Avec les nombreuses cyberattaques qui ont touché des hôpitaux belges les dernières années, la cybersécurité a pris une importance croissante dans les politiques hospitalières et gouvernementales. Désormais, tous les hôpitaux belges doivent se mettre en conformité avec la directive NIS2. Au sein du CHIREC, c’est le Dr Pierre-Jean Verheyden, DPO et CISO, qui est responsable de la cybersécurité.
Depuis le 16 janvier 2023, la directive européenne dénommée ci-après NIS2 est en vigueur. Il s’agit de la Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union
« Dans ce contexte, nous sommes contraints de nous mettre en conformité avec toute une série de mesures édictées par le Centre pour la Cybersécurité Belgique (CCB). Dans ce cadre, nous devons acquérir un certain degré de maturité en matière de cybersécurité », pose le Dr Verheyden.
Voici les différentes mesures sur lesquelles l’hôpital planche actuellement : l’établissement d’une politique de sécurité de l’information au niveau de l’entreprise, la définition des rôles et des fonctions comme le responsable de sécurité en systèmes de l’information (CISO), l’étude des vulnérabilités de l’institution en matière de cybersécurité, le contrôle de l’ensemble des accès, la détermination d’une politique de gestion des mots de passe et identifiants, …
Des informations sensibles à protéger
« Dans une entreprise telle qu’un hôpital, les données qui circulent sont bien sûr des données sensibles, qui sont protégées en contrôlant les accès aux systèmes informatiques, mais aussi en contrôlant les accès physiques aux bâtiments », rappelle le DPO.
La fragilité de cette cybersécurité est que les hackeurs vont essayer d’accéder aux identifiants par des systèmes de phishing. « Il convient donc de sensibiliser et former le personnel, notamment en lui envoyant des tests et en le sensibilisant aux mails suspects », commente Pierre-Jean Verheyden.
Réagir de manière optimale aux incidents
Il faut aussi pouvoir gérer les incidents au niveau IT, qui peuvent dans certains cas nécessiter d’activer le Plan d’urgence hospitalier.
« Nous sommes notamment tenus de mettre en place une politique qui explique au personnel comment alerter en cas d’incidents, mais aussi de prévoir un plan de continuité de l’activité en mode dégradé », détaille le Dr Verheyden.
Certification dans 18 mois
Toujours dans le cadre de la directive NIS2, les hôpitaux devront passer une certification du CCB dans 18 mois. « Nous devons ainsi non seulement mettre en place des mesures, mais aussi apporter la preuve de leur mise en place. Nous travaillons donc sur un projet de déploiement de cette maturité que je pilote au sein du CHIREC pour que l’institution soit en conformité. »
Les médecins généralistes peuvent donc être assurés que le CHIREC met tout en place pour assurer une protection des données de santé de leurs patients.
