Accueil > Parcours de soins > CH d’Arles : récit d’une cyberattaque vécue de l’intérieurCH d’Arles : récit d’une cyberattaque vécue de l’intérieurDans un exercice de transparence rare en cyber, Rodrigue Alexander, Directeur des finances, de l'activité et du système d'information du CH d'Arles, tire les leçons de la cyberattaque qui a visé l’établissement cet été. Un retour d'expérience qu’il a partagé lors du Colloque Cybersécurité organisé au ministère de la Santé, le 18 novembre 2021. Retour sur une gestion de crise. Par Sandrine Cochard. Publié le 25 novembre 2021 à 12h22 - Mis à jour le 14 décembre 2021 à 15h21 Ressources Dans la nuit du dimanche au lundi 2 août 2021, les biologistes du laboratoire du centre hospitalier d’Arles appellent l’ingénieur d’astreinte informatique à 3h pour signaler un problème. Celui-ci essaye de se connecter à distance, rencontre quelques difficultés mais y arrive. Il a le réflexe de venir sur site pour comprendre ce qui se passe et constate rapidement qu’un certain nombre de fichiers sont renommés avec la mention “All your files are encrypted” et la signature “Zeppelin”, un ransomware qui cible les acteurs de la santé et les entreprises de technologie, selon le CERT Santé.Groupements hospitaliers de territoire : de nouveaux enjeux de cybersécuritéÉtape 1 : lancer les procédures d’urgence Rodrigue Alexander, Directeur des finances, de l’activité et du système d’information du CH d’ArlesLe responsable d’astreinte lance alors les procédures définies en cas d’attaque. D’abord, les consignes d’hygiène numérique de base : couper les accès internet, isoler le coeur de réseau, déconnecter la sauvegarde, déconnecter les liens fibres avec les établissements voisins (AP-HM et CHU de Nîmes) et avec les acteurs qui hébergent les applications, notamment le Mipih. “Une fois ces mesures prises, l’ingénieur d’astreinte passe au processus d’escalade : il alerte l’administrateur de garde à 4h ou 5h du matin pour valider avec lui le passage en mode dégradé dans les différents services et à 7h, il me prévient. Je partais en congés le lendemain”, a rejoué Rodrigue Alexander, directeur des finances et responsable du système d’information du CH d’Arles, lors du Colloque Cybersécurité organisé au ministère de la Santé, le 18 novembre 2021. Rodrigue Alexander explique la cyberattaque au CH d’Arles, le 18 novembre 2021 au ministère de la SantéÉtape 2 : communiquer rapidement à tous le passage en mode dégradéTrès vite, dès 8h, l’hôpital doit avertir son personnel et ses clients qu’il passe en procédure dégradée… sauf qu’il n’a plus de messagerie. “Premier sujet : comment contacter les 1000 personnels pour les prévenir ?” En parallèle, la hotline informatique est saturée d’appels pour signaler des problèmes de connexion sur les postes qui, eux, fonctionnent. “On s’organise rapidement avec des appels téléphoniques vers les différents PC infirmiers, on va voir les cadres de santé pour expliquer que suite à un incident informatique, j’insiste sur la sémantique, nous passons en procédure dégradée et que même si les postes sont fonctionnels, on ne doit pas les utiliser.”Les conséquences immédiates de cette cyberattaque ne tardent pas à se faire sentir. L’ensemble des fichiers qui sont dans le répertoire (excel, word, powerpoint) est chiffré. “Au service financier, je travaillais sur la décision rectificative numéro 2 budgétaire. Impossible d’y accéder, se souvient Rodrigue Alexander. Impossible de travailler, impossible d’accéder à internet, au répertoire partagé et à la messagerie. Vous êtes coupés de tout et vous ne savez plus rien.”Atlas des SIH : leur déploiement progresse, leur sécurité inquièteRetour au crayon et au papierÀ ce stade, le CH d’Arles se résout à passer au crayon et au papier. Dans son malheur, l’établissement doit ruser. Il n’a plus accès à la gestion électronique des documents (GED) qui héberge ses procédures dégradées et va les récupérer sur oSIS, l’Observatoire des systèmes d’information de santé, sur lequel il a, quelques mois auparavant, déposé les dossiers de preuves des prérequis pour répondre au programme HOP’EN.… Cet article est reservé aux abonnés Déja abonné ? Connectez-vous Vous n’êtes pas encore inscrit ?Créez un compte pour tester notre offre gratuitement pendant 15 joursServices en ligne : études, analyses, bases de données et bien plus encoreBriefings quotidiens : actualités synthétiséesLettres hebdomadaires Nom Prénom Email Sandrine CochardCybersécuritéhébergeursHôpitalImagerie médicalemessagerie sécuriséeSystème d'informationBesoin d’informations complémentaires ?Contactez le service d’études à la demande de mind Nom Prénom Nom Entreprise*Téléphone mobileE-mail* Demande* À lire EntretienValérie Moreno (AFIB) : "Nous sommes les garants de la sécurité numérique des équipements" EntretienJean-Yves Poichotte (Sanofi) : "Depuis le début de l’année, nous avons bloqué 8 millions de cyberattaques" Atlas des SIH : leur déploiement progresse, leur sécurité inquiète essentielsSynthèse et historique de tous les contenus sur une thématique suivie en détails par la rédactionLes dernières publications Le nouvel enjeu des données de vie réelleLe cloud souverainanalysesSynthèse et historique de tous les contenus sur une thématique suivie en détails par la rédactionLes dernières publications Cyrille Politi (FHF) : "Sans liberté, pas d'innovation"[Étude exclusive] Le bilan des initiatives des GAFAM dans la santé en 2021dataLes dernières publications Les principaux acteurs français des DTxAnnée par année, les principales levées de fonds des start-up de l'e-santé