La cybercriminalité affiche une forte recrudescence, avec des piratages de plus en plus grands et sophistiqués. Nos hôpitaux, dont l’infrastructure critique reste souvent liée à internet, constituent des cibles de prédilection pour les hackers. Surtout que, selon les explications données par Frank Vandenbroucke (Vooruit), les autorités belges semblent vouloir décliner toute responsabilité.
Depuis le début de la crise sanitaire, l’autorité nationale en charge de la cybersécurité en Belgique (CCB) a répété les mises en garde contre les attaques informatiques. Des attaques pouvant s’abattre n’importe où, sur un hôpital ou même un laboratoire de tests corona.
L’équipe fédérale d’intervention d’urgence en cybersécurité (CERT) n’a pas pour autant sorti l’artillerie lourde et a simplement adressé aux hôpitaux belges une sorte de guide de bonnes pratiques.
Recourir à des connexions VPN, travailler avec des droits d’administration limités, procéder à des mises à jour et sauvegardes régulières ou encore enseigner à l’ensemble des collaborateurs les règles ‘d’hygiène numérique’.
Pour combattre les cybermenaces, les services fédéraux ont par ailleurs élaboré un portail, wehelpourhospitals.be, regroupant des entreprises spécialisées en cybersécurité qui mettent volontairement leur expertise à disposition. Jouant de malchance, l’un des participants de cette plateforme, le prestataire américain FireEye, a été récemment victime… de piratage.
Les bras croisés ?
On en vient à se demander si des audits de sécurité ont été proactivement effectués dans les hôpitaux belges afin d’au moins réduire le risque de cyberattaques.
Interrogé à ce propos par le parlementaire Steve Matheï (CD&V), le ministre de la Santé publique a indiqué par écrit sans plus de détails que l’Inami était chargé d’effectuer des tests de pénétration sur les liaisons internet de plusieurs hôpitaux.
Avant de soulever un point délicat concernant les infrastructures critiques de nos institutions de soins.
‘Pour des raisons d’efficacité, la plupart des hôpitaux utilisent des processus intégrés qui nécessitent l’échange de données, et donc un couplage, entre les différents systèmes médicaux et informatiques. C’est pourquoi une déconnexion de l’infrastructure critique n’est pas toujours souhaitable’, a exposé le ministre Frank Vandebroucke (Vooruit). Même chose au point de vue de la connexion internet.
À l’instar de la lasagne institutionnelle belge, chaque hôpital dispose d’appareils et d’architecture de réseau qui lui sont propres. Alors pour limiter le risque d’incident, le ministre de la Santé publique précise qu’une mesure concrète a été prise depuis 2019 : définir des normes minimales de sécurité.
En attendant l’incident
D’avis d’experts indépendants en IT, il est légitime de reprocher un certain attentisme aux autorités belges qui semblent répondre à un ‘risque cybersécuritaire’ d’une gravité croissante uniquement par la voie bureaucratique. À coups d’avis de SPF, de normes de délégués en protection, de portail d’information.
D’ailleurs, le ministre fédéral de la Santé souligne que les hôpitaux sont informés d’un risque spécifique pour eux uniquement lorsque le besoin s’en fait sentir. ‘Lorsque cela est nécessaire et jugé pertinent, un message est envoyé pour leur signaler de possibles vulnérabilités de l’infrastructure IT ou d’application’.
Mais surtout ‘il n’existe aucune instance centrale qui surveille les mises à jour de sécurité et les correctifs devant être effectués par les hôpitaux’, indique Franck Vandenbroucke.
Impossible donc pour les autorités de quantifier les mises à jour et les correctifs de sécurité, de préciser s’ils sont effectués à temps, de savoir de quelle manière et à quelle fréquence des contrôles sont organisés.
‘Il relève de la responsabilité des hôpitaux de s’informer auprès de leurs fournisseurs ou d’autres sources sur les vulnérabilités de leurs systèmes et d’y remédier si nécessaire’, estime le ministre socialiste flamand.
La stratégie des autorités repose sur la collaboration entre responsables des différents hôpitaux, sur le partage des informations quant aux risques et solutions possibles.
‘C’est uniquement de cette manière qu’un équilibre peut être atteint entre sécurité de l’information, disponibilité de la prestation de services et maîtrise des coûts’, assure Franck Vandenbroucke.
François Remy.
