Les cybercriminels continuent à s'en prendre à des établissements de santé en France. Début août, c'est le centre hospitalier d'Arles qui a été touché par une attaque par ransomware ciblant son système d'information. Le service IT de l'hôpital travaille depuis plusieurs années sur un plan de continuité d'activité qu'il a rapidement activé pour permettre aux équipes médicales d'assurer la continuité des soins et la prise en charge de patients malgré les problèmes d'accès à l'informatique. « Dans la nuit du dimanche au lundi 2 août, des utilisateurs se sont plaints de ne pas pouvoir se connecter à certains logiciels, des signaux évocateurs d’une attaque par ransomware », nous a relaté Rodrigue Alexander, directeur adjoint en charge des finances, de l'activité et des systèmes d’information qui pilote la gestion de crise entraînée par la cyberattaque. « Nous avons coupé les accès Internet, le réseau et la sauvegarde et demandé à nos utilisateurs de ne plus utiliser les postes de travail pour éviter la propagation. » Ces premières mesures ont été prises juste avant de signaler l’attaque à l’Anssi en début de matinée, ce lundi 2 août, comme les dispositions gouvernementales le requièrent en pareil cas. 

Le directeur adjoint a ensuite activé le plan de continuité d’activité. Ce dernier décrit des procédures dégradées pour que les différents services médicaux puissent continuer à fonctionner avec un accès limité à l’informatique, en revenant au papier/crayon, avec la capacité à imprimer des étiquettes. « Nous avons beau nous préparer, il est difficile de faire fonctionner un établissement de santé sans ordonnance. Néanmoins, dès le lundi, les activités ont pu se poursuivre et l’hôpital tourne dans de bonnes conditions », nous a indiqué Rodrigue Alexander. Les vaccinations contre la Covid-19 ont également été assurées et validées, à l’aide d’une solution dégradée utilisant des postes de travail neufs et une box Internet passant par de la 4G grand public.

Remise en service progressive d'ici septembre

Après ces premières interventions, la 2ème étape a porté sur la politique technique à déployer pour redonner la main aux utilisateurs du centre hospitalier. « Nous avons travaillé avec l’Anssi et pris comme demandé un opérateur PRIS [prestataire de réponse aux incidents de sécurité], Advens », nous a expliqué le pilote de crise. « Nous travaillons avec cette société et avec d’autres prestataires informatiques pour reconstruire le SI. Nous avons bien avancé, nous avons identifié les points d’entrée vitaux pour colmater la brèche et permettre aux services de police d’instruire l’enquête ».

Le directeur adjoint anime une cellule de crise qui se tient tous les jours avec des représentants de l’ingénierie médicale, des représentants de la biologie et de la pharmacie, des médecins, des cadres de santé. L’un des objectifs est de s’assurer que les décisions prises ne perturbent pas les services critiques. En appui des personnels hospitaliers, deux ou trois ingénieurs de spécialisés sont également présents quotidiennement. « A ce jour, une reconstruction de l’infrastructure informatique incluant la messagerie est en cours et devrait permettre une remise en service progressive d’ici la rentrée de septembre », indique le CH d’Arles dans un communiqué. Il précise que la réinstallation des logiciels « sur des bases saines », en lien avec les éditeurs se fera par ordre de criticité décroissante sur 2 mois environ. L’établissement souligne par ailleurs la solidarité hospitalière dont il a bénéficié de la part d’autres établissements membres, comme lui, du GHT Hôpitaux de Provence et du CHU de Nîmes : prêt de matériel et renfort humain, sur l’informatique et « de l’équipe médicale d’imagerie du CHU de Nîmes pour pallier à l’absence de logiciel permettant une interprétation des examens d’imagerie à distance en période de permanence des soins ».

Une sécurité IT récemment renforcée

Quant à la demande de rançon qui accompagne les attaques de ce type, le centre hospitalier dit n’en avoir pas pris connaissance. Elle a été transférée au parquet de Paris, au service de cybercriminalité de Nanterre qui instruit l’affaire. Pour l’établissement, il n’est pas question de payer. Les attaques par ransomwares se sont multipliées ces derniers mois contre les entreprises de toutes tailles, sans épargner les hôpitaux. Conscientes de la menace, les équipes du CH d’Arles avaient renforcé ces derniers mois la sécurité de leur SI (nouveau pare-feu, sauvegarde, virtualisation…) grâce à des subventions d’investissement de l’ARS PACA.

La démarche qualité avait également été complétée « avec la rédaction de procédures dégradées et la documentation de la conduite à tenir en cas de crise touchant le système d’information », explique le CH dans un communiqué, ce qui a permis au PCA d’être opérationnel dès le début de l’attaque. « Grâce à cette anticipation et à la mobilisation importante de la communauté hospitalière qui travaille depuis en mode dégradé, la continuité des soins n’a pas été affectée et les prises en charge des patients ont pu se poursuivre de manière tout à fait sécurisée », assure le CH d'Arles.

Parmi les établissements de santé attaqués en France ces derniers mois figurent notamment l'hôpital d'Oloron Sainte-Marie, celui de Villefranche-sur-Saône, de Saint-Gaudens, le CHU de Rouen et le CH de Dax.