Article
La prise en main à distance a été rendue impossible, les agents sur place constatent la présence d’un petit fichier suspect sur toutes les sessions déjà ouvertes. Ils préviennent alors Nicolas Terrade, responsable du système informatique et de la sécurité, qui arrive le plus vite possible. Plusieurs heures se sont donc écoulées lorsqu’il constate que le chiffrement des données est toujours en cours sur une grande majorité des serveurs, mais également sur les sauvegardes du système d’information (SI) sur disques. Avec tous les impacts que cela implique. Un « chaos total », avec la sensation d’être « à terre ».
Mais il faut malgré tout réagir, en commençant par couper les liaisons internet et téléphoniques, ainsi que l’ensemble des connexions avec les autres établissements. Le but ? Minimiser l’étendue de l’attaque et éviter à d’autres de subir le même sort. Le directeur du CH et tous les services sont prévenus à l’aube : suite à une cyberattaque, le SI ne sera pas disponible avant plusieurs mois. Le travail dans l’urgence reprend et s’organise en conséquence (avec une gestion médiatique à assurer en parallèle) : l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est informée et sera là 48 heures plus tard ; les polices judiciaires de Bordeaux, Bayonne et la Cyberveille Santé contactent également l’établissement. En interne, retour au papier-crayon pour le suivi des patients, des médicaments et du matériel. Plusieurs cellules de crise et de travail se réunissent chaque jour. Orange Cyberdéfense, le prestataire de réponse à incidents de sécurité choisi, assure un appui à la direction des systèmes d'information et de l'organisation. L’élément malveillant est éradiqué le 13 février 2021 : la phase de reconstruction intégrale peut commencer. Il faudra attendre un an et demi pour un retour à la normale.
4 questions à Nicolas Terrade, responsable du système informatique et de la sécurité au CH de Dax
What's up Doc : Comment s’est déroulée l’attaque ?
Nicolas Terrade : D’après l’analyse de l’ANSSI, les attaquants ont commencé à sévir la veille au soir. Ils se sont introduits dans notre SI, plus particulièrement au niveau de notre annuaire qui leur a permis d’acquérir des droits d’administrateur du domaine : à 21 h 29, ils avaient pris le contrôle à distance afin de déployer leur logiciel malveillant. Ils ont ainsi pu introduire ce cryptolocker numérique, plus communément appelé ransomware ou rançongiciel, qui, à partir de 00 h 11 le 9 février, s’est propagé sur plusieurs serveurs en simultané grâce à un second outil malveillant. L’usage de tâches planifiées en continu dans notre système a rendu l'éradication du processus d’autant plus complexe. C’est pour cela que plusieurs milliers de données ont pu être cryptées en quelques heures. Pour y parvenir, le plus probable est qu’ils auraient profité d’une faille de sécurité non corrigée.
« Les opérations, sauf cas d’urgence vitale, ont été déprogrammées. En radiologie, l’interprétation avait lieu directement sur les équipements »
Quelles ont été les répercussions de cette attaque sur les agents de l’hôpital ?
NT. Au moment des faits, des patients étaient déjà présents et continuaient d’arriver. Ceux admis en radiothérapie ont dû être redirigés rapidement vers les établissements les plus proches, accompagnés de leur médecin référent pour assurer leur suivi personnalisé. Les opérations, sauf cas d’urgence vitale, ont été déprogrammées. En radiologie, l’interprétation avait lieu directement sur les équipements. Notre laboratoire d’analyses a dû arrêter les consultations externes afin de limiter le nombre de bilans à délivrer. Concernant la pharmacie, elle fonctionnait au formulaire papier et des « coursiers improvisés » ont été désignés en interne pour livrer les médicaments ou tout autre matériel médical. Heureusement, de nombreux établissements voisins ont fourni un nombre conséquent d’ordinateurs portables et de clés 4G. Cela a facilité le travail des cadres de santé, des secrétariats ; et notamment permis de réaliser les étiquettes patients et ainsi donner un semblant d’informatisation.
« Nous avons fait le choix de tout reconstruire de A à Z, car l’existant était trop endommagé »
Vous avez fait le choix de créer un nouveau SI : pourquoi ?
NT. Quand on est touché à ce point, deux choix se présentent : corriger et partir de l’existant ou recommencer à zéro. Nous avons fait le choix de tout reconstruire de A à Z, car l’existant était trop endommagé. Depuis peu, nous avions acquis une infrastructure vierge qui nous a permis de reconstruire le nouveau système : nous sommes partis de cette page blanche, en collaboration avec des prestataires de référence. À l’image d’un château-fort : nous avons construit plusieurs systèmes de défense – des briques de sécurité – autour de notre annuaire central, afin d’éviter l’élévation de privilèges à l’avenir. L’ensemble de ces briques constituent des remparts face aux attaquants. Le but étant de les ralentir au maximum grâce aux différentes barrières de sécurité et ainsi les forcer à abandonner. Nous avons démultiplié les solutions de sécurité afin de constituer ces différentes barrières : cloisonnement du réseau, gestion renforcée des mots de passe, déploiement de solutions type pare-feu, solution XDR, modèle d’administration renforcé, etc. Le tout intelligemment agencé, pour que l’impact éventuel soit le plus réduit possible. Cette attaque a permis une forte montée en compétences de nos agents sur ces sujets. Et grâce à des campagnes régulières sur le phishing, l’ensemble des agents est aujourd’hui plus sensibilisé à la cybersécurité.
« Cette expérience traumatisante représente aussi une aventure humaine incroyable »
Justement, vous avez souligné la solidarité entre agents et établissements de santé environnants. Racontez-nous.
NT. Quand les cadres de santé venaient les uns après les autres pour se renseigner sur ce qu’il se passait, ils ont immédiatement fait preuve de compréhension et une solidarité exemplaire s’est mise en place entre tous les services. Certains ont d’ailleurs usé de créativité avec les moyens du bord, en trouvant des solutions pour travailler plus efficacement et prodiguer les meilleurs soins possibles aux patients. À tel point que cette expérience traumatisante représente aussi une aventure humaine incroyable. Y compris avec les autres établissements de santé de la région qui nous ont prêté du matériel et ont pris en charge un maximum de nos patients.