Hôpitaux: un financement cybersécurité essentiel mais loin d’être assuré

Hors-cadre
Par · 10/11/2021

Hôpitaux “exsangues”, suite au Covid-19. Pour cause non seulement d’épuisement humain mais aussi pour cause de finances qui ne se sont évidemment pas améliorées. Bien au contraire.

Le cercle semble d’ailleurs vicieux: abandons de carrières, fermeture d’unités de soins par manque de personnel, perte de fréquentation, dégradation des chiffres sur lesquels repose le financement public…

Dans le même temps, les domaines dans lesquels investir son légion. La (cyber-)sécurité figure parmi eux. Mais il faudra souvent choisir. “Entre deux infirmières et un DPO ou un RSSI (responsable sécurité du système d’information), le choix sera sans doute vite fait”, estimait par exemple Philippe Costard, conseiller en sécurité de l’information auprès de l’association Santhea, lors de l’édition 2021 du séminaire Patient numérique.

Bien que devant objectivement être considérés comme des “opérateurs de services essentiels” (OSE), les établissements hospitaliers belges ne sont pas encore obligés (légalement) de mettre en oeuvre les mesures techniques et organisationnelles prévues dans le cadre de la directive européenne NIS II (Network and Information Security), pourtant transposée en droit belge au début 2019.

Une question de temps?

“Si on impose le respect des règles et contraintes NIS II, comment les financer?”, se demandait notamment Jacques Rossler, CIO de l’hôpital Erasme lors d’une récente session d’information organisée par Orange Cyberdefense. “Si l’obligation n’a pas encore été décidée [par les autorités fédérales], c’est sans doute parce que l’Etat n’est pas prêt à assurer le financement.”

Relire notre article d’hier sur les conséquences et les enseignements de la cyber-attaque dont a été victime le Centre hospitalier de Wallonie picard (CHwapi) au début 2021. Parmi bien d’autres… Des enseignements qui dépassent largement le contexte du secteur hospitalier.

D’une manière générale, la prise de mesures de cyber-sécurité (renforcement des infrastructures mais aussi des compétences internes, procédures d’audit et de suivi au long cours, surveillance SOC…) est un investissement lourd, difficilement – le mot est faible dans nombre de cas – supportable pour les hôpitaux.

“Gare d’ailleurs au saupoudrage si le fédéral décide malgré tout de financer. Ce ne sont pas quelques milliers d’euros par hôpital qui feront l’affaire”, insiste Jacques Rossler. Qui propose donc une petite idée: mutualiser les besoins en cyber-surveillance et cyber-réponse. “Un service qui se situerait quelque part entre un CISO [chief information security officer] et un DPO [data protection officer], pris en charge pour tous les hôpitaux, éventuellement au niveau régional ou loco-régional…

Il serait également intéressant, au niveau gouvernemental [fédéral], de prévoir une aide ou une prise en charge de ce genre d’initiative. Pourquoi pas un ou deux SOC santé pour la Belgique? Mais rien ne dit que l’Etat trouvera un SOC plus que nous ne le pouvons nous-même. D’où l’idée a minima d’un support organisationnel de l’Etat afin de faire monter globalement le niveau de sécurité de tous les hôpitaux belges.”

Pour à la fois rassurer les autorités fédérales ou renforcer le dossier de demande d’aide et faire en sorte que les hôpitaux s’engagent dans un processus d’amélioration, Jacques Rossler imagine “un modèle à la BMUC” [Belgian Meaningful Use Criteria, liste validée de fonctionnalités réellement présentes dans les systèmes DPI déployés par les hôpitaux]. 

Le principe serait de conditionner le financement “cyber-sécurité” fédéral à l’existence d’une preuve que l’établissement hospitalier s’est engagé dans certaines mesures concrètes (audit, renforcement des mesures…). Preuve qui serait apportée par un audit indépendant, “qui, lui, serait financé par l’Etat”.

Jacques Rossler est loin d’être le seul à faire un appel du pied et à proposer le concours actif, dans la mesure de leurs possibilités, des établissements hospitaliers. En début d’année, Didier Delval, le directeur général du CHwapi, déclarait par exemple: “Oui, le CHwapi a retenu la leçon et a pris et continuera de prendre les mesures nécessaires mais, dès l’instant où un hôpital est considéré comme un “opérateur de services essentiels” (OSE), il doit aussi bénéficier des moyens financiers nécessaires pour être en mesure de se conformer aux normes.”