CH d’Arles : récit d’une cyberattaque vécue de l’intérieur

Dans la nuit du dimanche au lundi 2 août 2021, les biologistes du laboratoire du centre hospitalier d’Arles appellent l’ingénieur d’astreinte informatique à 3h pour signaler un problème. Celui-ci essaye de se connecter à distance, rencontre quelques difficultés mais y arrive. Il a le réflexe de venir sur site pour comprendre ce qui se passe et constate rapidement qu’un certain nombre de fichiers sont renommés avec la mention “All your files are encrypted” et la signature “Zeppelin”, un ransomware qui cible les acteurs de la santé et les entreprises de technologie, selon le CERT Santé.

Étape 1 : lancer les procédures d’urgence

Rodrigue Alexander, Directeur des finances, de l’activité et du système d’information du CH d’Arles

Le responsable d’astreinte lance alors les procédures définies en cas d’attaque. D’abord, les consignes d’hygiène numérique de base : couper les accès internet, isoler le coeur de réseau, déconnecter la sauvegarde, déconnecter les liens fibres avec les établissements voisins (AP-HM et CHU de Nîmes) et avec les acteurs qui hébergent les applications, notamment le Mipih. “Une fois ces mesures prises, l’ingénieur d’astreinte passe au processus d’escalade : il alerte l’administrateur de garde à 4h ou 5h du matin pour valider avec lui le passage en mode dégradé dans les différents services et à 7h, il me prévient. Je partais en congés le lendemain”, a rejoué Rodrigue Alexander, directeur des finances et responsable du système d’information du CH d’Arles, lors du Colloque Cybersécurité organisé au ministère de la Santé, le 18 novembre 2021.

Rodrigue Alexander explique la cyberattaque au CH d’Arles, le 18 novembre 2021 au ministère de la Santé

Étape 2 : communiquer rapidement à tous le passage en mode dégradé

Très vite, dès 8h, l’hôpital doit avertir son personnel et ses clients qu’il passe en procédure dégradée… sauf qu’il n’a plus de messagerie. “Premier sujet : comment contacter les 1000 personnels pour les prévenir ?”  En parallèle, la hotline informatique est saturée d’appels pour signaler des problèmes de connexion sur les postes qui, eux, fonctionnent. “On s’organise rapidement avec des appels téléphoniques vers les différents PC infirmiers, on va voir les cadres de santé pour expliquer que suite à un incident informatique, j’insiste sur la sémantique, nous passons en procédure dégradée et que même si les postes sont fonctionnels, on ne doit pas les utiliser.”

Les conséquences immédiates de cette cyberattaque ne tardent pas à se faire sentir. L’ensemble des fichiers qui sont dans le répertoire (excel, word, powerpoint) est chiffré. “Au service financier, je travaillais sur la décision rectificative numéro 2 budgétaire. Impossible d’y accéder, se souvient Rodrigue Alexander. Impossible de travailler, impossible d’accéder à internet, au répertoire partagé et à la messagerie. Vous êtes coupés de tout et vous ne savez plus rien.”

Retour au crayon et au papier

À ce stade, le CH d’Arles se résout à passer au crayon et au papier. Dans son malheur, l’établissement doit ruser. Il n’a plus accès à la gestion électronique des documents (GED) qui héberge ses procédures dégradées et va les récupérer sur oSIS, l’Observatoire des systèmes d’information de santé, sur lequel il a, quelques mois auparavant, déposé les dossiers de preuves des prérequis pour répondre au programme HOP’EN.…

À lire

Entretien

Valérie Moreno (AFIB) : "Nous sommes les garants de la sécurité numérique des équipements"

Entretien

Jean-Yves Poichotte (Sanofi) : "Depuis le début de l’année, nous avons bloqué 8 millions de cyberattaques"

Atlas des SIH : leur déploiement progresse, leur sécurité inquiète