Pourquoi avoir créé SHIELD asbl il y a deux ans ? Et quelle est précisément votre mission ?
Kurt Gielen : « SHIELD est l’acronyme de Service Hub pour IT Expertise au Limburg et en Dehors. À notre création, en novembre 2023, notre ambition était de collaborer avec l’ensemble des hôpitaux limbourgeois. Mais il est rapidement apparu que des établissements situés hors de la province souhaitaient eux aussi bénéficier de notre soutien. Aujourd’hui, nous comptons plus de cent membres : des hôpitaux, des institutions de soins, mais également de hautes écoles et des universités. Nous opérons en Flandre, à Bruxelles et en Wallonie.
À partir d’avril 2027, les hôpitaux devront répondre aux exigences rigoureuses de la législation européenne en matière de cybersécurité. Ils savent pertinemment qu’ils ne réussiront pas seuls. Conscients de ce défi, ils optent volontairement pour une démarche collective et font appel à nous.
Nous agissons comme une plateforme de collaboration neutre, réunissant hôpitaux, prestataires ICT et autorités publiques afin d’élaborer ensemble des trajectoires communes. Ainsi, chaque organisation ne doit plus réinventer éternellement l’eau chaude. »
« Parce que de nombreux hôpitaux belges disposent de moyens limités et d’équipes réduites, une collaboration sectorielle n’est pas un luxe : c’est une nécessité. » — Kurt Gielen |
Concrètement, comment cela fonctionne-t-il ?
Kurt Gielen : « La dynamique communautaire constitue le cœur de notre action. Nous réunissons autour de la table les experts IT des hôpitaux. Une fois leurs problématiques clairement identifiées, nos spécialistes en cybersécurité prennent le relais.
Lorsque nous aboutissons à une solution commune, nous élaborons un cahier des charges dont d’autres hôpitaux peuvent également s’inspirer. Le travail ne doit donc être réalisé qu’une seule fois, pour un bénéfice partagé par tous.
Ce mode de fonctionnement est beaucoup plus rapide et plus efficace. Nous développons des best practices et des lignes directrices offrant aux hôpitaux un cadre solide pour structurer leur projet de cybersécurité et en accélérer la mise en œuvre.
Étant donné que nombre d’établissements belges disposent de budgets et d’équipes restreints, une coopération à l’échelle du secteur n’est pas un confort, mais une obligation. Nous entendons jouer un rôle central dans cette démarche et fournir, à terme, des solutions communes. »
Pourquoi les hôpitaux constituent-ils une cible privilégiée pour les cybercriminels ?
Kurt Gielen : « Il y a encore quelques années, nous étions convaincus que les hôpitaux échappaient en quelque sorte à ce phénomène. Personne, pensions-nous, ne voudrait mettre en péril les soins aux patients. La réalité s’est malheureusement révélée tout autre.
Les cyberattaques visant des hôpitaux frappent l’imaginaire collectif, car ces institutions jouent un rôle essentiel au sein de notre société. Lorsqu’un incident de ce type fait la une, il prend immédiatement une dimension beaucoup plus spectaculaire et bénéficie d’une attention accrue.
Il ne s’agit d’ailleurs pas uniquement de criminels motivés par l’appât du gain. Des intérêts stratégiques entrent souvent en jeu : affaiblir la confiance du public, semer la peur, provoquer une forme de déstabilisation sociale. Nous concentrons volontiers notre attention sur les menaces physiques, comme les attaques de missiles, alors que le risque d’une cyberattaque est aujourd’hui bien plus élevé. »
Qu’est-ce-qui rend un hôpital si vulnérable à ce type d’attaques ?
Kurt Gielen : « Un hôpital n’est pas une entreprise classique, dotée d’une seule porte d’entrée et d’un portail qui se referme le soir. Ce sont des structures ouvertes par nature, et donc particulièrement exposées.
Patients et visiteurs y entrent et sortent en permanence et se connectent au réseau. Dans les postes de soins, les ordinateurs restent allumés toute la journée, souvent avec des dossiers médicaux contenant des informations extrêmement sensibles.
Si les systèmes informatiques tombent en panne, des situations potentiellement vitales peuvent survenir : les médecins ne peuvent plus consulter les données, les traitements ne peuvent plus être planifiés, certains équipements deviennent inopérants.
La continuité et la sécurité des soins sont alors compromises, avec toutes les conséquences que l’on imagine — d’abord et avant tout pour les patients.
Le scénario le plus redouté ? Qu’une personne désactive les systèmes alors qu’un patient se trouve sur la table d’opération. Même les respirateurs pourraient cesser de fonctionner. »
|
|
Où en sont nos hôpitaux en matière de cybersécurité ?
Kurt Gielen : « Les hôpitaux sont des environnements d’une grande complexité : ils manipulent des données essentielles, fonctionnent avec des systèmes très ouverts et disposent rarement des ressources humaines ou financières nécessaires pour investir massivement dans la cybersécurité.
Tous font de leur mieux avec les moyens à leur disposition, mais beaucoup reste à accomplir.
D’après notre récente étude menée en collaboration avec le SPF Santé publique, trois quarts des hôpitaux belges doivent encore prendre des mesures urgentes pour atteindre le niveau de maturité requis en matière de cyberprotection.
Le secteur est conscient de la menace, mais rencontre de grandes difficultés dans la mise en pratique.
Les hôpitaux plus petits, ainsi que les hôpitaux psychiatriques, accusent particulièrement du retard, faute de moyens suffisants et de spécialistes en cybersécurité.
Des disparités régionales apparaissent également : les hôpitaux flamands obtiennent en moyenne de meilleurs résultats que leurs homologues wallons et bruxellois. »
Que peut faire concrètement un hôpital pour améliorer ses performances en matière de cybersécurité ?
Kurt Gielen : « Nous misons résolument sur la segmentation des réseaux, afin qu’un incident dans une zone donnée ne paralyse pas immédiatement l’ensemble des systèmes. Les blocs opératoires sont dissociés des consultations ou de l’hôpital de jour, et les appareils essentiels ne sont jamais connectés à Internet sans nécessité absolue.
Par ailleurs, nous organisons des exercices de grande envergure au cours desquels les directions hospitalières et les responsables des soins passent ensemble en revue différents scénarios, comme si l’hôpital était totalement à l’arrêt. Ces simulations s’avèrent, chaque fois, particulièrement instructives et permettent d’ajuster et d’affiner les plans existants.
Par le passé, les hôpitaux ont trop souvent voulu agir seuls, en fonction de leurs propres analyses, besoins et capacités. Cette fragmentation leur a indéniablement nui. Ils tentaient de résoudre la problématique selon leur propre compréhension, mais le sujet est devenu si complexe que ces approches internes ne suffisent souvent plus. Ils ne disposent d’ailleurs pas toujours des moyens nécessaires pour concrétiser efficacement leurs objectifs.
La cybersécurité dépasse largement le seul domaine de l’IT. On oublie fréquemment que l’être humain constitue le principal facteur de risque. Les hôpitaux sont des environnements ouverts : on y trouve non seulement des collaborateurs, mais aussi des visiteurs et des fournisseurs. Des intervenants externes sont connectés à leurs systèmes. Qui peut accéder à quelles données ? Que se passe-t-il si l’ordinateur portable ou le smartphone d’un collaborateur est piraté ? Quelles procédures applique-t-on lorsqu’une personne entre en fonction ou quitte l’organisation ? Ces questions, pourtant essentielles, ne sont parfois pas encore suffisamment prises en considération dans les hôpitaux. Alors même qu’elles revêtent une importance capitale. »
|
|
En quoi consiste précisément la réglementation européenne relative à la cybersécurité ?
Kurt Gielen : « La directive européenne NIS2 oblige les organisations actives dans des secteurs essentiels — parmi lesquels les hôpitaux — à renforcer de manière démontrable leur cyberprotection.
Les hôpitaux doivent non seulement mettre en place des mesures techniques, telles que la détection des incidents ou la sécurisation des réseaux, mais également instaurer un fonctionnement interne formel fondé sur des processus, des responsabilités claires et une gestion structurée des incidents. Ces deux dimensions sont indispensables pour satisfaire aux exigences de NIS2.
C’est la première fois qu’un cadre véritablement contraignant en matière de sécurité de l’information et de protection des systèmes est imposé au secteur hospitalier. Jusqu’alors, la règle implicite se résumait à : “Faites de votre mieux, et nous aviserons.”
Ces objectifs sont ambitieux, et la Belgique, d’ailleurs, devance largement les autres pays européens. Le Centre pour la Cybersécurité Belgique (CCB) a accompli un travail considérable. Notre pays est le leader absolu en Europe en ce qui concerne la mise en œuvre de la législation et la fixation d’échéances. Nos cadres méthodologiques sont d’ailleurs adoptés avec enthousiasme par une multitude d’États membres. »
Quelle est l’ambition ultime de SHIELD ? Quand pourrez-vous vous dire pleinement satisfaits ?
Kurt Gielen : « Nous ne serons pleinement satisfaits que lorsque l’adhésion annuelle à SHIELD sera pour nos membres une évidence, une décision qui s’impose d’elle-même. Parce qu’ils réalisent que nous les déchargeons d’une grande partie des tâches administratives et juridiques, mais aussi de la mise en œuvre d’éléments techniques qu’ils n’auraient jamais pu installer aussi rapidement ni de manière aussi avantageuse s’ils avaient dû agir seuls.
Si nous parvenons à maintenir cette valeur ajoutée, année après année, alors nous aurons atteint notre objectif. Et nous pourrons être véritablement fiers du travail que notre équipe accomplit chaque jour avec passion et détermination. »