Cybersécurité hospitalière : une assurance cyber en renfort
BRUXELLES 24/10 - Avec l’entrée en vigueur de la directive Nis 2, les hôpitaux doivent renforcer leur sécurité informatique. L’assurance cyber proposée par AMMA, des assurance pour et par le secteur de la santé en partenariat avec Relyens représente une nouvelle offre en Belgique. Elle pourrait jouer un rôle dans la protection des structures hospitalières. Entretien avec les représentants de cette assurance et Jérôme Massart, directeur du CHRSM site Sambre et Meuse, un des hôpitaux ciblés par une cyberattaque en 2023.
Depuis le 18 octobre, la Belgique a adopté la directive européenne Nis 2, obligeant les secteurs essentiels, y compris les hôpitaux, à renforcer leur sécurité informatique. Les établissements hospitaliers, considérés parmi les plus vulnérables face aux cyberattaques, sont particulièrement ciblés. Chaque année, un hôpital sur dix en Belgique subit une cyberattaque.
En mai 2023, le CHRSM Sambre et Meuse a été victime d'une telle attaque, rejoignant les 11 % d'hôpitaux belges concernés. L'incident a considérablement perturbé son fonctionnement. « Nous étions un peu préparés, et cette attaque a accéléré la mise en œuvre de cyber sécurité , observe Jérôme Massart, directeur du CHRSM Site Sambre et Meuse. « Finalement, cela nous a permis de réaliser en quelques mois ce que nous aurions fait sur plusieurs années. » Des investissements en sécurité informatique étaient déjà prévus, mais l'attaque a précipité la mise en place de mesures renforcées. « Nous avons reconstruit nos serveurs, sécurisé nos systèmes, et installé des dispositifs de monitoring et de gestion des accès beaucoup plus stricts. »
Le fonctionnement de l'hôpital a été gravement affecté
« Nous avons dû couper toutes les connexions externes, plus d'Internet ni de téléphonie. Le personnel a dû travailler en mode dégradé, c'est-à-dire avec des procédures papier et des plans de secours pour assurer la continuité des soins et la viabilité de la structure », explique Jérôme Massart. « Cela a demandé un effort supplémentaire à nos équipes, mais nous avons continué à soigner nos patients. »
Aux soins intensifs, des centrales de surveillance ont été installées sur un réseau local pour pallier l'absence de connexion au réseau central. « Il a fallu faire preuve d'une grande créativité et de réactivité pour permettre à nos équipes de continuer leur travail. » La communication de crise, selon le directeur, a été l'un des aspects les plus difficiles à gérer. « Malgré nos efforts pour être transparents, la longueur de la crise a généré une certaine lassitude. « Nous sommes restés déconnectés longtemps du réseau de santé Wallon par exemple. Les médecins généralistes et même les patients ne comprenaient pas que ça puisse durer aussi longtemps. La communication, même la plus pédagogique, même la plus transparente a ses limites. C'est vraiment la longueur de la crise et la difficulté de reconstruction qui fait qu'à un moment donné, la communication est un des éléments à la fois les plus fondamentaux, mais aussi les plus difficiles à gérer », estime Jérôme Massart.
La directive Nis 2, entrée en vigueur le 18 octobre, vise à renforcer la cybersécurité dans les secteurs critiques, comme les hôpitaux, sous peine d'amendes de 2 % du chiffre d'affaires. Pour le CHRSM, les mesures prises après la cyberattaque contribuent déjà à cette conformité, mais le processus de mise en conformité reste vaste et complexe, constate Jérôme Massart. « C'est un travail conséquent pour tous les hôpitaux, avec des politiques à mettre en œuvre pour la gestion des risques, des incidents et la continuité des systèmes d'information. Un peu comme une accréditation hospitalière mais au niveau de la sécurité informatique », compare-t-il.
Un autre enjeu de taille concerne les dispositifs médicaux, dont les mises à jour sont souvent dépendantes de fournisseurs externes. « Les versions de logiciels sur ces équipements doivent être compatibles avec nos exigences de sécurité. Nous devons nous assurer que tous les flux de communication entre l'hôpital et ces dispositifs externes soient sécurisés. »
Pour faire face à ces risques, les assurances AMMA, en partenariat avec Relyens, un acteur européen de référence en assurances et gestion des risques dans le secteur médical, propose une assurance cyber, une première en Belgique pour le secteur hospitalier. En cas d'attaque, cette assurance offre une assistance immédiate avec des experts en gestion des risques et en communication de crise. « Lorsque les systèmes informatiques sont paralysés, la capacité de l'hôpital à s'occuper des patients est gravement affectée », souligne Frédéric Melle, Chief Product Officer chez AMMA Assurance. « Notre première mission est que l'hôpital consacre son temps et ses ressources aux enjeux de santé. »
Quel est le coût de cette couverture et comment fonctionne-t-elle ?
« Le coût de cette couverture est variable, en fonction de la maturité de chaque hôpital en matière de gestion des risques », explique Dominique Godet, directeur général de Relyens. « Il y a d'abord un audit de la sécurité du système d'information de l'hôpital à travers un questionnaire qui donne une bonne cartographie des risques. Et là, soit l'établissement est directement assurable, soit il reçoit un plan d'adaptation pour rehausser le niveau de sécurité de l'établissement et réduire son exposition ainsi que durcir sa maîtrise des risques. Ensuite, en fonction des capitaux, de la franchise et des caractéristiques de l'établissement, on fait une proposition. »
« Il ne faut pas oublier que la perte d'exploitation quand un établissement est bloqué peut coûter plusieurs dizaines de millions d'euros », relève Dominique Godet. « Réorienter les urgences ou transférer un service vers un autre comporte également des risques humains. On connaît des établissements dans lesquels il y a eu des décès liés à ces opérations. Par ailleurs,quand il faut rappeler tout le personnel en congé pour augmenter la capacité à faire face sans système d'information, revenir au papier, tout cela a un coût. Et au-delà de ces coûts visibles, il y a également les autres pertes, comme le paiement de la rançon si c'est le cas, la perte des données ou encore refaire les examens médicaux quand ils ont été altérés. Ensuite, vous avez l'épuisement du personnel qui arrive en second effet entrainant un deuxième coût. Quand vous additionnez l'ensemble, investir en amont et souscrire une assurance coûtera finalement moins cher. C'est la meilleure prévention dans la gestion des risques et la meilleure réponse à un incident. »
L'investissement du gouvernement dans la cybersécurité
« Il existe une enveloppe pour la cybersécurité prévue pour les hôpitaux depuis 2022, mais par rapport au coût d'investissement que cela représente, c'est totalement insuffisant », souligne Jérôme Massart. « On nous pousse à nous informatiser beaucoup plus vite que nous n'avons les moyens de nous sécuriser finalement. C'est un peu l'équation dans laquelle on se trouve. Il y a un sous-financement structurel des hôpitaux qui concerne aussi la cybersécurité et les investissements informatiques. Il est difficile de dissocier les deux et d'isoler la cybersécurité seule. » « Cependant, investir dans la cybersécurité est très important », soutient-il. « Ce sont des investissements au service de la sécurité des données médicales, et finalement de la qualité du travail qu'on offre à nos équipes et à nos patients. »
Pour AMMA et Relyens, cette aide de l'Etat est une bonne chose, mais représente une solution dans l'assistance. « Si un hôpital est attaqué, la couverture que l'on propose permettra d'indemniser ce qui doit être fait. Ce qui ne sera pas possible au niveau national. L'autre avantage de cette assurance est la préparation en amont », soulève Frédéric Melle.
Selon Jérôme Massart, cette assurance pourrait être intéressante pour les hôpitaux, « mais il faut voir à quel prix, basé sur quelle analyse de risque et le degré de couverture. »
