Périphérie de Villefranche-sur-Saône, 15 février 2021, 4h30 du matin, dans le service d’urgences de l’hôpital Nord-Ouest. Une panne du système d’information de gestion des urgences est signalée. Le service informatique d’astreinte procède à une analyse et fait le constat d’un incident majeur de sécurité. Vingt minutes plus tard, un confinement total du système d’information est mis en place : l’hôpital de 671 lits et places est coupé de l’extérieur, tant au niveau informatique que téléphonique. Les autres sites, 4 autres hôpitaux et plusieurs Ehpad, sont également impactés à différentes échelles. L’hôpital Nord-Ouest de Villefranche-sur-Saône vient d’être victime d’une cyberattaque.
Très vite, l’hôpital passe en « mode dégradé », pour sécuriser la prise en charge des patients présents : « On arrête alors la prise en charge de nouveaux patients, on retourne en mode papier pour les patients présents et tous les patients qui sont adressés pour des examens aux 4 coins de l’établissement sont rapatriés dans leur chambre », résume Pascale Fraisse, coordinatrice générale des soins. Une organisation complexe à mettre en place : « Les nouveaux médicaux et paramédicaux n’ont jamais travaillé en mode papier et n’en connaissaient pas les codes. Les anciens ont, quant à eux, vite retrouvé les vieux réflexes », explique-t-elle. Si les conséquences de cette cyber-attaque, qui date d’il y a un an et demi n’ont pas encore été totalement évaluées sur la question de la perte de chance, l’hôpital peut tout de même se targuer de ne pas avoir eu à déplorer d’incident majeur : « La plus grande crainte des paramédicaux, c’était l’erreur auprès du patient », se souvient Pascale Fraisse. Du côté informatique, pas question de répondre à la demande de rançon de l’agresseur. La doctrine est claire : « Ne jamais payer la rançon », rappelle l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La raison est simple : en plus d’entretenir un système crapuleux, il n’existe aucune garantie d’un retour à la normale. Dans le cas de l’hôpital de Villefrance-sur-Saône, aucune rançon n’a été versée et les équipes informatiques sont parvenues à restaurer le système progressivement : « Avec le confinement total du système dès le début de l’attaque, nous avons préservé ce qui pouvait l’être. Puis nous avons remis en service, par niveau de criticité, chaque service, en commençant par la réanimation, les urgences et la néonatologie », explique Nasser Amani, directeur des services numériques de l’hôpital Nord-Ouest. L’enquête est toujours en cours mais une première analyse a permis de connaître la porte d’entrée de l’attaquant, un clic malheureux sur un mail frauduleux.
L’hôpital, cible de choix
Ce cas n’est pas isolé : selon l’Agence du numérique en santé, 380 cyberattaques ont été dénombrées en 2021, un chiffre en augmentation de 70 % par rapport à l’année 2020. « Ce n’est pas forcément que l’hôpital est plus vulnérable, tempère David Grout, expert de Mandiant, une société spécialisée en gestion de la cybercriminalité, mais il est probablement plus exposé médiatiquement ». Il faut dire que les cybercriminels tiennent en leurs mains des données très sensibles, celles des patients, qu'ils menacent de rendre publiques : un refus de l’établissement et la menace passe à exécution. Le centre hospitalier Sud Francilien de Corbeil-Essonnes en a récemment fait les frais : soumis à une cyberattaque, il a refusé de payer la rançon, et selon un communiqué de l’établissement, « des données exfiltrées ont été publiées [sur le site des cybercriminels]. Au regard des premières investigations conduites par les experts mobilisés depuis la divulgation, les données publiées semblent concerner nos usagers, notre personnel ainsi que nos partenaires ».
L’hôpital reste une cible de choix pour les cyberattaquants : « Outre une certaine obsolescence du parc informatique et logiciel, il existe de nombreux utilisateurs, postes de travail, partage d’ordinateurs, de mots de passe, qui sont autant de risques de portes d’entrée dans le système », explique David Grout. Sans compter que lors des changements de système, les hôpitaux ont besoin de conserver l’accès aux anciens dossiers, ce qui fait que plusieurs systèmes cohabitent et fragilisent l’ensemble. Pour faire face à ces attaques, le mieux est encore de prévenir : « La limitation du risque se fait en trois temps : premièrement, d’un point de vue technique avec des systèmes antispam performants et des outils d’intelligence artificielle qui détectent des activités anormales. Deuxièmement, d’un point de vue humain, avec une sensibilisation des usagers, et dernièrement, en renforçant la capacité à travailler en mode dégradé », explique Nasser Amani.
Sensibiliser aux risques
Si éviter ces cyberattaques de plus en plus nombreuses devient complexe, tant les cybercriminels sont extrêmement bien organisés, il revient néanmoins à chaque utilisateur de prendre sa part : « On n’insistera jamais assez sur l’éducation des utilisateurs, estime David Grout. Ne pas cliquer sur les pièces jointes douteuses, ne pas partager de mots de passe, par téléphone, ou pire, sur un post-it collé sur le poste de travail » sont autant de consignes simples à respecter pour éviter aux cybercriminels de trouver une porte ouverte sur le système informatique d’un hôpital. Et cette sensibilisation doit être réalisée « dès la formation des utilisateurs », estime Pascale Fraisse. En cas de crise, un plan planc doit être mis en place. Et comme dans tout plan blanc, des exercices de simulation doivent être prévus : « La capacité du système informatique à être restauré dépend de la résilience du système, c’est-à-dire à sa capacité à remonter dans les sauvegardes », note David Grout. À l’hôpital Nord-Ouest, on a appris de la crise : « Nous avons mis en place des fiches réflexe et des outils de communication en interne avec des listes de personnels d’urgence », raconte Pascale Fraisse, qui se souvient que le plus difficile était d’être totalement privé de téléphone en interne. Les brancardiers, qui géraient avant la crise le transfert des patients vers les plateaux techniques, étaient devenus, au plus fort de la cyberattaque, les messagers entre les différents services, faisant office de coursiers entre les étages pour éviter que le personnel n’ait à se déplacer. L’occasion de tester l’importance du management et la réassignation des forces en présence pour retrouver progressivement un équilibre.
Moderniser les hôpitaux
« Le prochain virus qui neutralisera la planète pourra bien être numérique », estime la Fédération hospitalière de France. En plus de la bataille sanitaire à laquelle l’hôpital se livre depuis 2020, il est de plus en plus touché par des cyberattaques qui le fragilisent davantage. Si le Ségur de la Santé a mis de l’argent sur la table – 210 millions d’euros – pour moderniser l’équipement informatique des hôpitaux, le gouvernement a promis de renforcer d’un niveau les moyens financiers pour lutter contre la cybermenace. En visite à Corbeil-Essonnes fin août 2022, le ministre de la Santé et de la Prévention, François Braun, l’a promis : « La santé des Français ne sera pas prise en otage ». Vingt millions d’euros supplémentaires ont été annoncés pour « doubler le nombre de bénéficiaires du plan de sécurisation des établissements ». Reste un écueil de taille : les hôpitaux peinent à recruter des profils experts dans la gestion des cyberattaques, estiment les spécialistes.