé une partie du brouillard entourant la politique en matière de cybersécurité. On y apprend qu’à la demande du SPF Santé publique, l’Institut national d’assurance maladie-invalidité (INAMI) mène un projet pour vérifier si les services offerts par les hôpitaux via internet sont bien protégés.
« Ceci implique qu’un hacker éthique, qui a reçu l’autorisation de l’hôpital, contrôle les accès via internet pour identifier les vulnérabilités et vérifie dans quelle mesure ces vulnérabilités peuvent être exploitées pour perpétrer une attaque », a indiqué le ministre fédéral de la Santé.
Six hôpitaux collaborent à ce projet de piratage contrôlé. Mais vu le caractère confidentiel des données obtenues de cette manière, les rapports présentant les résultats sont uniquement portés à la connaissance de l’hôpital. Un rapport synthétique sera rédigé une fois ce projet terminé.
« Aucune fuite signalée »
Le ministre de la Santé publique a tenu à souligner que, depuis le début de la pandémie de Covid, la Computer Emergency Response Team fédérale (CERT) et le service de sécurité de l’information de la plateforme fédérale eHealth avaient collaboré pour aider les hôpitaux à protéger leurs systèmes informatiques.
« Ces services sont surtout destinés à assurer la prévention au moyen d’un système d’avertissement précoce: les hôpitaux sont avertis quand on détecte des signaux indiquant que leurs appareils pourraient être visés par la cybercriminalité ou quand des comptes de collaborateurs pourraient être compromis. En outre, CERT et eHealth ont collaboré pour avertir de leur propre initiative les hôpitaux, peu importe que ceux-ci soient inscrits ou non à ces services », a exposé Frank Vandenbroucke.
En général, la CERT a remarqué les mouvements inhabituels sur les réseaux et les comptes et en a directement discuté avec les directions hospitalières.
« Aucune fuite de données à caractère médical n’a été signalée », a mis en exergue le ministre fédéral de la Santé.
Des hôpitaux victimes de Microsoft
Il ressort néanmoins des précisions du ministre que plusieurs hôpitaux belges ont été identifiés comme potentielles victimes de la cyberattaque d’Hafnium, le groupe de pirates informatiques qui a exploité des failles de sécurité sur Exchange de Microsoft pour subtiliser des données.
Le hack de Microsoft constitue une bombe à retardement vu l’omniprésence des solutions du géant américain dans l’architecture IT de la Belgique.
Comme le bras cyber du gouvernement fédéral, le CCB, a précisé que la collaboration avec de grands acteurs technos reposait sur la bonne volonté, difficile de garantir la totale protection de nos institutions de soins.
Sans entrer davantage dans les détails, le ministre de la Santé publique a confirmé que la CERT avait dû intervenir auprès d’un hôpital qui a constaté qu’une attaque avait été lancée pendant la remédiation du piratage de Microsoft.
