Bien que l'on prenne de plus en plus conscience de la grande importance de la cybersécurité, les budgets que les soins de santé y consacrent sont trop limités. Une politique structurelle s’impose au sein du secteur, ainsi qu’une plus grande coopération, estime Kurt Gielen.
Kurt Gielen est responsable informatique à l’Hôpital du Limbourg Oriental (ZOL - Ziekenhuis Oost-Limburg) et cumule cette fonction avec celle de CISO (Directeur de la sécurité de l’information). Ce n'est pas vraiment la meilleure configuration. Idéalement, le CISO se tient à l'écart de l'ensemble des activités informatiques et les observe de loin, afin de pouvoir les remettre en question. Cette tension permet de réaliser de grands progrès. Les deux fonctions devraient donc idéalement être séparées.
« Dans le cadre de mon rôle de CISO, j'essaie de sensibiliser les personnes à la cybersécurité. L'informatisation et la numérisation accrues, ainsi que les récents incidents ont accru l'attention portée à la cybersécurité. Dans de nombreuses grandes entreprises, on réalise de plus en plus que le CISO a un rôle important à jouer. Toutefois, dans le secteur des soins de santé, il y a malheureusement encore du travail à faire pour convaincre les directions et les conseils d'administration de l'importance de la cybersécurité », explique M. Gielen. «Actuellement, le directeur de la sécurité de l'information est une fonction que l’on ne rencontre pratiquement pas dans le secteur des soins de santé. »
Êtes-vous confronté à des défis spécifiques en tant que CISO dans un hôpital ?
« Un hôpital est un environnement complexe. Un grand hôpital comme le nôtre est une ville miniature. Nous réalisons toutes sortes d’activités : logistique, transport, informatique, alimentation, soins... Nous traitons des informations et des données hautement confidentielles qui sont en même temps accessibles au public. Tout le monde entre et sort d'ici. De plus, nous avons une base d'employés atypique. En tant qu'indépendants, les médecins ne figurent souvent pas sur les fiches de paie et ils se sentent moins concernés par les politiques de l'entreprise. Mais en même temps, ils jouent un rôle crucial dans le fonctionnement et le financement de notre hôpital. Par ailleurs, nous avons un certain nombre d'employés qui ne travaillent ici que pendant de courtes périodes, comme les stagiaires et les étudiants. »
Votre équipe n'a pas la tâche facile ?
« Pour la tâche à accomplir, nous devons être très prudents avec nos budgets et être sélectifs dans ce que nous faisons et ne faisons pas. Au ZOL, nous travaillons avec une équipe informatique composée d’une petit cinquantaine de personnes qui opèrent et travaillent efficacement à un niveau opérationnel et technique assez élevé. Cela semble tout à fait correct, mais sur un total de 5 000 employés, c'est encore assez peu. Notre équipe est responsable des installations physiques d'un réseau de 4 000 PC répartis sur quatre campus. Nous maintenons des centaines de serveurs dans cinq centres de données différents et nous veillons à ce que des centaines d'applications continuent de fonctionner. »
« Nous travaillons avec des données très critiques, comme je l'ai dit, souvent les données les plus intimes qu'une personne puisse avoir. Et nous devons les protéger avec un budget qui est relativement spartiate, dans un secteur qui est assez immature en termes de cybersécurité. »
Les soins de santé n’ont pas fait suffisamment de progrès en matière de cybersécurité ?
« Malheureusement, la sécurité n'est pas toujours prioritaire en raison des ressources limitées. Aux Pays-Bas, le service informatique d'un hôpital similaire compterait 300 personnes. Dans les hôpitaux régionaux de plus petite taille de notre pays, le service informatique est composé de cinq personnes au maximum. Il est donc évidemment difficile d'élaborer une politique cohérente. Le fait que le rôle de CISO n'existe pas encore dans de nombreux hôpitaux n'aide pas non plus, bien entendu. »
« Je remarque également que chaque hôpital a sa propre politique. Nous faisons tous les mêmes exercices, réinventant la roue à chaque fois, et cela entraîne beaucoup de frais généraux. Afin de créer un soutien dans le secteur, nous devons promouvoir des initiatives en dehors des limites de notre propre hôpital. C'est ce que nous essayons de faire, par exemple, sous l'égide de la Cyber Security Coalition, au sein de laquelle nous avons un groupe de travail spécifique au secteur de soins de santé et quelques plus petits groupes de travail sur des sujets plus particuliers. C’est là que nous tentons d’aligner les pratiques du secteur les unes sur les autres, et c’est là que nous avons trouvé une sorte de forum pour échanger et apprendre de l’expertise de chacun. »
Dans quelle mesure un hôpital prend-il en compte une éventuelle cyberattaque ?
« Nous en tenons compte très activement et investissons une quantité relativement importante de ressources et de temps dans la prévention. Depuis la pandémie de Covid-19, les hôpitaux sont fréquemment victimes de logiciels rançonneurs (ransomware). Ils semblent être une victime facile et l'impact d'une cyberattaque est majeur étant donné que des vies humaines sont en jeu. En outre, les hôpitaux travaillent avec des données très critiques et sont fortement numérisés. Chez nous, chaque processus a une composante numérique, ce qui signifie que les cybercriminels ont de nombreux points d'accès potentiels
« Une cyberattaque est encore trop souvent considérée comme un événement unique. Elle ne débouche pas encore sur une politique structurelle. Nous nous efforçons de mettre en place des techniques de protection appropriées et nous veillons à nous préparer à toutes les éventualités. Toutefois, en tant que secteur, nous sommes encore trop réactifs. Nous travaillons aussi très souvent avec ce que l'on appelle des « systèmes existants » (legacy systems), c'est-à-dire des appareils qui fonctionnent encore avec des logiciels datant d'il y a 20 ans. Il s'agit d’équipements certifiés médicalement auxquels nous ne sommes pas autorisés à changer quoi que ce soit. »
« Heureusement, on prend de plus en plus conscience de la nécessité de prendre des mesures rapides. À cet égard, nous sommes plus actifs que la moyenne des PME. Mais si nous examinons les mesures concrètes ou la mise en œuvre, nous n’en sommes pas encore au niveau des banques, par exemple, même si nous traitons des données tout aussi sensibles.
Quelle évolution vous préoccupe le plus en matière de cybersécurité ?
« D'une part, la complexité de l’ensemble du système. Vous devez vous défendre contre toutes les attaques possibles, vous assurer que tout est bien fermé, alors qu'un attaquant n'a besoin que d'une seule ouverture pour agir. Les solutions sont de plus en plus sophistiquées, mais malheureusement aussi plus coûteuses. Et cela reste quelque chose de très intangible. Quand a-t-on pris suffisamment de mesures ? Et s'agit-il des mesures appropriées ? Cela est très difficile à quantifier et nécessite une grande expertise qui n’est pas encore suffisamment disponible dans notre secteur. Si une attaque se produit et aboutit à ses fins, tout ce que nous pourrons dire, c'est que nous avons fait le maximum conformément aux pratiques actuelles, mais nous devrons néanmoins conclure que cela n'a pas été suffisant. »
« Et ce qui est encore plus préoccupant, c'est la facilité avec laquelle on peut acheter des attaques en tant que service. Tout le monde peut acheter des forfaits d'attaque sur Internet à des prix très bas. La cybercriminalité est un énorme business et, dans l'ensemble, on s'en tire à peu près impunément. »