La cybersécurité : « une question de sensibilisation »

La sensibilisation à la cybersécurité est cruciale. Il faut connaître les enjeux, ses forces et ses faiblesses et éduquer les utilisateurs sur les risques et les bonnes pratiques pour prévenir des pertes financières et protéger des données sensibles.

La cybersécurité représente donc un nouvel enjeu pour les institutions de soins qui jusqu’ici se sont trop peu préoccupées des risques liés aux cyberattaques. Il est donc temps de changer et de mettre en place l’équipement et les processus nécessaires à la gestion de ces menaces. David Vanderoost, CEO d’Approch Cyber, une société spécialisée dans la protection informatique et qui accompagne Wallonie Santé dans sa démarche vis-à-vis des institutions de soin, nous dresse un tableau de la réalité.

Présentez-nous brièvement la société Approach. Quelles sont ses compétences et ses champs d’intervention ?

Approach Cyber, expert en cybersécurité, garantit la protection des données sensibles dans un monde numérique en constante évolution. Notre organisation est labélisée par la Région wallonne, certifiée ISO 27001 tandis que nos solutions complètes renforcent la cyberrésilience de nos clients, couvrant à la fois la prévention, la protection, la détection et la récupération face aux incidents de sécurité (fuite de données, piratage, vol et usurpation d’identité, sabotage, etc). Forts d'une équipe dynamique d’une centaine de personnes répartie en Belgique et en Suisse, Approach met l'accent sur la sensibilisation et l'éducation qui sont essentielles pour assurer la sécurité numérique et la tranquillité d'esprit face aux menaces digitales croissantes.

Pouvez-vous nous expliquer comment votre méthode de screening non intrusif fonctionne pour détecter les vulnérabilités ?

Sous l’égide de Wallonie Santé, nous avons mis en place une solution de notation de performance cyber automatisée. Cette solution rapide et non intrusive, évalue en continu l’exposition des organisations issue du portefeuille de Wallonie Santé aux risques cyber et améliore leur posture de sécurité. Cette solution « voit » en quelque sorte ce qu’une personne verrait de l’extérieur, sans bagage informatique important, et sans trop d’effort.

Cette solution attribue à chaque organisation une note globale, de 0 à 1000, ainsi qu'une note allant de A à E pour différents domaines d'analyse, tels que la surface d’attaque, la messagerie, les vulnérabilités du réseau et des applications exposées, etc. Un tableau de bord permet ensuite à Wallonie Santé de disposer d’une vue globale et de partager les rapports de synthèse avec chaque organisation concernée. Enfin, à côté des risques identifiés, des points d’amélioration et des recommandations sont proposés pour remédier les vulnérabilités et atténuer les risques.

Comment les menaces en matière de cybersécurité ont-elles évolué au cours des dernières années ?

La cybersécurité est devenue une préoccupation majeure à l'échelle mondiale. Le temps où seules les grandes organisations étaient visées est révolu. Les avancées technologiques rapides ont ouvert de nouvelles opportunités, mais ont également exposé les organisations à des risques croissants en matière de sécurité. Les cyberattaques sont devenues plus sophistiquées et diversifiées, ciblant des secteurs clés tels que les finances, l'énergie, les gouvernements et, de plus en plus, les soins de santé. La Wallonie n’est bien entendu pas épargnée.

Il semble que le secteur de la santé soit tout aussi concerné que les autres. Pourquoi ?

Le secteur de la santé est autant concerné par la cybersécurité que d'autres industries pour plusieurs raisons. Les données médicales sont très prisées sur le marché noir, contenant des informations personnelles utiles pour le vol d'identité. De plus, la transition vers les dossiers médicaux électroniques accroît la vulnérabilité des systèmes de santé aux cyberattaques. Les interruptions de service peuvent compromettre la sécurité des patients. En outre, le manque de ressources et de formation en cybersécurité rend les établissements de santé particulièrement exposés. La directive NIS 2, qui vise à renforcer la cybersécurité dans les secteurs critiques, souligne l'importance de protéger les infrastructures de santé contre les cybermenaces.

Actuellement, ce sont surtout les hôpitaux qui font l’objet de cyberattaques. Mais on s’attend probablement à ce que ces menaces s’étendent aussi aux structures plus petites qui sont moins bien, voire pas du tout protégées ?

Actuellement, les cyberattaques ciblent principalement les hôpitaux, attirés par leurs vastes bases de données médicales et leurs systèmes informatiques complexes, leur environnement ouvert au public, est souvent difficile à sécuriser. Cependant, les petites structures de santé (les maisons de repos par exemple) sont également des cibles de choix pour les cyberattaques en raison de leur sécurité informatique moins développée et de leurs ressources plus limitées. Même si elles traitent moins de données, celles-ci restent sensibles et peuvent servir dans le cadre d’activités frauduleuses. De plus, en tant que maillons faibles, elles peuvent être exploitées pour accéder à des réseaux plus vastes (attaque sur la chaîne logistique).

Dans quelle mesure pensez-vous que la sensibilisation et la formation du personnel sont cruciales pour la sécurité des systèmes informatiques. Et comment votre entreprise contribue-t-elle éventuellement à cela ?

La sensibilisation et la formation du personnel sont cruciales pour la cybersécurité. Les employés constituent souvent le maillon faible. Notre entreprise propose des programmes de sensibilisation personnalisés, des sessions de formation sur mesure et des simulations d'attaques (sur le Phishing par exemple) pour renforcer les compétences en sécurité. Nous développons également du matériel de sensibilisation engageant et des conseils à destination du réseau Wallonie Santé. En éduquant le personnel, nous aidons nos clients à réduire les risques d'attaques et à promouvoir une culture de sécurité forte.

Quelles sont les étapes clés que vous recommandez à vos clients en cas de détection d'une faille de sécurité, et comment votre entreprise les assiste-t-elle dans ce processus ?

En cas de détection d'une vulnérabilité, nous recommandons à nos clients les étapes suivantes : évaluation de la vulnérabilité, analyse des risques potentiels, mise en œuvre de correctifs appropriés (par exemple un « patch »), suivi et validation des mesures prises. Il faut également noter que de nombreuses vulnérabilités découlent de lacunes en gestion et gouvernance. Une mauvaise allocation des ressources, des politiques de sécurité inefficaces et un manque de sensibilisation peuvent exposer les systèmes aux risques. Une gouvernance solide et une gestion proactive sont essentielles pour identifier, prévenir et remédier à ces vulnérabilités.

Avec l'évolution constante des réglementations en matière de protection des données (comme le RGPD), comment assurez-vous que vos audits sont toujours en phase avec les dernières exigences légales ?

Nous assurons régulièrement que nos services et audits restent conformes aux dernières réglementations sur la protection des données, comme le RGPD, en surveillant la jurisprudence. Notre équipe dédiée de juristes et de spécialistes en conformité, notamment pour le RGPD et NIS2, veille à maintenir nos pratiques à jour et à garantir le respect des exigences légales en vigueur.

Enfin, quelles tendances ou technologies émergentes voyez-vous influencer le plus l'avenir de la cybersécurité, particulièrement dans les contextes moins sécurisés comme les petites entreprises ou institutions ?

L'intelligence artificielle (IA) devient de plus en plus importante pour détecter et prévenir les attaques, mais elle peut aussi être utilisée par les attaquants pour des activités malveillantes telles que les deep fakes. La sophistication croissante des attaquants, souvent avec une éthique moindre, nécessite des défenses plus robustes. De plus, les tendances géopolitiques actuelles, comme les tensions et guerres entre les nations, influencent également le paysage de la cybersécurité, avec des attaques potentiellement plus ciblées et agressives contre le monde Occidental.

L'actualité

Wallonie Santé et Ecetia s’unissent pour des projets d’envergure dans la Santé

Wallonie Santé et l'intercommunale Ecetia annoncent un partenariat. L'objectif : renforcer le secteur des soins et de la petite enfance à travers des maisons de repos et des crèches. Une collaboration innovante qui optimise les ressources et compétences des deux entités.

NOUVEAU : l’accompagnement comme levier de développement

En 2023, Wallonie Santé a franchi une étape majeure en faisant évoluer ses missions. Au panel de produits et de services, s’ajoute désormais l’accompagnement personnalisé des structures de soins afin de mieux les orienter et doper leur développement.

Cybersécurité dans le secteur de la Santé : une Priorité pour Wallonie Santé !

La cybersécurité est un enjeu majeur pour le secteur de la santé. Chez Wallonie Santé, nous sensibilisons et soutenons les acteurs dans ce domaine. Il est essentiel que chaque organisation se prémunisse des risques et mette en place une série d’actions et d’investissements pour se protéger.

Toutes les news

L'actualité

Wallonie Santé et Ecetia s’unissent pour des projets d’envergure dans la Santé

NOUVEAU : l’accompagnement comme levier de développement

Cybersécurité dans le secteur de la Santé : une Priorité pour Wallonie Santé !

Galerie médias