Stéphane Rillaerts, directeur du CHRSM, partage son vécu de la cyberattaque qui a lieu dans l'institution namuroise le 26 mai dernier. Si l'hôpital s'en sort finalement bien, il estime que le secteur a manqué d'anticipation et que les autorités publiques ne prennent pas assez en compte la sécurité informatique des hôpitaux.
...
Le journal du Médecin: Cela fait maintenant cinq mois que vous avez subi une cyberattaque. Quelle est la situation aujourd'hui au CHRSM? Stéphane Rillaerts: Nous fonctionnons toujours en mode dégradé, mais les choses vont mieux. Nous reconstruisons progressivement. C'est un travail de longue haleine. Il a d'abord fallu changer du matériel devenu obsolète de manière accélérée pour disposer d'une configuration à jour. Ensuite, il a fallu réinitialiser tous les serveurs, réinstaller les logiciels, rétablir les connexions entre les uns et les autres, et nous ne sommes pas encore au bout du travail. Nous n'avons pas encore récupéré la cohérence qui était la nôtre avant la cyberattaque. Dans certains domaines, les conséquences sont très lourdes pour le personnel, mais nous avons dû donner la priorité aux secteurs les plus critiques, notamment ceux ayant trait aux patients. Pour arriver à relever ce défi, nous nous réunissons en cellule de crise chaque semaine. Cela permet de réaliser l'inventaire de la reconstruction informatique de l'hôpital. Cela se fait par le biais de ce que l'on appelle un 'réseau jaune', c'est-à-dire un réseau interne qui n'est pas connecté au monde extérieur mais qui permet de remettre progressivement en place les différentes fonctionnalités de l'hôpital, tout en garantissant une cybersécurité optimale. Nous pensons que d'ici la fin de l'année, nous aurons un réseau connectable au réseau extérieur. Il reste encore quelques mois pour fignoler avant de réaliser des projets à plus long terme. Aux dernières journées d'études santhea, consacrées à la cybersécurité, les experts estimaient qu'il fallait une année complète pour se remettre d'une cyberattaque. Le CHRSM a l'air de se remettre plus vite... Tout dépend. Quand ou à quel stade considère-t-on qu'une crise est complètement terminée? Dans notre cas, nous espérons pouvoir retrouver une communication optimale avec les patients, les médecins traitants et le Réseau santé wallon d'ici janvier. Cela permettra de rétablir des procédures habituelles. Mais si l'on compte le temps nécessaire au rétablissement de la situation d'avant la cyberattaque, je pense effectivement qu'il faudra davantage compter sur une petite année. Cependant, il ne s'agit pas d'une reconstruction à l'identique. Nous devons ici reconstruire le système informatique à partir de rien. Nous avons donc été amenés à prendre une série de décisions que nous n'aurions pas prises sans cette crise. Cette dernière a accéléré certains investissements, en particulier en matériel. On ne sait donc pas complètement isoler la gestion de la cyberattaque du reste du développement de l'informatique. L'un a un impact sur l'autre. Il n'y a toujours aucune demande de la part des hackers? Non, de ce côté-là, les choses se sont tout simplement arrêtées et, d'après mes informations, c'est ce qui s'est passé dans d'autres hôpitaux aussi (Chwapi et Vivalia, NdlR). Nous avons eu une publication d'un compte à rebours à J +7 la semaine qui a suivi la cyberattaque, sommant de prendre contact avec les hackers sous peine de voir publier les informations volées sur le darknet. Nous n'avons pas répondu à cet appel. Il y a bien eu les fameux 127 gigas de données volées qui ont été mises à disposition sur le darknet. Nous avons téléchargé ces 127 gigas de données, qui sont d'ailleurs mises en ligne de façon morcelée giga par giga. À l'aide de moyens relativement performants, il a fallu à peu près une semaine pour télécharger l'ensemble de l'information et la reconstituer pour pouvoir analyser son contenu. Un contenu extrêmement désordonné, difficilement exploitable. Nous avons donc décidé de ne rien faire, sinon d'informer, comme c'est notre obligation, les autorités du RGPD pour expliquer quelles étaient les informations qui avaient été mises en ligne. Nous n'avons aucun indice d'une utilisation quelconque de cette information par qui que ce soit. Et nous n'avons plus aucune nouvelle du hacker depuis lors. Il y a toutes les chances qu'il soit passé à autre chose et que nous n'en entendions plus jamais parler. Le CHRSM avait-il les reins assez solides pour faire face à ces dépenses imprévues? Nous ne sommes pas encore en capacité de mesurer complètement l'impact financier de la cyberattaque. Nous en sommes encore au stade des premiers calculs. La plupart des investissements que nous avons faits sont des anticipations ou des adaptations d'investissements prévus dans les cinq prochaines années. Cela ne coûtera donc pas nécessairement plus que prévu, mais plus rapidement que prévu. Ensuite, il y a le coût de la crise elle-même, notamment au niveau consultance. Nous avons eu besoin d'un appui extérieur pour gérer la crise. Ce soutien spécialisé représente un coût net pour l'institution, mais nous n'en avons pas encore une mesure précise. Nous savons tout de même que cela coûtera plusieurs centaines de milliers d'euros, sans doute proche du million d'euros. Dans un contexte qui est déjà compliqué pour les institutions hospitalières... La cyberattaque en elle-même constitue certes un surcoût, mais celui-ci s'avérera au final positif sur le long terme car nous avons mis en place un système informatique plus efficient qu'initialement prévu. De plus, nous avions une situation financière relativement confortable par rapport à d'autres hôpitaux. Nous avons bouclé 2022 à l'équilibre, ce qui n'est pas le cas d'un quart des hôpitaux du pays. Mais nous nous préparons à une orthodoxie budgétaire postcovid de la part des autorités publiques, mais aussi des banques dont les taux d'intérêt ne cessent d'augmenter. La possibilité de dégager des budgets sera donc plus complexe dans les années à venir. Nous nous attendons donc à des temps difficiles. La Belgique a une guerre de retard par rapport à d'autres pays en matière de cybersécurité... Effectivement, nous avons une guerre de retard. Nous évoluons de plus dans un système de financement compliqué, et les services publics financés par la collectivité ont tendance à coûter trop cher. En l'occurrence, je ne me plains pas trop car nous avons pour l'instant un ministre qui, sans pouvoir nécessairement faire tout ce qu'il souhaiterait, fait preuve d'une écoute bienveillante par rapport à nos difficultés parce qu'il connaît bien l'hôpital de l'intérieur. Mais le financement reste très en deçà de nos besoins et de ce qui existe dans d'autres secteurs, comme le secteur bancaire par exemple, où les équipes sont autrement plus étoffées et outillées que celles dont nous disposons. Enfin, je ne suis pas sûr que la meilleure réponse à apporter à ce type de problème soit de saupoudrer des financements hôpital par hôpital. Ce qu'il faudrait, c'est une coordination organisée par l'État pour protéger les hôpitaux de manière collective. Des systèmes de sécurité organisés centralement seraient beaucoup plus efficaces. Ce serait plus utile que d'avoir chacun sa petite enveloppe pour organiser sa sécurité informatique dans son coin.