La cyberattaque dont a été victime le GHT nord-Ardennes remonte au 30 septembre 2022. Une intrusion est alors détectée par les équipes de la direction des systèmes d’information (DSI) du groupement hospitalier et une analyse rapide confirme que le composant est un cryptovirus. Alerté très rapidement, Samuel Legros, directeur des services informatiques, prévient Thomas Talec, directeur du GHT nord-Ardennes et tous deux activent une cellule de crise moins d’une heure après l’alerte. Le Computer Emergency Response Team (CERT) santé (1), l'Agence nationale de la sécurité des systèmes d'information (Anssi) et les services d’Orange cyberdéfense — structure spécialisée agréée par le ministère de la Santé — sont immédiatement saisis pour analyser le virus, lequel est connu et considéré comme « très dangereux ». En quelques minutes, la cellule de crise décide donc de couper les accès à Internet pour bloquer la propagation de l’attaque. « C’est un saut dans l’inconnu, reconnaît Thomas Talec, car si nos équipes informatiques sont très compétentes, nous n’avons pas une connaissance à 100 % des applicatifs nécessitant de recourir à Internet. Certains d’entre eux n’étaient donc plus disponibles, nous obligeant à identifier des dispositifs palliatifs. »
Cellule de crise
Parmi les premières décisions de la cellule de crise figure également l’impression des dossiers des patients et de chaque modification des plans de soins. « Nous redoutions l’injection d’un produit malveillant paralysant notre activité. Dans un hôpital de 1 500 lits, cela aurait été une catastrophe », témoigne Thomas Talec. Le dispositif a d’ailleurs été maintenu pendant plusieurs semaines jusqu’à ce que les agences nationales confirment « avec une certitude absolue » que l’attaque n’avait pas produit ses effets. « Nous avons travaillé jour et nuit, en collaboration avec nos collègues des agences, poursuit Samuel Legros. Des produits spécifiques lancés sur chaque serveur permettaient aux experts de nous dire quels serveurs étaient infectés ou pas », En plus d’analyser les effets de l’intrusion et de prendre les mesures techniques pour faire face à l’activation éventuelle de produits malveillants, la cellule de crise devait aussi trouver des solutions garantissant le bon fonctionnement de l’établissement malgré l’indisponibilité de certains applicatifs. « Nous découvrions des problèmes chaque jour. Je pense par exemple au logiciel de paye qui était hébergé à l’extérieur… », se souvient Thomas Talec.
Un dénouement heureux
« La décision d’isoler l’hôpital a été la bonne. Il n’y a eu ni vol de données, ni cryptage, ni demande de rançon », souligne Thomas Talec qui met en lumière plusieurs points forts du GHT pour répondre à la cyberattaque : en premier lieu, la taille du groupement qui est passé de cinq établissements initialement, à deux suite à la fusion en janvier 2020 des centres hospitaliers de Charleville-Mézières, Sedan, Nouzonville et Fumay. Ensuite, le GHT a fait le choix d’un directeur unique, ce qui a facilité la prise de décisions. « Nous avons aussi développé une culture de la gestion de crise. Le Grand-Est a été particulièrement touché par le Covid-19, puis par des catastrophes climatiques comme des incendies et des inondations. Ces événements nous conduisent à être très réactifs et l’organisation en GHT a été une force pour gérer la situation. »
Un constat partagé par Samuel Legros : « Le fait d’avoir une DSI unique nous a permis de répondre très rapidement et de rester soudés. L’isolement est beaucoup plus difficile à vivre pour un établissement seul. Le GHT dispose également d’un RSSI. Il est important de recruter un professionnel dédié à cette activité. »
Malgré ces éléments positifs et rassurants, la situation n’est toujours pas revenue à la normale six mois après l’acte malveillant. « Les cyberattaques se multiplient partout sur le territoire, ce qui a pour conséquence d’augmenter régulièrement les prérequis posés par l’Anssi pour rouvrir Internet. Les enjeux dépassent notre établissement qui fait partie des opérateurs de services essentiels », explique Thomas Talec.
Dans les Ardennes, les analyses ont confirmé que le pirate avait mené son offensive après avoir accédé au Virtual Private Network (VPN) d’un agent. Pour prévenir ces intrusions, Samuel Legros souligne que des procédures et exercices toujours plus nombreux font désormais partie des conditions préalables à l’obtention de toute subvention. Car au-delà de l’impact organisationnel, les cyberattaques ont un coût, estimé à près d’un million d’euros pour le GHT nord-Ardennes. « Les conséquences financières sont énormes. Nous négocions actuellement une seconde enveloppe budgétaire auprès de l’agence régionale de santé », conclut Thomas Talec.
1 - Service d’appui à la gestion des cybermenaces 24h/24 et 7j/7 mis en place par le ministère de la Santé et de la Prévention.
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature