Logo Parlement Buxellois

Question écrite concernant le suivi de la question de la cybersécurité des hôpitaux de la Région bruxelloise

de
Jonathan de Patoul
à
Elke Van den Brandt et Alain Maron, membres du Collège réuni en charge de l'action sociale et de la santé (question n°694)

 
Date de réception: 17/03/2023 Date de publication: 28/04/2023
Législature: 19/24 Session: 22/23 Date de réponse: 18/04/2023
 
Date Intitulé de l'acte de Référence page
21/03/2023 Recevable
 
Question    Le lundi 13 mars 2023, le CHU Saint-Pierre a été victime d’une cyberattaque le paralysant pendant plusieurs heures. Lors de la Commission de la santé et de l’aide aux personnes du 3 février 2022, je vous avais posé une question de suivi à propos de la cybersécurité des hôpitaux. Vous m’aviez alors répondu que les hôpitaux renforçaient déjà d’eux-mêmes leur cybersécurité.

  1. Avez-vous des chiffres concernant le nombre de cyberattaques dans les hôpitaux bruxellois pour l’année 2022 ? Concrètement, comment les hôpitaux renforcent-ils leur cybersécurité ? Quels sont les moyens mis en œuvre par la Région pour accompagner un hôpital lors d’une cyberattaque ? Dans le cas de la cyberattaque du CHU Saint-Pierre, des moyens ont-ils été mis en œuvre pour accompagner l’hôpital ?

  1. Dans votre précédente réponse, vous m’expliquiez également être sur le point de signer un protocole d’accord « chargeant l’administration fédérale de proposer une adaptation des exigences du plan d’urgence hospitalier pour tenir compte, notamment, des leçons à tirer de la pandémie et du risque grandissant de cyberattaques”. Ce protocole a-t-il été signé ? Si oui, qu’en est-il des adaptations proposées en termes de prévention des cyberattaques ?

  1. Vous m'aviez dit que votre objectif était que le réseau informatique en santé obtienne le label ISO 27001. Où en êtes-vous par rapport à l'acquisition de ce label ? Des hôpitaux l’ont-ils obtenu ? Si oui, lesquels ?

  2. Enfin, en exécution de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, pouvez-vous nous confirmer que chaque établissement de soins bruxellois est bien doté d'un plan de sécurité contenant des mesures générales pour faire face, entre autres, aux éventuelles cyberattaques ?
 
 
Réponse    Je vous remercie pour votre question.

Cependant, je me permets de vous renvoyer à notre réponse à la question orale de Monsieur Coomans de Brachène en commission Social Santé le 30/03/2023.

« Je suis régulièrement interrogé ici sur ces cyber-attaques envers les hôpitaux car chaque fois qu’il y en a une cela marque les esprits et imaginer qu’un hôpital soit complètement bloqué par une telle attaque est effrayant.
Toutefois, au fur et à mesure des questions posées et des réponses apportées dans cette assemblée vous pourrez observer que la situation semble s’améliorer.
La dernière fois, c’était en février 2022, Monsieur de Patoul m’interrogeait suite aux attaques du CHWAPI à Tournai fin 2021. Celle-ci avait paralysé l’informatique de cet hôpital tournaisien durant plusieurs semaines et il a mis 6 mois pour revenir à ses pleines capacités.
En 2022 il y a donc eu de nouvelles attaques, dont celle de Vivalia en province de Luxembourg qui a paralysé toutes ces activités durant quelques jours et puis il a fallu 3 mois pour revenir à pleine capacités.

Vous évoquez les Cliniques de l’Europe mais je n’en ai pas été informé.
Lors d’une enquête réalisée auprès des hôpitaux par la COCOM en septembre 2021, ceux-ci avaient confirmé à l'Administration que depuis plusieurs années ils renforçaient leur cybersécurité et mettaient en place des mesures de sécurité spécifiques pour la renforcer. Depuis 2023 le fédéral a augmenté le budget d’informatisation des hôpitaux à raison de 200 millions € par an (ce qui fait environ 100 k € par hôpital) afin qu’ils améliorent leur cybersécurité et la communication avec les professionnels de première ligne.


Les hôpitaux font très régulièrement l’objet de campagnes de phishing ciblées qui sont de plus en plus difficile à détecter et qui se termine parfois par une demande de rançon souvent irréaliste et non-honorée par l’hôpital. Certains ont également déjà été soumis à une cyberattaque plus ciblée et sérieuse, aussi avec demande de rançon. Les contrôles et actions nécessaires ont été pris et il n’y a pas eu de perte de données ces dernières années pour les hôpitaux bruxellois. Je ne pourrai pas vous donner plus de détails car les hôpitaux sont très discrets, comme la plupart des entreprises d’ailleurs, sur ce sujet délicat tant qu’il n’y a pas d’impact important sur leurs activités médicales et de soins.
Début 2022 dans le cadre de la CIM Santé Publique nous avons signé un protocole d’accord chargeant l’administration fédérale de proposer une adaptation des exigences du Plan d’Urgence Hospitalier (PUH) pour tenir compte notamment des leçons de la pandémie mais également de la menace grandissante de cyber-attaques. Quand ce travail sera abouti, on le planifie pour 2024, lorsque les services d’inspections de la COCOM vérifieront la bonne préparation des hôpitaux en matière de PUH, ils pourront également vérifier les critères relatifs à la protection contre la cybercriminalité.


En attendant, certains hôpitaux ont déjà anticipé cette exigence future du Plan d’Urgence, c’était le cas du CHU St Pierre dont vous évoquez la mésaventure ce mois-ci. Celui-ci avait déjà mis en place l’année dernière un plan de réaction et d’adaptation en cas de cyberattaque. Vous aurez pu remarquer qu’il a été très efficace : les urgences ont été fermées quelques heures, les applications informatiques durant moins de 24h, des supports papiers étaient déjà prêts pour les soignants au cas où, puis tout est revenu dans l’ordre en moins de 48h alors que c’était durant un week-end.
On est loin des dégâts causés pendant plusieurs mois sur des hôpitaux non-préparés comme Vivalia l’année dernière… on peut, je pense, être assez fiers et reconnaissants envers nos hôpitaux bruxellois qui semblent mieux armés et préparés que d’autres.


Pour terminer, en dehors des hôpitaux, sur lesquels nous n’avons donc pas beaucoup de marge de manœuvre en matière de sécurité informatique, nous subsidons l’asbl Abrumet qui assure l’hébergement et l’échange de données entre les hôpitaux et les autres acteurs de santé. Dans le cadre de ce financement dès le début de la législature nous leur avons indiqué que la sécurité du réseau était notre première priorité. Le projet est que notre réseau informatique en santé obtienne le label ISO27001 qui inclut la simulation et résistance à des attaques. »


En complément à ces informations apportées en commission le 30/03 dernier je peux également vous préciser les derniers éléments suivants :
- Suite à la signature du protocole d’accord en CIM santé Publique, un groupe de pilotage et des groupes de travail avec experts et représentants des hôpitaux ont été mis en place, dont un sur la préparation et un autre sur la riposte aux cyber-attaques. C’est le fédéral qui anime ces groupes de travail. On en attend les résultat donc pour 2024.
- Pour ce qui est du label ISO27001 c’est bien pour Abrumet et pas pour les hôpitaux comme vous l’évoquez dans votre question. Abrumet est le coffre-fort santé des données des médecins généralistes bruxellois et l’aiguilleur des médecins et des patients qui souhaitent retrouver dans quel hôpital sont conservées leurs données de santé.
- En application de la Loi du 01/07/2011 relative à la sécurité et la protection des infrastructures critique chaque hôpital peut disposer en effet d'un plan sécurité contenant des mesures générales et spécifiques mais qui reste strictement confidentiel.