...

La fédération hospitalière Santhea rappelle à quel point le secteur hospitalier et des institutions de soins est "vulnérable dans un contexte où le nombre et le degré de sophistication de ces menaces d'un genre nouveau ne fait que croître. Affaiblis plus que jamais financièrement et en termes de personnel par la crise sanitaire, dépourvus de subsides pour se prémunir face aux cyber-risques et privés du statut d'organismes essentiels à protéger, les hôpitaux représentent aujourd'hui une cible de choix pour les pirates qui écument l'internet. Faute de mesures et d'un financement structurel adéquat, c'est toute notre système de soins de santé qui risque de sombrer.""Cette nouvelle attaque de hackers contre l'un des hôpitaux de notre pays (Vivalia, NDLR) n'a hélas rien d'étonnant lorsqu'on connaît la situation budgétaire catastrophique dans laquelle ceux-ci se retrouvent actuellement. Déjà affaiblis financièrement avant la crise sanitaire, celle-ci n'a fait que renforcer leur vulnérabilité, dans un contexte où ils ne bénéficient d'aucun subside, fédéral ou régional, pour se prémunir contre des cyber-risques pourtant de plus en plus nombreux et sophistiqués. Plus interpellant encore, nos hôpitaux ne sont même pas considérés à l'heure actuelle comme l'une des catégories de structures essentielles à protéger des pirates du web, ce statut leur étant refusé par les décideurs politiques belges", souligne Yves Smeets, directeur général de Santhea. Pour contextualiser, Santhea rappelle l'adoption en 2016 de la Directive européenne NIS (Network and Information System Security) visant à assurer un niveau de cybersécurité élevé et commun pour les réseaux et les systèmes d'information de l'Union européenne. Transposée en droit belge en 2019 seulement, elle impose une série d'obligations aux opérateurs de services essentiels (OSE) - identifiés comme tel par chaque autorité sectorielle nationale - en vue de mettre en place un système de gestion de la sécurité de l'information basé sur les normes ISO 27001/27002. "En tant qu'autorité sectorielle, le SPF Santé publique devait identifier les premiers OSE pour le 3 novembre 2019. Cependant, celui-ci n'a pas procédé à cette identification, privant ainsi le texte de ses effets dans le secteur des soins de santé. Une erreur qui n'a pas échappé aux yeux de la Commission européenne, celle-ci l'ayant pointée dès le 30 octobre 2020, parmi d'autres manquements de la Belgique en matière de mise en conformité à la Directive NIS."Pour Santhea, face aux nombreuses cyberattaques (Chwapi, CHR Haute Senne, Clinique Sain-Luc...) dont le secteur a fait les frais dernièrement, il est essentiel et indispensable de définir un périmètre d'application de la directive et de la loi belge NIS dans le secteur de la santé, ainsi qu'un budget annuel structurel suffisant pour permettre la mise en oeuvre de cette réglementation et, plus largement, d'une politique de cybersécurité de qualité au sein des institutions de soins. La fédération estime que les 20 millions promis en 2022-2023 par le ministre des Affaires sociales et de la Santé publique pour renforcer leur niveau de cybersécurité ne peuvent pas rencontrer les besoins actuels. "Ainsi, selon une enquête récemment menée dans les hôpitaux flamands, le coût moyen qu'engendrent les efforts nécessaires en termes de cybersécurité serait passé de 368 euros par lit en 2019 à 484 euros par lit en 2020. En extrapolant ces chiffres, on arrive à un coût annuel de plus de 24 millions d'euros pour l'ensemble des hôpitaux généraux et psychiatriques belges. L'adaptation de leur niveau de maturité au niveau de cybermenace actuel et futur nécessiterait par conséquent un financement structurel. Faute de quoi, le risque encouru par les hôpitaux et leurs patients ne fera que se renforcer avec le temps", prévient Santhea. Santhea demande aux autorités de prendre la mesure de l'urgence en la matière, avant que ne survienne le premier décès belge imputé officiellement à une cyberattaque. Ce qui est arrivé à une patiente de l'hôpital universitaire de Düsseldorf en septembre 2020.