La Directive européenne « NIS » (Network and Information Security - 2016/1148) impose à certains secteurs (« Opérateurs de Services Essentiels »), dont celui des soins de santé, de renforcer leur résistance aux cyberattaques, de prévenir et de détecter les incidents de sécurité et d’en minimiser les impacts.
Le projet de loi établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique vise à transposer cette Directive en droit belge.
Il est actuellement à l’examen à la Chambre des représentants. Il a été discuté et adopté en Commission de l’Intérieur de la Chambre le 27 février 2019.
L’objectif poursuivi par la Directive est louable eu égard à la réalité des cyberattaques ayant touché le secteur des soins de santé dans certains pays, et ce 11 mars 2019, un hôpital belge.
Sa mise en œuvre appelle cependant une réflexion spécifique dans notre secteur, d’une part, afin d’adopter une définition nuancée de son champ d’application et d’autre part, eu égard aux ressources nécessaires.
Certains éléments nous paraissent en effet devoir être pris en compte lors de la définition du champ d’application vu l’ampleur des obligations qui pèseront sur les institutions de soins qui entreront dans ledit champ d’application.
L’idée qui sous-tend les obligations mises en place par ces textes est de protéger contre la cybercriminalité les secteurs clefs de l’économie afin d’éviter une paralyse du pays en cas d’attaque. Dès lors, inclure dans le champ d’application l’ensemble des institutions de soins ne nous semble ni pertinent ni réaliste.
Il nous paraît par conséquent utile de définir des critères objectifs permettant de déterminer quelles institutions de soins rentreraient dans le champ d’application. Cela permettra d’éviter que des institutions qui sont par définition de taille relativement modeste, comme par exemple des maisons de repos, ne soient soumises à des obligations disproportionnées eu égard à l’objectif poursuivi.
On pourrait ainsi examiner des critères comme la taille de l’institution ou encore son volume d’activité. Une autre solution serait de s’inspirer des choix posés par d’autres pays européens. À titre d’exemples, citons d’une part la France, qui a considéré que ces obligations ne s’appliqueraient qu’à tous les établissements de santé disposant d’un service d’urgences médicales, ou encore l’Allemagne, où sont concernées toutes les institutions de soins comptant plus de 30.000 admissions par an. En tout état de cause, nous plaidons pour une limitation du champ d’application aux seuls hôpitaux, dans la mesure où craindre une paralysie de l’activité régionale ou nationale n’a pas de sens à plus petite échelle.
La question des ressources à consacrer, par les institutions de soins qui seront concernées, à la mise en œuvre de ces obligations en matière de cybersécurité, est intrinsèquement liée à celle du financement. Les institutions de soins en question devront en effet inévitablement exposer une série de frais supplémentaires actuellement non financés.
Il leur sera par notamment imposé de disposer d’un responsable de la sécurité des systèmes informatiques (RSSI). Cette fonction diffère fondamentalement de la fonction de Conseiller en sécurité de l’information déjà existante, en ce qu’elle est très technique et requiert à ce titre une formation spécifique. Dès lors, et a fortiori vu la difficulté à trouver de tels profils, l’engagement de cette personne nécessitera un financement.
Il sera par ailleurs nécessaire d’adapter l’infrastructure IT de l’institution afin de permettre les actions attendues.
En outre, un budget annuel devra être consacré à la technique nécessaire à la détection précoce des incidents permettant leur gestion en temps utiles (dispositifs de supervision de la sécurité du système d’information et security information event management).