Face au récent vol de données des hôpitaux belges de Vivalia, la question est de savoir comment la Santé peut se préserver d'une cyberattaque de cette ampleur.

Comment le Luxembourg protège ses hôpitaux des cyberattaques

L'information a fait la une de toute l'actualité en Belgique et même au-delà, nous l'évoquions même sur notre site web il y a quelques jours. L'intercommunale de soins Vivalia, gérant les hôpitaux de la province belge de Luxembourg, a été victime d'une cyberattaque d'ampleur. Celle-ci a entraîné un blocage massif des hôpitaux et maisons de repos gérés par la structure. Au total, selon l'agence Belga, près de 200 serveurs informatiques et 1.500 ordinateurs sont concernés.

L'attaque a, dans un premier temps, complètement chamboulé le planning médical et a forcé le personnel à déprogrammer la quasi-totalité des opérations non urgentes. Selon le dernier point réalisé par Vivalia sur l'évolution de la situation, plusieurs centaines d'ordinateurs ont pu être récupérés et «intégrés en zone propre». «La capacité d’accès au dossier médical des patients s’élargit avec l’installation progressive de nouveaux ordinateurs dans les sites, cette progression est liée au rythme imposé par les conditions de sécurité. Dans les labos, en moyenne pour nos 3 sites, plus de 50% des capacités fonctionnelles internes ont été restaurées.»

400 gigas de données confidentielles volées

Cela n'est toutefois qu'une partie du problème. En effet, la cyberattaque a été revendiquée par un gang de «ransomware» (logiciel rançonneur, NDLR) nommé Lockbit. Dans un message adressé à Vivalia, le groupe de hackers a expliqué être parvenu à subtiliser pas moins de 400 gigaoctets de données, tout en réclamant une rançon à l'intercommunale afin que ces informations confidentielles (patients et leurs maladies, personnel,...) ne finissent pas à la vue de tous sur le net.

Les pirates informatiques, qui avaient initialement posé un ultimatum pour ce jeudi, ont finalement laissé à Vivalia un délai supplémentaire de deux jours afin de s'acquitter de la rançon. Reste à savoir si l'intercommunale se pliera aux exigences des hackers.

Le cas de Vivalia n'est pas extraordinaire, plusieurs autres structures du monde entier doivent continuellement faire face à différentes attaques informatiques, y compris au Luxembourg. Toutefois, il s'agit ici d'un service public et le fait que la sécurité informatique des hôpitaux, censée être irréprochable, était en réalité défaillante soulève bon nombre de questions. À l'échelle du Grand-Duché, une attaque similaire pourrait-elle avoir lieu?

Le risque zéro n'existe pas

Interrogé sur le sujet, le ministère de la Santé nous explique que le risque zéro n'existe pas. «Nul n’est protégé contre une potentielle cyberattaque. Toutefois il s’agit de mitiger le potentiel et l’impact d’une attaque par des mesures de protection et détection. On ne sait pas quand cela pourrait arriver et il s’agira de minimiser les impacts éventuels par des mesures de sensibilisation et de prévention quant aux risques existants dans un contexte de données sensibles», nous dit-on.

A en croire le ministère, des plans existent d'ailleurs au cas où des hackers parviendraient à faire main basse sur des données sensibles en provenance des hôpitaux luxembourgeois. «Les hôpitaux disposent de plans pour la gestion des différents risques qui peuvent apparaitre. Dans ce contexte, les plans de maintien de l’activité sont cruciaux en cas de panne éventuelle. La règlementation en vigueur oblige les acteurs à respecter un certain nombre de règles de sécurité nécessaires à la protection des réseaux, afin, notamment de garantir, la gouvernance, la protection et la défense des réseaux et systèmes d’information ainsi que d’assurer la résilience de leurs activités».

Plusieurs mesures de prévention

On l'a compris, les hôpitaux luxembourgeois semblent prêts à faire face. Il n'empêche que la sécurité des données des patients ainsi que du personnel doit être garantie.

Là encore, le ministère nous assure que des mesures de sécurité sont en place, sans entrer davantage dans le détail. «Cela dit, on peut citer des mesures concrètes comme la sauvegarde régulière des données. L'idée est de se prémunir efficacement contre les menaces tout en respectant les dispositions de la réglementation applicable. En cas d'attaque, il faut pouvoir réagir à celle-ci tant d’un point de vue technique que d’un point de vue juridique (activation de l’assurance, notifications, information des personnes, communication de crise, gestion des responsabilités des prestataires, etc.).»

D'un point de vue plus technique, nous ne saurons pas comment les hôpitaux sont protégés. Nous apprendrons toutefois que les structures de soins luxembourgeoises se sont concertées au niveau sectoriel et avec le soutien d’un expert mandaté par le ministère de la Santé. «Elles participeront d'ailleurs prochainement à un exercice Cybereurope 2022 pour tester la réponse à de tels types d’incidents», précise le ministère de la Santé.

Ce dernier précise d'ailleurs qu'à l'instar des autres acteurs économiques, les hôpitaux reçoivent de manière ponctuelle des tentatives de phishing (technique pour subtiliser des données personnelles, NDLR). «Les conséquences ont toujours été limitées, fort heureusement, mais celles-ci ont causé des travaux de suivi opérationnels dans les services concernés. »

