Autopsie d'un piratage : Cyberattaque au CH d'Arles

Article Article

Dans la nuit du 1er au 2 août 2021, l’équipe du laboratoire biologique du centre hospitalier d’Arles appelle l’ingénieur informatique d’astreinte pour lui signaler des difficultés de connexion. Pour mieux comprendre, l’ingénieur se rend sur place...

Autopsie d'un piratage : Cyberattaque au CH d'Arles

Il est environ 5 h du matin lorsqu’il constate qu’un grand nombre de fichiers sont illisibles et renommés « all your files are encrypted ». Il comprend alors que l’établissement est victime d’une cyberattaque.

Pour éviter que ce virus informatique se propage davantage, l’ingénieur lance un ensemble de procédures d’urgence : il coupe les accès à internet, aux sauvegardes et déconnecte les liens fibre avec l’AP-HM et le CHU de Nîmes, établissements avec lesquels le CH d’Arles travaille en réseau. 

7h00 : l’équipe informatique appelle tous les PC infirmiers et prévient les cadres de santé de ne plus allumer leurs ordinateurs. 

La procédure dégradée est activée : retour au papier/crayon pour les professionnels (des urgences à la blanchisserie) qui ne peuvent plus accéder à aucun logiciel leur permettant de fonctionner normalement. Pour autant, la continuité des soins doit être assurée. Un travail compliqué davantage encore par la gestion d’aléas divers ; il faut communiquer auprès des patients et de leur famille, pour leur expliquer par exemple le rallongement des procédures d’admission.

En parallèle, le CH d’Arles signale l’attaque au CERT Santé (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques), qui lui transmet les coordonnées de PRIS (prestataires de réponse aux incidents de sécurité). La collaboration avec l’un d’eux, sur place dès le lendemain, permet d’analyser l’attaque et de préconiser les moyens de renforcer la sécurité de l’établissement. 

Pendant plus de 6 mois après la cyberattaque, le CH d’Arles a subi des conséquences lourdes : 20 logiciels sur les 139 utilisés sont restés  inopérationnels jusqu'au mois de mars 2022.

 

4 questions à Rodrigue Alexander, directeur adjoint chargé des Finances, de l’Activité et du Système d’information au CH d’Arles

What's Up Doc : Dans quel contexte est survenue cette cyberattaque ?

Rodrigue Alexander : Deux ans avant cet événement, nous avions entamé des démarches pour intégrer le programme HOP’EN. Nous avions donc constitué un dossier composé de notre cartographie applicative, notre document de reprise d’activité si un tel événement survenait, ainsi que notre plan de gestion de crise. Un travail fastidieux mais qui nous a aidés au moment de cette attaque massive, car cela nous a obligés à nous préparer en amont. Enfin, cette cyberattaque a eu lieu durant la crise sanitaire, en plein été : une période creuse pendant laquelle il y avait moins de personnel. Et comme souvent, les pirates ont attaqué en pleine nuit.

Justement, comment s’y sont-ils pris pour intégrer votre système informatique ?

R. A. : Avec les experts PRIS, nous avons pu remonter la chaîne d’attaque et analyser les traces laissées par les pirates pour comprendre leur cheminement et mieux les bloquer en cas de récidive. L’un des agents de notre fournisseur d’accès, en télétravail, a lui-même été piraté : les individus sont passés par son VPN pour remonter jusqu’à notre établissement, dont ils ont craqué le système pour remonter jusqu’aux droits d’accès qu’ils ont pu s’attribuer. Bien qu’ils aient effacé leurs traces au maximum, nous avons découvert que des premiers documents (procédures qualité et documents d’information) avaient disparu 3 semaines avant le 2 août. Ils devaient recueillir un maximum d’informations à notre sujet : documents budgétaires et comptables, RH, médicaux… Des informations nécessaires pour que l’on puisse réagir moins vite et définir le niveau de rançon qu’ils allaient nous attribuer. 

Un montant que vous ne connaissez toujours pas, d’ailleurs…

R. A. : Non, je ne m’y suis pas intéressé, n’ayant pas eu de contact direct avec les assaillants ; d’autant plus qu’il était hors de question de payer. Nous avons constitué notre dossier, puis porté plainte contre X dès que nous avons su de quel type de cyberattaque il s’agissait, soit 2 semaines après qu’elle ait eu lieu. Lorsque j’ai transmis les documents et informations au Parquet de Paris, j’ai signé une dérogation pour que les services de police puissent agir au nom du CH d’Arles dans cette affaire. 

Qu’est-ce-que cette attaque a changé dans la sécurisation de votre système informatique ?

R. A. : Au-delà de le sécuriser davantage, nous avons dû intégralement le reconstruire. Achat de nouveaux serveurs et du matériel nécessaire au renforcement des pare-feux, nouvelles méthodes de travail : au lieu de disposer de mots de passe de 8 caractères, ils en comportent 12 et même 15 pour les techniciens habilités. Nous les changeons tous les 3 mois, au lieu de tous les 6 mois. D’une manière générale, nous avons accéléré tous nos projets liés à la sécurité. Notamment le cloisonnement des réseaux au sein du CH : si un médecin clique sur un mauvais lien, le service concerné devient instantanément « étanche » afin d’empêcher la contagion des autres services. 

 

Les gros dossiers

+ De gros dossiers