Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-1989

de Tom Ongena (Open Vld) du 25 avril 2023

au vice-premier ministre et ministre de la Justice et de la Mer du Nord

Cybersécurité - Cyberattaques - Acteurs étatiques - Hôpitaux - Chiffres et tendances - Protection - Mesures

guerre de l'information
sécurité des systèmes d'information
établissement hospitalier
piratage informatique
virus informatique

Chronologie

25/4/2023Envoi question (Fin du délai de réponse: 26/5/2023)
14/6/2023Réponse

Aussi posée à : question écrite 7-1988
Aussi posée à : question écrite 7-1990
Aussi posée à : question écrite 7-1991

Question n° 7-1989 du 25 avril 2023 : (Question posée en néerlandais)

Des hackers pro-russes ont visé des hôpitaux néerlandais par le biais d'attaques par déni de service distribué (DDoS). C'est ce que rapporte Z Cert, une association d'hôpitaux dans le domaine de la protection numérique. Au début de cette année, plusieurs hôpitaux ont été touchés par des attaques DDoS. Les assaillants ont notamment ciblé l'University Medical Center Groningen (UMCG), dont le site internet est régulièrement tombé en panne. Un porte-parole de l'hôpital a indiqué que l'attaque semblait survenir par vagues (cf. https://nos.nl/artikel/2461833 pro russische ddos aanvallers hebben het gemunt op nederlandse ziekenhuizen).

Selon un porte-parole de Z-Cert, il s'agit d'une attaque menée par le groupe «Killnet», en collaboration avec d'autres hackers.

D'après RTL Nieuws, Killnet a également visé des hôpitaux notamment en Allemagne, en Espagne, aux États-Unis et au Royaume-Uni. L'action du groupe trouve sa motivation dans le soutien des pays concernés à l'Ukraine dans la guerre contre la Russie. Killnet est un groupe de cybercriminels qui mène souvent des attaques DDoS. Précédemment, il a lancé des attaques, entre autres, contre des aéroports, des organes publics et des institutions financières allemands, comme le relate «Security Week». En octobre 2022, il a aussi mené des attaques DDoS contre des aéroports américains.

Ce phénomène n'est pas spécifique à nos voisins du nord. En 2021, des criminels étaient parvenus à introduire des virus dans le système informatique d'un hôpital de Mol, probablement via un courriel. Aucune donnée n'avait été volée et les informations médicales des patients n'avaient donc pas fuité, mais les virus avaient paralysé un grand nombre de systèmes (https://www.vrt.be/vrtnws/nl/2021/02/03/cyberaanval op heilig hartziekenhuis mol geen patienten in gevaar/).

Dans une interview, le directeur de l'hôpital en question, en concertation avec les services informatiques de l'établissement, a fait le lien avec la Russie (cf. https://www.numerikare.be/nl/nieuws/beroepsnieuws/russen aan basis hacking ziekenhuis mol dr ivo jacobs.html). Il a déclaré que les experts informatiques ont beaucoup d'expérience en la matière, et estiment que l'attaque serait d'origine russe. Selon lui, le piratage des entreprises occidentales est une activité légale en Russie, qui peut être pratiquée depuis des bureaux cossus à Moscou. Il n'en revient pas et se dit choqué. Avant de lancer une attaque de grande envergure en Ukraine en février 2022, la Russie nous avait déjà attaqués.

L'année dernière, en Australie, des hackers russes ont procédé à un vol de données à grande échelle dans le cadre de la guerre en Ukraine. Ils sont parvenus à s'emparer des données de près de dix millions de personnes, dont le premier ministre Anthony Albanese. Le commissaire de police australien Reece Kershaw a déclaré qu'un groupe de cybercriminels avait réalisé le piratage depuis la Russie. Selon lui, ce groupe disparate de hackers était aussi l'auteur de vastes cyberattaques dans des pays du monde entier. L'Australie indique qu'elle tente d'obtenir des informations sur ce groupe auprès des autorités russes (cf. https://www.hln.be/nieuws/russische hackers stelen medische data van australische premier en tien miljoen landgenoten~abee6317/?referrer=https%3A%2F%2Fwww.google.be%2F).

En ce qui concerne le caractère transversal de la présente question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je voudrais dès lors vous poser les questions suivantes:

1) Y a-t-il déjà des indications selon lesquelles des collectifs de hackers russes, tels que Killnet ou d'autres organisations apparentées, ont la Belgique dans le collimateur, étant donné que notre pays est membre de l'Organisation du Traité de l'Atlantique Nord (OTAN) et soutient l'Ukraine? Si oui, de quels services ces indications émanent-elles? Dans quelle mesure sont-elles concrètes? Combien d'indications ont été signalées? Comment y réagit-on? Quelles cibles sont citées? Des mesures supplémentaires ont-elles déjà été prises pour les secteurs concernés?

2) Selon vous, quels sont les aspects vulnérables des hôpitaux belges susceptibles d'être exploités par des hackers russes? Que fait-on actuellement pour améliorer la sécurité des hôpitaux et d'autres infrastructures vitales, et pour les protéger contre de telles cyberattaques?

3) Quelles mesures avez-vous prises jusqu'à présent pour lutter contre la menace potentielle de piratage des hôpitaux belges par des hackers russes? Existe-t-il des plans ou des initiatives stratégiques qui visent à renforcer la cybersécurité des hôpitaux et d'autres secteurs critiques en Belgique?

4) Pouvez-vous expliquer la raison pour laquelle des hackers ont attaqué des hôpitaux aux Pays-Bas? Voulaient-ils perturber les activités (en mettant potentiellement des vies en danger), récolter des informations (en consultant le dossier médical de certaines personnes), réaliser un test grandeur nature (en mettant à l'épreuve la sécurité d'infrastructures sensibles) ou avaient-ils d'autres motivations?

5) La Belgique collabore-t-elle avec d'autres pays européens et des partenaires internationaux pour lutter contre la menace que font peser les hackers russes sur le secteur des soins de santé? Quels sont les initiatives en cours ou les accords de coopération visant à générer une réaction commune à cette cybermenace?

6) Comment les hôpitaux belges sont-ils soutenus dans l'élaboration de leurs propres mesures de cybersécurité pour se protéger eux-mêmes contre les cyberattaques, en particulier celles menées par des hackers russes? Des moyens ou des subventions ont-ils été mis à disposition pour améliorer le niveau de cybersécurité du secteur des soins de santé? Si oui, combien et de quelle nature?

7) Quel est le rôle des autorités dans la promotion de la sensibilisation et de la formation en matière de cybersécurité dans le secteur des soins de santé? Envisage-t-on de mettre sur pied des programmes ou des initiatives visant à développer la sensibilisation et les connaissances en matière de cybermenaces auprès du personnel hospitalier, du personnel informatique actif dans le secteur et d'autres acteurs? Quelles mesures voulez-vous prendre pour garantir et accroître la cybersécurité du secteur des soins de santé et ainsi assurer la sécurité nationale? Quelles mesures avez-vous déjà prises et quelle est votre évaluation de celles-ci?

8) Comment les services de renseignement et de sécurité en Belgique sont-ils associés à la lutte contre les cybermenaces et à leur surveillance, en particulier les menaces russes? Quels sont les mécanismes de coopération et d'échange d'information entre les différentes instances concernées?

Réponse reçue le 14 juin 2023 :

1) Des hacktivistes prorusses mènent des attaques par déni de service distribué (DDoS) contre des cibles dans des pays qui soutiennent l’Ukraine, principalement des pays de l’Organisation du Traité de l’Atlantique Nord (OTAN). Principalement Killnet se profile dans le discours prorusse et anti-OTAN sur Internet. Les attaques DDoS ont pour but de rendre des sites internet inaccessibles pendant une période déterminée plutôt que de détruire ou de crypter de données (ransomware). Les attaques d’hacktivistes de Killnet semblent avoir plus de succès en tant que guerre de l’information qu’en tant que cyberattaques. Étant donné que la Belgique est membre de l’OTAN, il est effectivement possible que Killnet harcèle également des cibles en Belgique au travers d’attaques DDoS. Ainsi, la Sûreté de l’État (VSSE) a appris que le site internet d’Eurocontrol à Bruxelles a déjà été pris dans le viseur de Killnet, toutefois avec peu de résultats. Pour autant que l’on sache, l’attaque n’a en tous les cas pas eu d’impact sur le trafic aérien.

2) à 8) Ces questions relèvent de la compétence de mon collègue le ministre des Affaires sociales et de la Santé publique à qui cette question a d’ailleurs été transmise.