Lors du colloque cybersécurité, en ligne et en présentiel organisé le 18 novembre par l’Agence du numérique en santé, la prestation de Rodrigue Alexander, directeur du CH d’Arles, piraté cet été, était riche d’enseignement. Un retour d’expérience inoubliable sur le vécu d’un établissement lors d’une attaque cyber.

C’est presque toujours un week-end que ça arrive et de préférence en période de pont ou de congés… et ça n’a pas loupé.
Rodrigue Alexander qui cumule la direction des finances, de l’activité et du système de l’information du CH d’Arles, n’oubliera jamais la nuit du dimanche au lundi 2 août 2021 lorsque l’informaticien d’astreinte l’appelle à 3h du matin. Il devait partir en vacances le lendemain. « Il y a une panne sur le logiciel du laboratoire. J’ai du mal à me connecter de chez moi. » Aussitôt, c’est le branle-bas de combat et l’application des procédures d’urgence : isoler et se déconnecter des établissements voisins.

Procédure dégradée : retour au papier-crayon et débrouillardise

Lundi, 8h du matin, il faut alerter le personnel qu’on passe en « procédure dégradée ».
Comment prévenir 1200 personnes (moins quelques-uns en congé) alors que la messagerie de l’hôpital ne fonctionne plus ? On utilise le téléphone qui heureusement n’était pas encore en IP(ligne internet). Les annuaires, eux, sont sur l’intranet ; mais on découvre qu’une secrétaire en avait fait une copie papier ! Le message peut diffuser : « suite à un incident informatique », ne pas utiliser les postes informatiques même si ceux-ci semblent fonctionnels. Retour général au papier-crayon.
Moyennant quoi, « nous arriverons à assurer tous les rendez-vous et les hospitalisations et toutes les opérations. »
A 18h, premiers échanges avec le CERT Santé qui recense et traite les incidents et l‘ANSSI (Agence nationale de la sécurité des systèmes d’information) qui fournit la liste qualifiée des PRIS, prestataires de réponse aux incidents de sécurité qui pourront assister le CH. « Ce premier soir, j’ai vraiment eu peur de ne trouver personne un début août mais je finis par retenir la société Advens qui était disponible.»
« Nous avons appliqué le plan de continuité d’activité que nous avions travaillé dans le cadre du programme Hop’en* . C’est alors qu’on se rend compte que ces financements obtenus avec des contraintes, c’est une bonne chose ! Nous mettons en place une cellule de crise avec des opérationnels directs et des réunions limitées à 30 mn. L’information technique est partagée et on arbitre en fonction des priorités. Ce n’est pas facile car tous les services s’estiment prioritaires ! Il est donc essentiel d’établir une cartographie explicative des réseaux qui explique bien l’interconnexion entre les postes ».
A ce propos, penser à  couper du monde la hotline informatique pour qu’elle puisse travailler en paix.
C’est le règne de la débrouillardise et du pragmatisme. On fait appel aux téléphones portables et aux PC des uns et des autres. Les familles se plaignent de ne pouvoir appeler leurs malades dans leurs chambres. On établit une cartographie des lits occupés de l’établissement qui est hébergé dans un cloud grand public avec des fiches navette.
Pour le service d’imagerie, on prend un abonnement avec un taxi qui rapporte les cédéroms de radiologie à expertiser.
On en retiendra qu’il vaut mieux diversifier l’hébergement des appareils sensibles. Les salaires seront bien virés mais sans les éléments variables… reportés plus tard.

Scénario de l’attaque et leçons à tirer

Le PRIS a reconstitué le scénario de l’attaque. Le compte d’un fournisseur a été piraté. Ce dernier pour contacter le CH passait par un VPN qui n’avait pas encore été complètement sécurisé. Ensuite le pirate disparait après avoir consulté différents comptes administratifs dont il a trouvé le code. Et il réapparait le 1er aout. Des données de santé de l’hôpital sont retrouvées aux Pays Bas . L’ampleur de l’attaque aurait pu être réduite avec une application plus ferme des règles d’hygiène informatique.
Point positif d’un tel épisode : les consignes de sécurité passent beaucoup mieux auprès du personnel. L’adoption de nouveaux mots de passe de 12 caractères à changer tous les trois mots s’est fait sans récrimination…Plusieurs projets informatiques ont pris un coup d’accélérateur. 95% des utilisateurs ont aujourd’hui retrouvé un accès. Le GHT a montré son utilité en prêtant du matériel, en mettant à disposition des collègues d’autres établissements, en apportant l’assistance du RSSI et de son équipe. La bonne gestion de la communication est importante. S’il faut alerter les personnels des établissements voisins et communiquer en interne (en hybridant si besoin une messagerie grand public ), il ne faut pas évoquer d’emblée une cyberattaque, sujet médiatique par excellence qui suscite l’intérêt des journalistes. Mieux vaut ne pas avoir à les affronter tout de suite, mais plutôt quand on commence à maîtrises la situation.

Le coût de la crise

Assistance à maitrise d’ouvrage (AMOA) : 300 000 euros
Deux ETP (équivalent temps plein) recrutés pour ressaisir sur la base des fichiers papiers les 43 000 actes effectués soit 200 jours de travail 20 000 euros plus 4000 séjours hospitaliers à recoder et les comptes rendus à remettre dans la base.
A cela il faut ajouter un coût humain : l’épuisement des équipes qui avaient déjà fait face à l’épidémie Covid. Et prévoir une prime d’intéressement collectif pour soigner le moral.
En conclusion, M. Alexander résume les messages clés du PRIS : bien expliquer qu’il n’y a pas de coupable mais que des victimes, que le déblocage du système informatique est une course de fond pas un sprint, qu’il n’y a pas de honte à avoir car les cyberattaques touchent même les mieux préparés. Depuis 2018, on recense une trentaine d’attaques réussies avec demande de rançon dans des structures de santé sur 310 incidents de sécurité déclarés dont le nombre est en constante augmentation.
La crise à affronter ne ressemblera pas à ce que vous aurez imaginé mais vous êtes préparés, vous aurez des procédures à appliquer. Anticiper, c’est cyberbien !

*Hop’en, programme Hopital numérique ouvert sur son environnement de la DGOS (direction générale de l’offre de soins) qui a retenu 1737 projets de financement dont 541 seront terminés en 2021.
Bon à savoir
Le Resah (réseau des acheteurs hospitaliers) a publié un guide pour se prémunir contre les cyberattaques 
La rubrique cybersécurité du portail de l’ANS 
Signaler un incident de cybersécurité sur le portail du ministère de la santé  
Contact avec le CERT Santé https://esante.gouv.fr/securite/cert-sante