CH d’Arles : récit d’une cyberattaque vécue de l’intérieur

Dans la nuit du dimanche au lundi 2 août 2021, les biologistes du laboratoire du centre hospitalier d’Arles appellent l’ingénieur d’astreinte informatique à 3h pour signaler un problème. Celui-ci essaye de se connecter à distance, rencontre quelques difficultés mais y arrive. Il a le réflexe de venir sur site pour comprendre ce qui se passe et constate rapidement qu’un certain nombre de fichiers sont renommés avec la mention “All your files are encrypted” et la signature “Zeppelin”, un ransomware qui cible les acteurs de la santé et les entreprises de technologie, selon le CERT Santé.

Étape 1 : lancer les procédures d’urgence

Le responsable d’astreinte lance alors les procédures définies en cas d’attaque. D’abord, les consignes d’hygiène numérique de base : couper les accès internet, isoler le coeur de réseau, déconnecter la sauvegarde, déconnecter les liens fibres avec les établissements voisins (AP-HM et CHU de Nîmes) et avec les acteurs qui hébergent les applications, notamment le Mipih. “Une fois ces mesures prises, l’ingénieur d’astreinte passe au processus d’escalade : il alerte l’administrateur de garde à 4h ou 5h du matin pour valider avec lui le passage en mode dégradé dans les différents services et à 7h, il me prévient. Je partais en congés le lendemain”, a rejoué Rodrigue Alexander, directeur des finances et responsable du système d’information du CH d’Arles, lors du Colloque Cybersécurité organisé au ministère de la Santé, le 18 novembre 2021.

Étape 2 : communiquer rapidement à tous le passage en mode dégradé

Très vite, dès 8h, l’hôpital doit avertir son personnel et ses clients qu’il passe en procédure dégradée… sauf qu’il n’a plus de messagerie. “Premier sujet : comment contacter les 1000 personnels pour les prévenir ?”  En parallèle, la hotline informatique est saturée d’appels pour signaler des problèmes de connexion sur les postes qui, eux, fonctionnent. “On s’organise rapidement avec des appels téléphoniques vers les différents PC infirmiers, on va voir les cadres de santé pour expliquer que suite à un incident informatique, j’insiste sur la sémantique, nous passons en procédure dégradée et que même si les postes sont fonctionnels, on ne doit pas les utiliser.”

Les conséquences immédiates de cette cyberattaque ne tardent pas à se faire sentir. L’ensemble des fichiers qui sont dans le répertoire (excel, word, powerpoint) est chiffré. “Au service financier, je travaillais sur la décision rectificative numéro 2 budgétaire. Impossible d’y accéder, se souvient Rodrigue Alexander. Impossible de travailler, impossible d’accéder à internet, au répertoire partagé et à la messagerie. Vous êtes coupés de tout et vous ne savez plus rien.”

Retour au crayon et au papier

À ce stade, le CH d’Arles se résout à passer au crayon et au papier. Dans son malheur, l’établissement doit ruser. Il n’a plus accès à la gestion électronique des documents (GED) qui héberge ses procédures dégradées et va les récupérer sur oSIS, l’Observatoire des systèmes d’information de santé, sur lequel il a, quelques mois auparavant, déposé les dossiers de preuves des prérequis pour répondre au programme HOP’EN.

Une démarche entamée deux ans plus tôt qui réclame la transmission de plusieurs documents (cartographie applicative, schématisation précise de l’ensemble des interfaces, plan de gestion de crise et profils à mobiliser, procédure dégradée mise en place en cas d’attaque ou de panne…). “C’est une démarche longue et pénible, que les hôpitaux ne font pas habituellement. Mais il y avait un enjeu de 761 000 euros de financement pour migrer vers le DPI, donc on s’y est collé et j’ai personnellement piloté cette démarche. Bien nous en a pris parce qu’au final, lorsque survient une attaque, vous réalisez que tous ces documents sont fort utiles le moment venu !”

Très rapidement, une autre contrainte émerge : la téléphonie. “Au CH d’Arles, on a la chance de ne pas être en téléphonie sur IP hormis 2 sites. Les 2 sites ont donc été coupés du monde et ils le sont toujours d’ailleurs. Mon conseil : si vous êtes en TWP (Telephony Web Portal), isolez précisément ces applications. Et si vous ne l’êtes pas, posez-vous la question avant d’y aller car pour la gestion de crise, pouvoir communiquer est essentiel”. Autre conseil de Rodrigue Alexander : prévoir un annuaire papier, en plus de celui qui est dans l’intranet, pour que les uns et les autres puissent s’appeler.

Étape 3 : la gestion de crise

Passées les premières urgences à gérer durant les heures qui suivent l’attaque, le CH d’Arles entre dans le dur : la gestion de crise. Avec deux enjeux : gérer la filière technique, pour réparer le SI, et la filière fonctionnelle, pour maintenir l’activité du centre hospitalier. “Là, vous comprenez que vous allez passer quelques jours très difficiles une fois les premiers constats faits, avec une généralisation du papier/crayon sur les services de soins et une paralysie des services administratifs puisque les procédures dégradées sont pensées pour les services de soins et les services techniques, mais pas pour les services administratifs. On sait qu’on peut fonctionner 48h sans informatique, mais là il faut tenir plusieurs semaines.”

L’obligation de signaler l’incident

Le CH d’Arles signale son attaque (il est possible de signaler un incident de sécurité auprès du CERT Santé, sur Cyberveille.gouv.fr ou sur sur le site Signalement.social-sante.gouv.fr, NDLR), puis a plusieurs échanges dans la journée avec le CERT Santé pour qualifier l’incident et inviter l’établissement à se rapprocher rapidement d’un Prestataire de Réponse à Incident de Sécurité (PRIS). “Jusqu’ici, je n’avais jamais entendu parler du mot PRIS. Je suis un peu déçu sur le moment car lors de l’attaque du CHU de Rouen, j’avais lu dans la presse que les experts de l’Anssi étaient sur site.”

L’Anssi transmet au CH d’Arles une liste de PRIS qualifiés ou en cours de qualification. “On prend son téléphone et on les appelle. Le premier était disponible pour l’analyse forensique mais pas pour la remédiation. On appelle donc le deuxième sur la liste etc. C’est ainsi que l’on a retenu le PRIS Advens qui était disponible pour les deux phases. Cela rassure de savoir qu’un expert en cyber qui pourra vous accompagner, c’est important.”

Rodrigue Alexander confie avoir craint qu’en cette période de congés d’été, le CH soit livré à lui-même. “Si un autre établissement majeur avait été attaqué en même temps que nous, on se serait peut-être retrouvés seuls à gérer cette crise !” Avec le recul, il préconise d’anticiper ce risque avec un contrat d’assistance d’un PRIS par anticipation. Le GHT a ainsi mutualisé cette prestation, avec des jours provisionnés “pour que le prochain établissement qui se fera attaqué puisse bénéficier rapidement des prestations d’un PRIS”. Le CH d’Arles transmet ensuite l’alerte au DSI et au RSSI du GHT pour éviter tout effet de bord. Le lendemain soir, le PRIS arrive sur site pour lancer le chantier technique.

Assurer la continuité des soins en mode dégradé

En parallèle, l’hôpital doit continuer de fonctionner. L’établissement active son plan de continuité d’activité (PCA), établi dans le cadre d’HOP’EN, et organise une gouvernance autour d’une cellule de crise pluriprofessionnelle, avec des représentants des plateaux techniques, pharmacie, imagerie, des représentants de la direction des soins et les directions fonctionnelles. Rodrigue Alexander impose alors deux règles : une durée de 30 minutes maximum par réunion et que les chefs de pôles et les chefs de services n’y siègent pas, préférant avoir plutôt des profils opérationnels comme les référents applicatifs qui connaissent les logiciels, les contraintes IT et le métier.

“L’objectif de ces cellules de crise était d’avoir un partage transparent de l’information technique”, résume Rodrigue Alexander. Ensuite, charge à cette gouvernance d’arbitrer si nécessaire. “Le pilote de la gestion de crise a le mauvais rôle car tout le monde veut redémarrer tout de suite, mais c’est au pilote de la gestion de crise de prioriser la reprise”. Il s’agit alors d’expliquer les décisions prises. “Mon conseil à cette étape-là est de s’appuyer sur la direction qualité, qui a une habitude de traçabilité, pour créer un RIDA permettant de tracer les signalements et les réponses apportées.”

Préserver l’équipe IT

Autre décision : isoler l’équipe informatique, pour éviter qu’elle ne croule sous les appels. “J’ai souhaité que la hotline informatique ne réponde plus au téléphone pour affecter le maximum de ressources en appui à la mission du PRIS.” Les nombreux appels des autorités ajoutent un niveau de complexité à la gestion de crise. “Notre parti pris a été de dire qu’on ne répondrait plus au téléphone mais nous proposions un point technique entre 8h30 et 9h, où tous ceux qui voulaient être autour de la table pouvaient y être. L’Anssi y était, les RSSI du CH d’Arles, du GHT et de l’ARS y étaient, les principales assistances à maîtrise d’ouvrage qui nous accompagnent aussi… Et là, on partage les informations et on se dit les choses. Tout le monde a la même information en même temps.”

Diversifier ses hébergements

Sur le pilotage fonctionnel de la crise, le CH d’Arles s’efforce de faire preuve de pragmatisme. “Quand on avait besoin de remettre des accès internet, on passait au centre commercial du coin acheter un portable, une clé 4G, un partage de connexion sur des PC parfois personnels… Cela permettait d’avoir accès à internet et à une webmail.” Dans certains cas, il fallait accéder à l’antériorité du dossier patient informatisé. “Un VPN monté avec notre hébergeur l’AP-HM a donné quelques accès permettant de sortir des documents sensibles. Même chose sur le RIS (système d’information radiologique) hébergé au CHU de Nîmes.”

Rodrigue Alexander conseille aujourd’hui aux hôpitaux de diversifier les hébergements (RIS, SIL, DPI, SI RH, Agendas…). “Nous avions le DPI à l’AP-HM, le RIS au CHU de Nîmes… Avec une clé 4G, cela permet de redonner la main à un certain nombre d’utilisateurs et de ne pas être complètement paralysé. Certes, il n’y a pas d’INS mais vous avez un accès à l’antériorité du DPI, les secrétariats peuvent donner des rendez-vous et savent quels patients sont attendus le lendemain en consultation. C’est extrêmement important.”

Une centaine de tickets informatiques à gérer

Dans le même temps, la cellule de crise doit gérer une centaine de tickets informatiques. Par exemple, les familles se plaignent que le standard ne puisse plus passer les appels dans les chambres. Pour connaître la disponibilité et l’occupation des lits, l’hôpital dresse une cartographie exhaustive en identifiant chaque patient et le lit qu’il occupe, fait des fiches navettes d’entrée et de sortie pour actualiser ses données tous les jours et coller au plus près de la réalité. L’hôpital partage ensuite ces informations sur un cloud public. “Presque grand public, de l’aveu même de Rodrigue Alexander. Je dis un gros mot là, mais il fallait le faire donc on l’a fait. Ce n’était pas de l’HDS, mais ça nous a dépanné.” Et d’insister sur la nécessité d’anticiper un espace de stockage quelque part en dehors de l’établissement pour pouvoir continuer à partager de l’information. 

Autre exemple de la débrouille mise en place : alors que le service de téléradiologie n’est plus utilisable, le CH d’Arles doit prendre un abonnement taxi pour déposer les CD d’imagerie au CHU de Nîmes pour que le radiologue sur place puisse interpréter les images et retourner les résultats par taxi. “Des exemples comme ça, il y en a plein et on n’y pense pas forcément en début de crise ! Et je ne parle pas de la paye des personnels où pendant deux mois, on a fait des mandatements de paie sans les éléments variables… Allez expliquer à une communauté hospitalière qu’ils seront payés sans les indemnités de dimanche, d’astreinte, sans les heures supplémentaires… Ce n’est pas simple d’un point de vue social.”

En parallèle, le CH est prié de maintenir la vaccination et l’alimentation SIDEP “parce que la CPAM fait pression”. L’hôpital met donc un demi ETP qui saisit tous les tests PCR faits dans l’établissement. “Et tout ça nous permet de maintenir l’activité de l’hôpital : on n’a annulé aucune intervention chirurgicale, aucune consultation et aucune hospitalisation programmée”, se réjouit Rodrigue Alexander.

L’analyse forensique du PRIS remonte le fil de l’attaque

“Le compte d’un fournisseur mainteneur en télétravail a été piraté. Le pirate a utilisé son compte pour entrer dans notre infrastructure par un VPN non sécurisé qui ne passait pas par notre pare-feu Palo Alto. On venait juste de changer quelques semaines plus tôt, on n’avait pas encore couvert toute la surface d’attaque. Pas de chance.” Une fois dans le système d’information, l’attaquant se balade et trouve un compte administrateur avec son identifiant et mot de passe en clair sur un fichier .txt. Une élévation des privilèges plus tard, il a accès à tous les documents de l’hôpital. “Il a consulté le compte financier de l’hôpital, des éléments RH, des procédures d’exploitation de l’équipe informatique. Et puis il disparaît et réapparaît le 1er août et lance son attaque : chiffrement, latéralisation, il touche notre sauvegarde, l’ensemble des applications, il réinitialise l’ensemble des mots de passe et il est maître de notre SI.”

Un système d’information pourtant maintenu et récent, avec 98 % du parc constitué de postes sous Windows 10. “Cela pose la question de la volonté des éditeurs : combien sont-ils à être encore compatibles Windows Serveur 2003, à ne pas vouloir entendre parler de 2019 et qui nous menacent presque de couper l’application si on est trop exigeants ?” 

Grâce à l’analyse du PRIS, l’hôpital d’Arles a pu cartographier les mouvements du pirate dans son système d’information et constituer un dossier de preuves. L’analyse forensique a notamment révélé que des données de santé ont été exfiltrées vers les Pays-Bas… Cette étape terminée, le CH d’Arles a déposé plainte (le parquet de Tarascon s’est dessaisi au profit du parquet de Paris), notifié la Cnil et signalé l’attaque à son assureur en responsabilité civile. Toutefois, il était encore loin d’en avoir fini avec cette attaque.

Le travail de remédiation

Parallèlement à l’analyse forensique, l’hôpital œuvre à la remédiation de son système d’information et en profite pour augmenter son niveau de sécurisation : Active Directory revu, mise en place de mots de passe à 12 caractères changés tous les 3 mois (15 caractères pour les administrateurs) et de comptes de délégation, bascule de l’administration sur des VLan (réseau local virtuel) spécifiques… “Et tout passe parce que tout le monde est traumatisé par la cyberattaque. Si j’avais dit il y a quelque temps qu’on passait les mots de passe de 8 à 12 caractères, il y aurait eu une levée de boucliers. Là, les gens acceptent.”

Mais comment distribuer des mots de passe réinitialisés à 1000 clients quand vous n’avez plus d’outils internes pour le faire ? Une fois de plus, le CH d’Arles fait preuve de pragmatisme. “On a pris la décision de transmettre l’ensemble des mots de passe nominatifs aux cadres de santé, dans un fichier Excel, en partant du principe qu’ils étaient réinitialisés rapidement après et que cela ne constituait pas un risque. Si nous n’avions pas fait ça, nos 1000 clients n’auraient pas pu retrouver un accès rapide au SI.”

L’hôpital capitalise aussi sur les technologies installées par des prestataires spécialisés les années précédentes. Les entreprises d’assistance à maîtrise d’ouvrage qui accompagnent le CH d’Arles sur différentes parties du SI (sauvegarde, Citrix, pare-feu, stockage, réseau) ont pu reconstruire l’outil qu’elles avaient installé et pour lesquels elles assuraient déjà des prestations de maintenance chaque année. “Cette crise a été un accélérateur de projet SSI. On a fait en quelques semaines ce qu’on aurait fait en 5 ans”, résume Rodrigue Alexander.

Bilan trois mois et demi après l’attaque

Le redémarrage. Aujourd’hui, le CH d’Arles a reconstruit son infrastructure. “95 % de nos utilisateurs ont retrouvé un accès à un poste de travail. Les deux tiers des logiciels ont redémarré sur l’essentiel des processus métiers”. L’hôpital poursuit la migration de son DPI. “On en a profité pour tuer notre ancien DPI, on ne l’a pas redémarré, pour passer sur le volet cible d’HOP’EN.”

Ce redémarrage progressif des services suppose là encore beaucoup de pédagogie. “Quand vous redémarrez le premier logiciel, des questions affleurent : pourquoi tel service reprend avant le mien ? Cela doit s’anticiper. Nous avions un PRA avec 4 niveaux de priorité et les applications médicales étaient toutes dans le même niveau… Il a donc fallu expliquer que les logiciels étaient interconnectés et que vouloir en redémarrer un signifiait devoir en redémarrer plusieurs en fait. Tout le monde a pu voir qu’il n’était pas question de favoritisme mais de décisions relevant de la complexité du SI.”

Solidarité au sein du GHT. “Moi le premier, j’avais tendance à penser qu’un GHT avec 13 établissements était source d’inertie et de complexité. Finalement, sur le périmètre IT, le GHT est très utile et je remercie les collègues qui nous ont prêté des PC quand nos commandes de nouveau matériel ne pouvaient être livrées que six à huit semaines plus tard.” Le GHT a également mis à disposition du CH d’Arles des techniciens pour faire de l’assistance dépannage et de l’installation locale. Enfin, un cadrage à long terme au niveau du GHT permet de capitaliser sur les projets de sécurisation. “Le GHT a plus que jamais sa place dans les politiques IT quand on parle de risque cyber”, insiste Rodrigue Alexander.

La communication interne. Sans messagerie disponible, le CH d’Arles crée un journal interne, “le Flash info informatique”, qui reprend les 3 principaux incidents signalés au cours des dernières 72 heures. Un exercice de transparence et de communication interne “pour que les utilisateurs sachent que leurs doléances avaient été entendues et qu’on y apportait une réponse”. Le journal zoome aussi sur des processus métier : comment fonctionne le laboratoire pendant la coupure ? Comment fonctionnent les urgences ? etc. Une vingtaine de numéros ont été réalisés et diffusés sur le terrain.

La communication externe. Pour discuter et échanger avec ses fournisseurs, l’hôpital crée des boîtes mails génériques. “Ce n’est pas sérieux pendant 3 semaines de se retrouver à écrire avec une boîte gmail, hotmail…” souligne Rodrigue Alexander. Selon lui, l’hybridation est un enjeu essentiel. “Côté GHT, on a fait le choix de réfléchir à une solution d’hybridation qui permet d’avoir un plan B de messagerie si notre Exchange est de nouveau attaqué.”

La relation avec les médias. “On nous avait conseillé de rester sous les radars. Les premiers jours de la crise, nous avons rasé les murs. Nous avons juste répondu à une sollicitation du journal local qui avait entendu parler de difficultés à l’hôpital et nous avons évoqué une panne informatique. On a gagné 10 jours comme ça”, se souvient Rodrigue Alexander. L’hôpital admet avoir été victime d’une cyberattaque lors d’une nouvelle interview avec le même journal. “24h après, on recevait une vingtaine d’appels de médias nationaux, télé, radio, presse écrite… Le téléphone sonne toutes les 10 minutes. Le plan de communication est un enjeu. Les communiqués de presse doivent être réactifs et préparés à l’avance. Il faut aussi identifier en amont les ressources qui répondront à la presse, afin que ce ne soit pas le DSI, qui gère déjà la crise, qui doive en plus gérer les journalistes.”

Une relance de chiffrement à gérer. Plusieurs semaines après la première attaque, le CHU d’Arles a la mauvaise surprise de découvrir que les pirates ont déposé des “bombes à retardement”. “Il y a eu une relance de chiffrement de postes en local, des tentatives de connexions sur d’autres postes… mais le SOC nous a prévenu et a pu bloquer ces postes à distance. Sans cela, nous aurions dû refaire le travail.”

Le coût de la crise. Le CH a chiffré les dégâts. À date, il a engagé 300 000 euros de prestations d’assistance à maîtrise d’ouvrage et maîtrise d’œuvre pour la gestion de crise, 20 000 euros d’heures supplémentaires du personnel informatique et 15 000 euros pour l’embauche d’un TSH en CDD. “On se rend compte de l’intérêt d’une assurance cyber. Si on en avait eu une, on aurait eu une compensation sur les 300 000 euros de premières dépenses. Des discussions sont en cours avec l’ARS pour nous compenser au moins une partie de la gestion de crise.”

Trois mois d’actes à saisir. “À côté de ça, vous avez une facturation qui ne s’est pas tenue pendant plusieurs semaines. Sur le titre 1, le ministère a mis la garantie de financement. Mais sur le titre 2, la facturation au tiers, si vous ne facturez pas, le patient et les mutuelles ne vous paient pas. Vous devez donc relancer le processus de facturation. L’hôpital n’ayant annulé aucune activité pendant la crise, vous avez trois mois d’actes à saisir (CCAM, NGAP, NABM), enregistrés sur papier dans les secrétariats médicaux, avec une complexité sans nom.”

L’hôpital a recruté deux ETP d’agent administratif pour s’en occuper. “Mais on vide l’océan à la petite cuillère parce que vous saisissez 200 actes par jour mais derrière, vous en avez 40 000. Nous étudions la possibilité d’injecter en masse des actes en disant que si le patient est venu, c’est qu’il a eu une consultation médicale, donc facturer une consultation médicale. On risque de se faire taper sur les doigts par la CPAM, mais c’est le choix que l’on fait. Sinon l’été prochain, on y est encore.”

La continuité future. Les comptes-rendus faits sur papier pendant la crise doivent désormais être entrés dans le système d’information. “Cela représente des dizaines de milliers de compte-rendus à réinjecter dans le DPI pour éviter des pertes de chance futures. Nous avons trouvé un compromis en ne reprenant que les lettres de liaison de sortie et les comptes-rendus opératoires. Les comptes-rendus de consultation seront traités à la demande du praticien.”

Le moral des troupes. Une cyberattaque provoque deux effets sur le personnel : une immense fatigue et un retour du scepticisme de certains face au tout numérique. “Il faut alors rappeler l’apport de l’informatique”, estime Rodrigue Alexander. 

Conseils aux autres hôpitaux

S’informer et respecter les prérequis. “La publication des recommandations et des normes existe. Une fois que la cyberattaque est passée, j’ai pu retrouver des choses éclairantes et qui auraient pu nous empêcher de nous retrouver dans le pétrin.”

S’appuyer sur le GHT. Le CH d’Arles a amélioré le niveau de sécurité de son SI avec une équipe qui n’a pas forcément monté en compétences. “Installer des nouvelles technologies suppose d’être capable de les suivre. Il y a des enjeux au niveau du GHT pour mutualiser les moyens et identifier des référents, à l’échelle des GHT, sur ces technologies.

Anticiper la gestion fonctionnelle. “La fréquence des attaques doit appeler une structuration de la chaîne d’accompagnement. J’ai retrouvé beaucoup de guides sur la partie technique mais pas sur la partie fonctionnelle. On nous dit qu’il faut une procédure dégradée, mais c’est quoi la procédure dégradée d’un laboratoire, de l’imagerie ? Quels sont les pense-bêtes sur chacun de ces secteurs ? Il faut l’anticiper, en particulier sur les services qui ne sont pas directement des services de soins. Par exemple, un service financier n’est pas préparé à rester 3 mois comme ça.”

En conclusion, Rodrigue Alexander insiste sur deux points. “Il n’y a pas de coupable mais que des victimes, mieux vaut éviter toute chasse aux sorcières. Il faut aussi bien avoir à l’esprit que se relever d’une cyberattaque n’est pas un sprint mais une course de fond qui dure plusieurs mois. C’est pour cela que je n’ai pas rappelé les techniciens qui étaient en congés au moment de l’attaque et que j’ai laissé partir ceux qui avaient leurs congés après. Je voulais être sûr d’avoir une équipe qui tienne le rythme très soutenu, avec 3-4 heures supplémentaires par jour, même trois mois plus tard.” Enfin, pas de honte à avoir : “ces attaques touchent tout le monde, petit ou gros !”