/

La protection des hôpitaux wallons face à la recrudescence des cyberattaques

  • Session : 2025-2026
  • Année : 2026
  • N° : 637 (2025-2026) 1

2 élément(s) trouvé(s).

  • Question écrite du 03/02/2026
    • de DURENNE Véronique
    • à COPPIETERS Yves, Ministre de la Santé, de l'Environnement, des Solidarités et de l'Economie sociale
    Il y a quelques jours, un article de presse du journal « La Libre Belgique » faisait état des dispositions prises par les hôpitaux belges pour faire face à la multiplication des cyberattaques visant le secteur des soins de santé. Il rappelait notamment qu'un hôpital anversois a récemment dû reporter une septantaine d'interventions à la suite d'un piratage informatique, illustrant très concrètement l'impact que de telles attaques peuvent avoir sur la continuité des soins et la sécurité des patients.

    Cet article cite notamment un rapport de l'ASBL Shield évaluant la maturité des systèmes de cybersécurité des hôpitaux belges au regard des normes « CyberFundamentals » définies par le Centre pour la cybersécurité. Il ressort de ce rapport que seuls 23,8 % des contrôles réalisés atteignent le niveau de maturité obligatoire et que d'importantes disparités existent entre les régions, la Wallonie se situant dans une position intermédiaire entre la Flandre, mieux équipée, et Bruxelles. Le rapport souligne également la vulnérabilité particulière des hôpitaux psychiatriques, souvent dépourvus de ressources informatiques et de fonctions de sécurité spécialisées.

    Dans un contexte où les exigences de base en matière de cybersécurité seront renforcées dès 2026 et 2027, et alors que les auteurs du rapport appellent à une action coordonnée et à un financement ciblé afin d'éviter une évolution à deux vitesses entre établissements, je souhaiterais obtenir quelques informations sur les mesures mises en place en Région wallonne.

    Dès lors, quelle est l'évaluation actuelle de M. le Ministre du niveau de cybersécurité des hôpitaux wallons, au regard notamment des normes « CyberFundamentals » ?

    Quelles actions spécifiques la Wallonie a-t-elle déjà mises en œuvre ou prévoit-elle de mettre en œuvre pour renforcer la prévention, la détection et la gestion des cyberattaques dans les hôpitaux ?

    Des moyens financiers ou un accompagnement spécifique sont-ils prévus pour aider les établissements, en particulier les hôpitaux psychiatriques, à se mettre en conformité avec les exigences actuelles et futures ?

    Enfin, une coordination est-elle envisagée avec le niveau fédéral et les autres régions afin d'assurer un niveau de protection homogène et d'éviter des disparités territoriales en matière de cybersécurité hospitalière ?
  • Réponse du 27/02/2026
    • de COPPIETERS Yves
    L’interrogation de l’honorable membre rejoint les préoccupations exprimées à cet égard par d'autres députés auxquels j'ai déjà répondu. Je citerai notamment les questions parlementaires n°392 sur la cybersécurité et le secret médical, ou encore les n°53-79, n°11-231 et n°5-240 sur la cybersécurité en milieu hospitalier. Toutes convergent pour montrer que la cybersécurité des établissements de santé est aujourd’hui un enjeu central de politique publique, mobilisant plusieurs secteurs d’intervention.

    En matière de santé publique, garantir la disponibilité et la fiabilité des systèmes cliniques et des données patients constitue un enjeu majeur.

    Cette approche s’inscrit dans une logique de gestion globale des risques sanitaires et contribue à la conformité des démarches de qualité des établissements de santé.

    Il est également à rappeler que les professionnels de la santé restent des acteurs majeurs en ce qui concerne la cybersécurité des données de santé en Wallonie. Ceux-ci sont responsables du traitement des données qu’ils traitent dans le cadre des soins prodigués à leurs patients et sont donc soumis aux règles du Règlement général sur la protection des données, qui impose aux personnes manipulant des données de mettre en place les mesures techniques et organisationnelles appropriées pour garantir leur sécurité.

    L’AViQ contribue à cette culture de la protection de la vie privée dans ses missions de communication et de sensibilisation autour de la santé numérique.

    Les cyberattaques visant les hôpitaux ont démontré que les systèmes d’information ne sont plus de simples outils de support, mais des infrastructures critiques dont la compromission peut affecter directement la continuité des soins, la sécurité des patients et la confiance des citoyens dans le système de santé.

    Dans ce contexte, la directive européenne NIS2, transposée en droit belge, renforce les exigences imposées aux organisations fournissant des services essentiels, parmi lesquelles figurent désormais les hôpitaux et les maisons de repos.

    Le Centre pour la cybersécurité Belgique (CCB) joue un rôle central. Il supervise, coordonne, veille à la mise en œuvre de la stratégie belge en matière de cybersécurité et met à disposition des outils et des programmes de cybersécurité comme le CyberFundamentals Framework (CyFun) qui est un ensemble de mesures concrètes visant à protéger les données, à réduire considérablement le risque des cyberattaques les plus courantes et à accroître la cyberrésilience d'une organisation.

    Son équipe d’intervention, le CERT (Cyber Emergency Response Team), intervient en première ligne, en gérant les grands incidents sur toute la Belgique. En Wallonie, le CRT (Cyber Response Team) interviendra en soutien au CERT pour endiguer l’attaque.

    Il n’existe pas encore de baromètre public spécifique à la Wallonie pour la maturité cybersécurité hospitalière, notamment selon les CyberFundamentals.

    La Belgique fonctionne aujourd’hui avec :
    - des analyses sectorielles nationales anonymisées ;
    - des tableaux de bord internes fédéraux ;
    - et des trajectoires de maturité individuelles par hôpital.

    Par ailleurs, conformément à ce qui a été exposé, le Gouvernement wallon fait de la cybersécurité dans le secteur de la santé une priorité, en cohérence avec la stratégie numérique Digital Wallonia 2025-2029 de l’Agence du Numérique. Elle coordonnera avec le CRT et identifie déjà la cybersécurité comme un pilier central de la transformation numérique régionale et vise à garantir des infrastructures numériques sûres, résilientes et durables grâce à une gouvernance agile et cohérente couvrant l’ensemble des entités et des secteurs publics.

    Cette priorité se décline en trois axes complémentaires :
    - offrir un point de contact centralisé pour accompagner les différentes parties prenantes et soutenir leurs besoins en cybersécurité ;
    - mettre en place un cadre régional intégré incluant des capacités de détection et d’alerte, une réponse régionale coordonnée, ainsi que la conformité aux obligations NIS2/CRA ;
    - renforcer l’écosystème régional en développant les compétences en cybersécurité, en rendant obligatoire un budget dédié et en valorisant les acteurs régionaux dans les marchés publics.

    Dès lors, des mesures de sécurité renforcées doivent être mises en œuvre telles qu’assurer une gouvernance interne claire incluant la désignation d’un responsable cybersécurité, organiser la gestion et la notification rapide des incidents et se conformer à un régime de supervision et de sanctions accru. Ces obligations visent à élever le niveau global de résilience, à protéger les données sensibles des patients et à garantir la continuité des soins dans un contexte de risques cybercroissants.

    Comme décrit dans mes précédentes réponses, dans le cadre de ses missions et de son périmètre d’intervention, Wallonie Santé s’est positionnée de manière proactive et précurseur sur la thématique du financement des investissements en matière de cybersécurité dans le secteur de la santé.

    À ce titre, elle a développé un prêt spécifiquement dédié aux investissements cyber (hardware et software), auquel les hôpitaux wallons peuvent recourir.

    Ce prêt peut couvrir jusqu’à 100 % de l’investissement, pour un montant pouvant atteindre 2 000 000 d’euros, sur une durée maximale de cinq ans. Il est octroyé sans exigence de garantie ni frais de gestion, à un taux avantageux.

    Au-delà du financement, Wallonie Santé a également contribué à la mise en relation avec des partenaires spécialisés en cybersécurité, au développement de collaborations avec les fédérations sectorielles, ainsi qu’à des initiatives de sensibilisation (webinaires, Cyberweek …) et au partage régulier d’informations relatives aux évolutions réglementaires, notamment la directive NIS2.

    Ainsi, la Wallonie soutient activement l’investissement en cybersécurité dans le secteur de la santé afin d’offrir aux institutions hospitalières un cadre cohérent, robuste et aligné sur les standards les plus exigeants.

    Des mesures ont également été prises en la matière par l'État fédéral.

    C'est ainsi que le Gouvernement fédéral a notamment dégagé une enveloppe de 39.5 millions d'euros en avril 2024 visant à permettre aux hôpitaux de renforcer leurs systèmes d'information, améliorer la protection des données patients, et réduire les risques liés aux cyberattaques.

    La cybersécurité des établissements de santé dépasse le champ de l’informatique et s’inscrit dans une vision globale et interministérielle de l’action publique.