Cybersécurité : comment le CHU de Montpellier a géré une infection virale

Le 12 mars 2019, une infection virale touchait 10 % du parc du CHU de Montpellier, à Gui de Chauliac (l’un des sept principaux sites de l’établissement hospitalier), soit environ 640 ordinateurs. Jérôme Euvrard, responsable des systèmes d’information au CHU détaille : “Non détectable par l’antivirus, il s’est propagé sur un groupe de postes de travail”. Il précise d’ailleurs : “Grâce aux logs, nous avons pu remonter au « patient zéro » et connaissons donc la source de l’infection, mais préférons ne pas communiquer là-dessus”. 

Le virus en question ne ressemble pas au crypto-virus Wannacry. Responsable sécurité des SI à l’établissement, Vincent Templier apporte des précisions : “Il s’agit d’un virus simple, de type Qbot. Ce n’est pas un ransomware et il n’altère ni ne crypte les données, mais essaie de récupérer des identifiants et des mots de passe en vue d’une tentative d’attaque”. Un virus “financier”, destiné aux banques : “Le Qbot tente de collecter tout ce qui ressemble à un relevé d’identité bancaire, un nom, un prénom, un numéro de carte bancaire… Ce virus n’est donc pas programmé pour voler des données de santé”, poursuit Vincent Templier. 

Une détection via une latence anormale du SI

Toujours est-il que l’infection avait paralysé le fonctionnement du SI, selon le RSSI : “Le Qbot essaie une multitude de combinaisons d’identifiant et de mot de passe pour tenter d’accéder à Internet, ce qui a surchargé le serveur”, d’après Vincent Templier. L’équipe a rapidement compris qu’un problème était survenu : “Nous avons observé un temps de latence anormal et en avons tout de suite analysé la source”. Selon les responsables, l’analyse des logs a montré que le virus ne disposait pas des outils nécessaires pour trouver les codes d’accès à Internet. Aussitôt l’incident détecté, il été analysé – avec un accompagnement de l’Anssi – et signalé à la Cnil ainsi qu’aux instances concernées. “Depuis le 1er octobre 2017, les structures de santé – hôpitaux, centres de radiologie, et laboratoires de biologie – sont tenues de déclarer les incidents de cybersécurité dont elles sont victimes”, souligne Emmanuel Sohier, responsable de la cellule “Accompagnement cybersécurité des structures de santé” (ACSS) chez l’Asip Santé. Ces déclarations s’effectuent en ligne au travers d’un portail dédié. 

Mise en place d’un plan de continuité d’activité 

“Le fait que nos 11 000 employés doivent renseigner un identifiant et un mot de passe pour accéder à Internet peut sembler contraignant mais c’est un type de cloisonnement natif qui garantit que le virus est confiné au réseau et ne peut pas accéder à Internet, explique Jérôme Euvrard. Nos réseaux étant segmentés, nous avons pu confiner le virus au site de Gui de Chauliac”. Il a également fallu prendre les mesures nécessaires afin d’assurer le bon fonctionnement de l’établissement : “Nous avons mis en place un plan de continuité d’activité en mode segmenté, enchaîne Jérôme Euvrard. Aussi, nous avons déclenché des procédures pré-établies, en cas de confrontation à une menace. Cela consiste à restreindre l’usage de l’outil informatique, activer les postes de secours, étanchéifier le site, préserver le réseau wifi et créer une cellule de crise. Cette dernière comprend les chefs de pôle, l’ensemble de la direction des SI, les techniciens, les représentants des directions, les médecins et les soignants. Elle répond de manière immédiate aux sujets qui requièrent une attention particulière.” Jérôme Euvrard affirme que l’analyse effectuée a confirmé qu’aucune donnée de santé n’a été compromise et que le virus ne s’est pas introduit dans les logiciels patients. 

D’après Emmanuel Sohier : “Nous recommandons de porter plainte en premier lieu et c’est d’autant plus important quand il s’agit d’une attaque ciblée. Il faut aussi garder des preuves de l’incident, ne pas tout effacer et ne pas désactiver toutes les machines. Il est alors possible de réaliser des analyses approfondies et de mettre en place des dispositions de remédiation efficaces”. Un rapport publié par l’ACSS en mars 2018 indique que parmi les établissements de santé : 90 % pratiquent l’inventaire des ressources SI, 85 % effectuent des tests périodiques de restauration des sauvegardes, les trois quarts réalisent une revue périodique des comptes d’accès et 96 % ont défini un processus interne de remontée des incidents. 

L’infection virale qui a touché le CHU de Montpellier est aléatoire. Ce n’est pas une attaque ciblée. “La première motivation des attaquants est l’argent, ou encore se faire une réputation dans le cercle des malfaiteurs du numérique, sur le dark web, décrète Emmanuel Sohier. Mais, de mon point de vue, il n’existe pas de business en France sur la monétisation de la donnée de santé. Nous n’avons pas de remontées massives d’incidents de ce côté-là. L’une des raisons est que, contrairement au secteur bancaire, il n’y a pas d’enjeux suffisamment importants pour en faire un business dans le monde de la santé. Les incidents signalés ne sont le plus souvent pas des attaques ciblées mais des cas de hameçonnage : un professionnel de santé qui fournit son login et son mot de passe, et le cybercriminel peut alors accéder potentiellement à des données de santé”. 

Une journée consacrée à la “désinfection”

Le CHU de Montpellier a mobilisé 20 personnes pour “désinfecter” les postes et les remettre à neuf, déclare le DSI : “la désinfection s’est faite à distance et a duré une journée complète. Elle est non intrusive et permet de réparer sans devoir réinstaller les logiciels. Nous vérifions ensuite que l’ordinateur a bien été vacciné et que le problème ne réapparaîtra pas”. Vincent Templier détaille les mesures de sécurité prises par la suite et dont la prévoyance semble être le mot d’ordre : “Nous avons construit un maillage plus fin de notre sécurité, mais quand bien même nous essayons au maximum de renforcer la protection avec des logiciels, cela n’empêchera pas de trouver des failles de cybersécurité. Nous formons donc le personnel à adopter une bonne hygiène informatique, changer son mot de passe souvent en le rendant complexe : éviter l’utilisation de mots de passe standards comme le nom du chat ou de l’enfant, ne pas le noter sur un post-it collé au bureau… Et nous sensibilisons le personnel aux risques encourus si l’intégrité des données n’est pas préservée”. Le CHU précise que la formation du personnel sur la sécurité informatique s’est faite en premier lieu via les vecteurs de communication habituels (journal interne, mailing…) au travers desquels des campagnes d’information rappelant les bonnes pratiques sont régulièrement menées ; de plus, des sessions de sensibilisation aux bonnes pratiques, à destination de l’encadrement, sont réalisées par le RSSI, et enfin des tests de phishing sont organisés avec régularité pour détecter les utilisateurs négligeants et cibler les rappels de bonnes pratiques. 

L’interopérabilité, maillon faible dans la santé mais force pour limiter la progression virale

Dans son rapport public annuel de 2018, la Cour des comptes avait identifié l’interopérabilité comme étant l’un des prérequis principaux au développement du numérique au service du système de soins. Prenant la parole dans mind Health, Marion Loustic, avocate chez SIA Partners, affirmait qu’une unicité du langage informatique permettrait de “faciliter l’exploitation des données de santé par des technologies d’intelligence artificielle”. Cependant, il semble que ce même manque d’interopérabilité ait protégé les données de santé dans l’Hexagone. Au Royaume-Uni, en mai 2017, le crypto-virus Wannacry avait attaqué le système de santé anglais : cela a coûté 104 M€ au NHS. Pourquoi une vague similaire n’a-t-elle pas bouleversé la France ? Réponse d’Emmanuel Sohier : “Cela se justifie par l’hétérogénéité et la variété de nos SI et des logiciels de gestion des données de santé des patients en France. L’interconnexion est donc moins forte en France et la propagation virale est alors limitée”.