Article
D’astreinte cette nuit-là, il court lui-même arrêter tous les serveurs de l’établissement de santé. Et pour cause : 20 minutes plus tôt, plusieurs soignants ont réalisé que certaines de leurs applications, comme le logiciel de gestion des urgences ou d’authentification des personnels, ne fonctionnaient plus. Il s’avère que toutes les données de l’hôpital ont été chiffrées. La réaction des services numériques est immédiate : le système informatique est à l’arrêt, téléphonie incluse. La direction de l’hôpital, l’ARS, le SAMU ainsi que l’ANSSI (Agence nationale de la sécurité des systèmes d’information) sont prévenus.
A minuit le lendemain, la délégation de cette dernière arrive d’ailleurs sur place.
Une cellule de crise est organisée le jour-même, pour évaluer les dégâts et déterminer les actions à mettre en place. Par chance, la téléphonie IP n’a pas été touchée et peut donc être rapidement remise en service, par le biais d’une « bulle » exempte de tout risque ; de même pour les sauvegardes de l’établissement, qui peut ainsi récupérer l’ensemble de ses données.
Au total, des mois de reconstruction sont nécessaires pour rebâtir les 200 applications de l’hôpital et reformater ses 2 300 postes de travail. Mais dès l’été 2021, toutes les équipes peuvent à nouveau travailler normalement.
Nasser Amani, directeur des services numériques à l’hôpital Nord-Ouest raconte :
Whats up Doc : Quel était le contexte de cet événement ?
Nasser Amani : Nous étions entre deux vagues de Covid, mais prenions encore en charge un certain nombre de patients en réanimation et en néonatologie. Le CH de Dax avait subi une grave cyberattaque la semaine précédente. Quant à nous, nous avions déjà fait l’objet d’une tentative de ce genre. Mais cette fois, les cybercriminels étaient présents au sein de notre système informatique depuis plusieurs jours ; en tout cas depuis au moins la veille, d’après l’ANSSI. Ils ont pu y pénétrer par un hameçonnage (envoi massif de mails, NDLR), lancé en priorité aux adresses mail appartenant à des utilisateurs avec des droits d’accès élevés, afin de causer un maximum de dégâts rapidement.
Comment expliquez-vous cette rapidité exceptionnelle de reconstruction de votre système informatique ?
NA. Contrairement à ce que beaucoup pensent, les hôpitaux investissent depuis des années dans la cybersécurité. Pour notre part, cela représente de la formation et des investissements en continu depuis 2012, date depuis laquelle les établissements de santé ont l’obligation de mettre en place certains outils pour leur cybersécurité. L’ensemble de nos équipes était donc déjà sensibilisé à cette problématique, ce qui a rendu d’autant plus efficace la collaboration de tous les personnels. D’ailleurs, il y a eu une solidarité incroyable entre les soignants, les équipes informatiques, administratives… Tout le monde a contribué, à son niveau, au rétablissement rapide de notre système. À ce sujet, 36 personnes des services numériques et des prestataires extérieurs ont travaillé jour et nuit : les logiciels de gestion des services réa et néonat’ ont été reconstruits en 3 jours ; 12 jours pour celui des urgences… La reconstruction des applications était terminée fin mars. Pour y parvenir dans les meilleures conditions, nous avions installé des infrastructures de repos à proximité.
Qu’est-ce-que cette cyberattaque a changé dans votre manière de travailler ?
NA. Beaucoup de choses ! D’un point de vue technique, nous avons mis en place un outil de détection par IA, capable d’arrêter immédiatement le système informatique. Nous avons également modifié notre stratégie de travail en procédure dégradée, qui nous permet de tenir nos activités en ce mode pendant un mois et demi, contre 48 heures auparavant. Côté communication, nous organisons de nombreuses campagnes de sensibilisation à destination de l’ensemble des personnels. Et bien sûr, les équipes numériques bénéficient d’un plan de formation dédié qui comprend notamment des simulations de cyberattaque. La cybersécurité fait également l’objet d’un management en continu, dont je suis chargé. L’objectif ? Travailler en amont, afin d’être immédiatement réactifs si cela se reproduisait.