Carte blanche
Les hôpitaux ont un grand besoin de support pour se protéger contre les cyber-attaques
Des moyens supplémentaires doivent être dégagés pour le secteur des soins de santé afin qu’il se protège contre une potentielle cyber-attaque. A l’heure actuelle, les hôpitaux et institutions de soins sont trop vulnérables aux cyber-menaces, ce qui peut avoir de lourdes conséquences. Tel est en substance le message de Marc Noppen (CEO de l’UZ Brussel), Fritz Defloor (COO de l’AZ Alma) et Tom Decaluwé (COO d’Orange Cyberdefense).
Les soins de santé intéressent tout le monde. Voilà pourquoi il est particulièrement important que ce secteur mise sur la cyber-sécurité. Non seulement pour protéger les données mais également pour garantir sa continuité opérationnelle. En tant qu’hôpital, vous n’avez nulle envie de vous retrouver victime d’un black-out suite à une cyber-attaque. L’année dernière, l’hôpital universitaire allemand de Düsseldorf a dû déplorer un premier décès lié à une attaque par rançongiciel. Lorsque les soins aux patients sont mis en danger en raison d’une cyber-menace, c’est toute la vulnérabilité des hôpitaux qui devient dramatiquement évidente.
Autosubsistance en cas de black-out
Il est crucial, dans l’éventualité d’un black-out provoqué par une cyber-attaque, que les hôpitaux puissent continuer à fonctionner. Raison pour laquelle le comité de direction de l’UZ Brussel a planché sur un plan d’urgence voici quelques années. L’hôpital a cherché à évaluer l’impact d’un black-out et en est arrivé à la conclusion que des morts seraient à déplorer. L’UZ Brussel a alors initié le développement d’un système dont la prise fut littéralement débranchée. L’hôpital a pu opérer en auto-suffisance pendant cinq jours.
De l’importance vitale de la protection des données dans les hôpitaux
Une panne potentielle ne constitue pas le seul risque qu’encourent les hôpitaux. Les risques sont également nombreux en matière de protection des données. Les hôpitaux sont vulnérables. Leur fonctionnement quotidien dépend du numérique. Cela présente bien entendu des avantages : avant l’ère numérique, tous les dossiers étaient complétés sur papier, au stylo, ce qui augmentait le risque de voir se perdre d’importantes données ou d’ouvrir la voie à des utilisations inopportunes. Des chariots bourrés de documents contenant des informations confidentielles traînaient littéralement des heures durant dans les couloirs. La transformation numérique a permis de mieux gérer et protéger ces données, même s’il est nécessaire de consentir d’importants investissements en cyber-sécurité. Les hôpitaux doivent tendre vers le “zéro risque”… même la possibilité d’une cyber-attaque ne peut jamais être écartée. Aucun système n’est en effet totalement étanche. Il convient par contre de placer la barre nettement plus haut.
La transparence d’abord
Qu’arriverait-il si des données de patients devaient malgré tout être offertes en pâture suite à une cyber-attaque ? Dans un tel cas, il importe avant tout de faire preuve d’un maximum de transparence. Les hôpitaux se doivent de faire preuve d’intégrité. Pour rendre cette transparence possible, les hôpitaux doivent être en mesure de tout vérifier. Qui a accès aux répertoires de connexion ? Qui s’est connecté, où et à quel moment ? Il revient à l’hôpital de conserver une vision globale, complète, de toutes les données numériques qui sont générées et utilisées. Pour la direction, il s’agit là d’un difficile équilibre entre ouverture et vulnérabilité. Lorsque l’hôpital se transforme en victime d’une cyber-attaque, il est important d’en informer les patients et les partenaires de manière transparente. Même si l’on court alors le risque d’afficher sa vulnérabilité aux yeux d’autres cyber-criminels.
Davantage de moyens pour la cyber-sécurité
Leur devoir est de soutenir toute une série de choses. Et la cyber-sécurité en fait partie. Ils en ont d’ailleurs conscience. C’est ainsi que le ministre de la Santé, Frank Vandenbroucke, promet que des budgets seront libérés par l’Europe pour assurer le support numérique et la cyber-sécurité des hôpitaux. Et c’est un fait que la lutte contre la cyber-criminalité nécessite davantage de moyens. A l’heure actuelle, les hôpitaux disposent de budgets insuffisants pour se doter d’une sécurité informatique valable, à plus forte raison pour se doter d’un DPO à plein temps. Les ressources financières leur font souvent défaut. Les pouvoirs publics peuvent changer les choses en conférant un caractère essentiel à la cyber-sécurité dans le secteur des soins de santé. En cas de cyber-catastrophe majeure, les pouvoirs publics devraient également pouvoir mettre des spécialistes à disposition.
La technologie, à elle seule, ne protège pas
Dans la lutte contre la cyber-criminalité, la technologie n’est pas la seule arme disponible pour les hôpitaux. Il leur faut également miser davantage sur les personnes qui sont au contact avec les données. Souvent, le personnel n’a pas suffisamment conscience de l’importance qu’il y a à mettre en oeuvre une protection de données adéquate. Les individus sont souvent le maillon faible qu’exploitent les cyber-criminels. Il convient dès lors de veiller à instaurer un bon état d’esprit. Comment travailler en ligne en toute sécurité ? Comment protéger ses données ? Une évaluation des risques, une préparation rigoureuse et de la prévention en ligne constituent déjà les premiers pas vers une cyber-sécurité robuste.
Tom Decaluwé (COO, Orange Cyberdefense)
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici