"Les autorités publiques délaissent la sécurité informatique des hôpitaux"
Le mois d'octobre est synonyme, depuis quelques années, de "mois européen pour la cybersécurité". L'occasion de conscientiser tout un chacun aux dangers liés à l'informatique. Le journal du Médecin saisit l'occasion pour prendre le pouls du Centre hospitalier régional Sambre et Meuse (CHRSM), victime d'un ransomware (logiciel d'extorsion moyennant rançon) le 26 mai dernier. Rencontre avec Stéphane Rillaerts, directeur de l'institution.
Le journal du Médecin: Êtes-vous satisfait de l'appui dont vous avez bénéficié en tant qu'institution de première nécessité, tant de la part de l'APD (Autorité de protection des données), la police fédérale et la Cert (Cyber Emergency Response Team) que des autorités publiques, d'un point de vue davantage financier?
Stéphane Rillaerts: La police, l'APD et la Cert ont été extrêmement rapides, bienveillantes et efficaces. Nous les avons remerciées mille fois pour l'expertise qu'elles ont apportée dès le vendredi matin de la cyberattaque. Elles nous ont aidés à réagir à cette situation, et nous ont épaulés pour détecter les hackers potentiels.
Au niveau financier, nous essayons actuellement d'activer un dispositif qui avait été à l'origine pensé par Rudy Demotte (PS, ministre de la Santé publique de 2004 à 2007, NdlR) suite à la catastrophe de Ghislenghien, pour faire valoir un financement exceptionnel lié à une catastrophe extérieure à l'hôpital. Cela permettrait de justifier des surcoûts particuliers, faute à des événements totalement exceptionnels. Nous ne sommes évidemment pas dans le même cas de figure que la catastrophe de Ghislenghien, et nous n'avons pas de certitude que cette possibilité soit activable. Nous attendons encore une réponse de la part des autorités, mais nous sommes peu optimistes pour le dire franchement. D'autres hôpitaux ont subi le même genre d'avatar, si ce mécanisme était activable, il aurait probablement déjà été sollicité par d'autres institutions.
De manière générale, il est clair que les autorités de santé publique ne prennent pas suffisamment en compte la question de la sécurité informatique des hôpitaux. Nous sommes des cibles privilégiées pour les cyberattaques car nous manipulons des données sensibles. Les moyens que la santé publique accorde aux institutions hospitalières pour l'informatique ne contiennent rien de spécifique pour assurer la cybersécurité.