Des hackers pro-russes ont visé des hôpitaux néerlandais par le biais d'attaques par déni de service distribué (DDoS). C'est ce que rapporte Z Cert, une association d'hôpitaux dans le domaine de la protection numérique. Au début de cette année, plusieurs hôpitaux ont été touchés par des attaques DDoS. Les assaillants ont notamment ciblé l'University Medical Center Groningen (UMCG), dont le site internet est régulièrement tombé en panne. Un porte-parole de l'hôpital a indiqué que l'attaque semblait survenir par vagues (cf. https://nos.nl/artikel/2461833 pro russische ddos aanvallers hebben het gemunt op nederlandse ziekenhuizen).

Selon un porte-parole de Z-Cert, il s'agit d'une attaque menée par le groupe «Killnet», en collaboration avec d'autres hackers.

D'après RTL Nieuws, Killnet a également visé des hôpitaux notamment en Allemagne, en Espagne, aux États-Unis et au Royaume-Uni. L'action du groupe trouve sa motivation dans le soutien des pays concernés à l'Ukraine dans la guerre contre la Russie. Killnet est un groupe de cybercriminels qui mène souvent des attaques DDoS. Précédemment, il a lancé des attaques, entre autres, contre des aéroports, des organes publics et des institutions financières allemands, comme le relate «Security Week». En octobre 2022, il a aussi mené des attaques DDoS contre des aéroports américains.

Ce phénomène n'est pas spécifique à nos voisins du nord. En 2021, des criminels étaient parvenus à introduire des virus dans le système informatique d'un hôpital de Mol, probablement via un courriel. Aucune donnée n'avait été volée et les informations médicales des patients n'avaient donc pas fuité, mais les virus avaient paralysé un grand nombre de systèmes (https://www.vrt.be/vrtnws/nl/2021/02/03/cyberaanval op heilig hartziekenhuis mol geen patienten in gevaar/).

Dans une interview, le directeur de l'hôpital en question, en concertation avec les services informatiques de l'établissement, a fait le lien avec la Russie (cf. https://www.numerikare.be/nl/nieuws/beroepsnieuws/russen aan basis hacking ziekenhuis mol dr ivo jacobs.html). Il a déclaré que les experts informatiques ont beaucoup d'expérience en la matière, et estiment que l'attaque serait d'origine russe. Selon lui, le piratage des entreprises occidentales est une activité légale en Russie, qui peut être pratiquée depuis des bureaux cossus à Moscou. Il n'en revient pas et se dit choqué. Avant de lancer une attaque de grande envergure en Ukraine en février 2022, la Russie nous avait déjà attaqués.

L'année dernière, en Australie, des hackers russes ont procédé à un vol de données à grande échelle dans le cadre de la guerre en Ukraine. Ils sont parvenus à s'emparer des données de près de dix millions de personnes, dont le premier ministre Anthony Albanese. Le commissaire de police australien Reece Kershaw a déclaré qu'un groupe de cybercriminels avait réalisé le piratage depuis la Russie. Selon lui, ce groupe disparate de hackers était aussi l'auteur de vastes cyberattaques dans des pays du monde entier. L'Australie indique qu'elle tente d'obtenir des informations sur ce groupe auprès des autorités russes (cf. https://www.hln.be/nieuws/russische hackers stelen medische data van australische premier en tien miljoen landgenoten~abee6317/?referrer=https%3A%2F%2Fwww.google.be%2F).

En ce qui concerne le caractère transversal de la présente question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je voudrais dès lors vous poser les questions suivantes:

1) Y a-t-il déjà des indications selon lesquelles des collectifs de hackers russes, tels que Killnet ou d'autres organisations apparentées, ont la Belgique dans le collimateur, étant donné que notre pays est membre de l'Organisation du Traité de l'Atlantique Nord (OTAN) et soutient l'Ukraine? Si oui, de quels services ces indications émanent-elles? Dans quelle mesure sont-elles concrètes? Combien d'indications ont été signalées? Comment y réagit-on? Quelles cibles sont citées? Des mesures supplémentaires ont-elles déjà été prises pour les secteurs concernés?

2) Selon vous, quels sont les aspects vulnérables des hôpitaux belges susceptibles d'être exploités par des hackers russes? Que fait-on actuellement pour améliorer la sécurité des hôpitaux et d'autres infrastructures vitales, et pour les protéger contre de telles cyberattaques?

3) Quelles mesures avez-vous prises jusqu'à présent pour lutter contre la menace potentielle de piratage des hôpitaux belges par des hackers russes? Existe-t-il des plans ou des initiatives stratégiques qui visent à renforcer la cybersécurité des hôpitaux et d'autres secteurs critiques en Belgique?

4) Pouvez-vous expliquer la raison pour laquelle des hackers ont attaqué des hôpitaux aux Pays-Bas? Voulaient-ils perturber les activités (en mettant potentiellement des vies en danger), récolter des informations (en consultant le dossier médical de certaines personnes), réaliser un test grandeur nature (en mettant à l'épreuve la sécurité d'infrastructures sensibles) ou avaient-ils d'autres motivations?

5) La Belgique collabore-t-elle avec d'autres pays européens et des partenaires internationaux pour lutter contre la menace que font peser les hackers russes sur le secteur des soins de santé? Quels sont les initiatives en cours ou les accords de coopération visant à générer une réaction commune à cette cybermenace?

6) Comment les hôpitaux belges sont-ils soutenus dans l'élaboration de leurs propres mesures de cybersécurité pour se protéger eux-mêmes contre les cyberattaques, en particulier celles menées par des hackers russes? Des moyens ou des subventions ont-ils été mis à disposition pour améliorer le niveau de cybersécurité du secteur des soins de santé? Si oui, combien et de quelle nature?

7) Quel est le rôle des autorités dans la promotion de la sensibilisation et de la formation en matière de cybersécurité dans le secteur des soins de santé? Envisage-t-on de mettre sur pied des programmes ou des initiatives visant à développer la sensibilisation et les connaissances en matière de cybermenaces auprès du personnel hospitalier, du personnel informatique actif dans le secteur et d'autres acteurs? Quelles mesures voulez-vous prendre pour garantir et accroître la cybersécurité du secteur des soins de santé et ainsi assurer la sécurité nationale? Quelles mesures avez-vous déjà prises et quelle est votre évaluation de celles-ci?

8) Comment les services de renseignement et de sécurité en Belgique sont-ils associés à la lutte contre les cybermenaces et à leur surveillance, en particulier les menaces russes? Quels sont les mécanismes de coopération et d'échange d'information entre les différentes instances concernées?

Je vous prie de trouver ci-dessous les éléments de réponse fournis par le Centre for cybersecurity Belgium (CCB).

1) Les cyberattaques les plus récentes contre des organismes de soins de santé dans le monde semblent avoir eu lieu principalement dans des pays alliés de l’Ukraine dans le conflit en cours avec la Russie. Cependant, comme les hôpitaux ne sont actuellement pas soumis à la loi NIS (loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique) qui oblige les fournisseurs de services à signaler les cyberincidents au Centre for cybersecurity Belgium (CCB), il est difficile de confirmer avec certitude que cela a conduit à une augmentation des tentatives de cyberattaques et des cyberattaques réelles contre le secteur hospitalier depuis le début de 2023. Les autorités compétentes du secteur peuvent avoir plus d’informations à ce sujet.

2) La vente d’identifiants de connexion volés, le phishing, les vulnérabilités générales des logiciels tels que Microsoft Word, Adobe PDF reader, etc., qui peuvent être exploitées par le phishing et l’abus d’anciennes vulnérabilités qui n’ont pas été corrigées sont des vulnérabilités que le CCB note comme étant spécifiques aux hôpitaux belges.

En ce qui concerne la sécurité mise en place dans les hôpitaux et autres infrastructures critiques contre les cyberattaques, veuillez-vous référer aux réponses ci-dessous.

3) Comme pour toute menace visant une organisation classée comme OSI (Organisation of Special Interest) en Belgique, les soins de santé en font partie, le CCB a mis en place des procédures et des processus pour répondre à une alerte rapide provenant d’une ou de plusieurs sources crédibles, ainsi qu’un protocole pour conseiller les personnes qui pourraient avoir besoin d’aide en cas d’incident présumé, ainsi que l’expertise technique nécessaire pour aider une victime ayant besoin d’aide. Le CCB affine en permanence les méthodes de prévention et d’intervention grâce à la formation d’experts, à l’application des meilleurs outils d’investigation et à des capacités de détection avancées pour contrecarrer les attaques potentielles.

En ce qui concerne les mesures futures, les hôpitaux seront couverts par la nouvelle directive européenne sur la sécurité des réseaux et de l’information (connue sous le nom de directive NIS-2). Le CCB pilote les préparations à la transposition et à la mise en œuvre de la directive NIS-2. Cette directive demande aux États membres d’étendre les règles existantes pour les fournisseurs de services essentiels et les fournisseurs de services numériques par rapport à la loi actuelle du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique. Tous les établissements de santé de grande ou moyenne taille de notre pays devront à l’avenir se conformer aux nouvelles règles, qui incluent la gestion des cyber-risques et la notification des incidents. La directive NIS-2 précise que les entités devront disposer de plans de gestion des incidents, de plans de continuité des activités et de plans de gestion de crise, de politiques et de procédures pour évaluer l’efficacité de ces mesures, ainsi que de politiques relatives à l’utilisation de la cryptographie, à la sécurité du personnel, à l’utilisation de systèmes d’authentification appropriés et à la gestion de la chaîne d’approvisionnement. En outre, les entités devront également signaler les incidents significatifs au CCB. La directive européenne a été publiée le 14 décembre 2022 et sera transposée dans la législation nationale avant la fin de l’année 2024. Ce n’est qu’à ce moment-là que ces obligations entreront en vigueur pour les nouvelles entités.

Le CCB s’efforce déjà de sensibiliser tous les acteurs concernés au sein du gouvernement afin d’encourager le renforcement des capacités cybernétiques, avant même que le cadre juridique ne change.

4) Le Centre pour la cybersécurité n’a pas suivi de près les détails des attaques aux Pays-Bas. En général, nous constatons que les hôpitaux sont attaqués pour des raisons financières (les hôpitaux ne peuvent pas arrêter leurs activités, ce qui accélère le paiement des rançongiciels), pour des raisons politiques (pour forcer les ressources d’un pays à aller ailleurs) ou pour recueillir des informations de recherche (ce qui a été noté lors de la conférence Covid-19).

5) L’échange d’informations sur les cyberincidents entre le CCB et ses homologues européens a lieu structurellement au sein du réseau Computer Security Incident Response Team (CSIRT). Ce réseau, établi en 2016 par la directive sur la sécurité des réseaux et de l’information (NIS), permet une coopération opérationnelle entre les Cyber Emergency Response Teams (CERT) de tous les États membres et l’échange d’informations générales et spécifiques sur les cybermenaces, les vulnérabilités et les incidents. Dans certains cas (à la demande d’un État membre), le réseau peut même envisager une réponse coordonnée à un cyberincident ayant des implications transfrontalières.

6) Le CCB dispose d’un système d’alerte précoce, «Early Warning System» (EWS), à partir duquel il envoie aux fournisseurs de services essentiels et aux principales organisations de soins de santé des alertes précoces et ciblées sur les principales vulnérabilités et menaces. Grâce à une plateforme commune, ces organisations peuvent accéder à des alertes filtrées sur les intrusions et autres cybermenaces. Cela leur permet de recevoir rapidement des informations d’une source fiable et de prendre ensuite des mesures rapides. En effet, le CCB reçoit toutes les informations pertinentes sur les menaces de la part de ses partenaires. Il analyse en permanence ces informations et envoie des alertes. Au cours du premier trimestre de cette année, le CCB a déjà envoyé plus de 2 800 alertes par l’intermédiaire de son système d’alerte précoce. CCB prévoit d’offrir plusieurs de ces services d’alerte à toutes les organisations de notre pays à partir de la fin de cette année, par le biais d’un nouveau portail. Ainsi, toutes les entités impliquées dans les soins de santé en Belgique pourront en bénéficier. L’objectif des initiatives du CCB est d’aider les organisations à remédier aux vulnérabilités humaines et techniques.

7) Chaque organisation, qu’elle soit publique ou privée, est responsable de sa propre cybersécurité. Toutefois, le Centre for cybersecurity Belgium (CCB) joue un rôle de coordination et peut apporter son soutien sous la forme d’informations, d’outils et de conseils. Ces lignes directrices offrent une aide aux responsables du traitement, mais aussi aux conseillers en sécurité, aux responsables du traitement des données et aux gestionnaires informatiques.

Pour permettre aux entités d’élaborer leurs stratégies de protection des données de manière proportionnée, le CCB a développé et mis à la disposition du public le cadre CyberFundamentals. Ce cadre vise à permettre aux organisations non seulement d’améliorer leur cybersécurité, mais aussi, à l’avenir, de vérifier et de démontrer aux clients et aux gouvernements la solidité des mesures de protection par le biais d’une évaluation de conformité accréditée. Ce cadre permet non seulement de les appliquer sur une base volontaire, mais il peut également être utilisé dans un cadre législatif qui imposerait de tels contrôles à certaines entités.

8) La plateforme de cybersécurité du Comité de coordination pour le renseignement et la sécurité (CCIV) permet aux services de renseignement et de sécurité de discuter des politiques de cybersécurité et d’échanger des informations sur la connaissance de la situation.