Cybercriminalité: les hôpitaux sont des cibles privilégiées
Le gouvernement lutte contre la cybercriminalité depuis plusieurs années déjà. En 2021, ses priorités étaient le développement d'une 'toolbox' Incident Response Planning, une meilleure coopération avec le Centre pour la cybersécurité et l'exploration des possibilités de piratages éthiques et de tests de pénétration. Où en est-on?
Les "besoins les plus importants" ont été exprimés au début de l'année 2021 dans le cadre d'une enquête menée à la suite de cyberincidents survenus au laboratoire AML et dans deux hôpitaux, le Chwapi et l'AZ Mol.
Boîte à outils
Des mesures ont également été prises dans un certain nombre de domaines. Par exemple, une "boîte à outils" a été mise à disposition pour fournir des informations au délégué à la protection des données (DPO) et aux services de sécurité de chaque hôpital ou laboratoire. La boîte contient du matériel spécifique et des informations du Centre pour la cybersécurité (CCB) et des groupes de travail spécialisés. Une manière d'augmenter la sensibilisation du personnel hospitalier à cette problématique.
Afin d'élaborer un plan de réponse aux incidents, le gouvernement a mis en place un groupe de travail. Le résultat est un ensemble d'informations qui a été publié dans la "boîte à outils". Du matériel provenant du CCB a également complété ces données. L'attention a été attirée sur des points spécifiques, par exemple en ce qui concerne les ransomwares (rançongiciels, NDLR).
En mars 2020, au début de la crise sanitaire, il est apparu que les hôpitaux sont une cible privilégiée des cybercriminels. Après tout, leur importance sociale est élevée et ils sont donc plus susceptibles de succomber aux pirates. Pour aider le secteur, les liens avec le CCB ont été renforcés. Ainsi, en coopération avec la plateforme eHealth, le CCB a étendu son offre d'"alerte précoce" aux hôpitaux. Depuis 2021, les hôpitaux sont également alertés lorsque des informations pertinentes sont disponibles auprès d'autres sources. La coopération avec des organisations privées pendant la crise sanitaire a notamment permis de créer le site web www.wehelpourhospitals.be.
Normes de sécurité
En outre, le département de sécurité de la plateforme eHealth a mis en place un groupe de travail sur "sécurité de l'information pour les Data Protection Officers (DPO) des hôpitaux", qui concerne non seulement la sécurité de l'information mais aussi sur la protection des données. Des groupes de travail distincts sur des sous-thèmes sont proposés. Ils sont facultatifs.
En se basant sur la norme ISO 27002, par exemple, le groupe de travail a établi un ensemble de normes de sécurité minimales en 2019. Les DPO ont ensuite sélectionné des mesures. Un an plus tard, le comité a élaboré et publié des lignes directrices avec des outils pour mettre en oeuvre les normes. Naturellement, elles sont régulièrement mises à jour. En 2021, le groupe de travail a analysé l'attaque contre le Chwapi et a partagé des éléments avec les hôpitaux pour favoriser l'apprentissage.
Maturité
Récemment, le gouvernement a demandé aux hôpitaux s'ils appliquent également les mesures sur la base des directives émises. Le groupe de travail a élaboré un questionnaire, à remplir pour la mi-septembre au plus tard. L'objectif est de mesurer la "maturité" dans le domaine de la cybersécurité et de fournir un "outil d'auto-évaluation". Il permet de faire évoluer la "maturité" de la sécurité de l'information par le biais d'un plan d'action. Cette enquête va donner au gouvernement un état des lieux. Si cela s'avère nécessaire et souhaitable, cette démarche permettra de développer des services centraux que les hôpitaux peuvent utiliser de manière simple et rentable.
Il va sans dire que les hôpitaux individuels ne doivent pas attendre ce bilan de leur maturité pour affiner ou souligner les points d'action à entreprendre dans un contexte de réseau hospitalier.