PCRA, remédiation : l’enjeu du temps long après une cyberattaque à l’hôpital

Dans la nuit du 10 au 11 février 2024, l’hôpital d’Armentières (59) est victime d’une attaque par ransomware, obligeant rapidement le centre hospitalier à se couper du monde et à passer en mode dégradé. Une attaque en plusieurs étapes (voir image plus bas) qui, 102 jours plus tard, continue d’avoir des conséquences sur l’hôpital.

Une attaque, des impacts multiples

Comme pour le CH d’Arles en 2021, les impacts de cette cyberattaque sont multiples et concernent aussi bien les métiers du soin et de l’administration que de l’IT. Au niveau organisationnel, l’hôpital déclenche un Plan blanc dès les premières heures de la crise. Avec un enjeu : contenir l’attaque et maintenir les services de soin alors que l’investigation numérique pour retracer l’attaque n’est pas encore menée et que l’hôpital, isolé de l’extérieur par mesure de sécurité, doit fonctionner en mode dégradé. “Une particularité de la crise numérique est qu’il faut avancer à mesure de la prise de connaissance sur l’incident, alors que le diagnostic n’est pas encore posé”, note le RSSI.

Le service des urgences est fermé durant 24h. “C’est toujours difficile de fermer des urgences pour un établissement de santé, d’autant que ce week-end, il y avait un carnaval dans une ville à proximité. Néanmoins, c’était la bonne décision à prendre pour garder une prise en charge optimale des patients. Nous avions besoin de ce délai de 24h pour s’assurer que les briques du système d’information encore fonctionnelles étaient suffisantes pour garantir la prise en charge optimale des patients”, fait valoir Thomas Aubin.

Activation de deux cellules de crise

Très vite, deux cellules de crise s’activent : la cellule établissement, en lien avec l’ARS, et la cellule technique, accompagnée par l’ANSSI, le CERT-Santé et la société Wavestone pour la partie investigation numérique, se réunissent tous les jours, pour acter les premières actions à prioriser. L’équipe IT passe de 6 à 11 personnes, avec l’arrivée d’experts du CHRU de Lille et de prestataires venus aider à reconstruire le système d’information. “Certaines journées, nous sommes montés à 25 personnes dans l’équipe IT, se souvient le RSSI. Nous avons sanctuarisé les bureaux de la DSI dès J2 en postant des agents de sécurité devant la porte pour ne faire entrer que le personnel de la DSI et éviter les sollicitations. Il est important de travailler au calme.” Cette “protection” va durer une quinzaine de jours.

Maîtriser la communication en interne et en externe

En parallèle, le CHU d’Armentières prend le parti de communiquer tôt sur la cyberattaque, d’abord auprès des médias locaux, “pour rester en maîtrise des informations”, souligne le RSSI. Des assemblées générales sont également organisées dès le deuxième jour pour tenir les équipes internes informées. “On a eu cette chance de faire un exercice cyber deux semaines avant l’attaque, donc tout le monde s’est très vite mis en ordre de bataille que ce soit côté technique ou côté administratif”, s’est félicité Thomas Aubin.

Si les premiers jours de crise sont les plus denses, la course relève en fait du marathon puisque c’est bien sur le temps long que se joue la reprise de l’activité de l’hôpital. “On est à J 102 de la cyberattaque, et nous sommes toujours dedans, reconnaît Thomas Aubin. Dès le départ, nous avons compris que l’enjeu portait sur le temps long. C’est pour cela que nous avons rapidement mis en place des cycles de repos pour l’équipe IT et décidé de ne pas annuler les congés posés sur la période qui a suivi l’attaque.”

L’enjeu de la remédiation

Outre la gestion de crise (les 72 heures suivant l’attaque), le sujet clé d’une cyberattaque reste la remédiation, soit la capacité d’un établissement à remettre son système d’information (SI) en fonctionnement. Une étape qui s’étale sur plusieurs semaines, voire plusieurs mois, et nécessite en premier lieu de mener une investigation numérique pour établir le scénario d’attaque, identifier dans le SI les logiciels et le matériel touchés et inutilisables et mesurer les impacts métier.

Une des premières actions de l’hôpital porte ainsi sur l’Active Directory (logiciel d’annuaire centralisant les comptes utilisateurs et leurs accès aux ressources réseau), lui aussi chiffré, mais qui continue à fonctionner en mémoire. Il est reconstruit en “tiering” (en créant des tiroirs sécurisés pour les administrateurs selon les sujets qu’ils doivent administrer au sein du SI).

Remise à plat du système d’information

La crise oblige à une remise à plat du SI, l’hôpital en profite pour le reconstruire en augmentant son niveau de sécurité : politique de mot de passe administrateur renforcée, déploiement d’un EDR (protection du poste de travail), mise en place de l’authentification multi facteurs (MFA) etc. Le travail de restauration du SI s’est achevé vers J65. “Nous avions deux objectifs dans la durée : reconstruire ce qui était cassé et profiter de la crise pour augmenter notre niveau de sécurité. Pour les systèmes qu’on n’a pas pu restaurer, on a pu soit les reconstruire, soit choisir de s’en passer car obsolètes.”

En parallèle, un poste de travail non relié au réseau interne est installé, avec une clé 4G, pour permettre un accès au réseau externe (notamment car une partie des consultations de l’hôpital est prise en charge par Doctolib). Des postes de travail sont également prêtés par le CHU de Lille. “Le matériel en réserve est un vrai point de vigilance, insiste Thomas Aubin. Il faut intégrer une dotation de postes de travail dans le Plan blanc numérique.” Aujourd’hui, le CH d’Armentières chiffre à 2 millions d’euros le coût global de la cyberattaque dont il a été victime. 

Se doter d’un PCA-PRA pour redémarrer plus vite

Avant l’attaque du 11 février 2024, le CHRU de Lille, dont dépend l’hôpital d’Armentières, avait été retenu comme établissement pilote, avec 27 autres établissements en France, pour être accompagné par l’Agence du numérique en santé (ANS) dans l’élaboration de son plan de continuité et de reprise d’activité (PCRA, souvent on parle d’un PCA et d’un PRA). Le CHRU de Lille a détaillé sa démarche PCRA dans cette présentation dévoilée à l’occasion d’un webinaire de l’ANS, le 15 mars 2024.

Une préparation qui a permis de gagner un temps précieux lors de la crise cyber d’Armentières, notamment grâce à la rédaction de “fiches réflexe” (la liste des actions à mener dans les 15 min suivant une cyberattaque) conçues avant l’attaque. Le PCRA permet notamment d’identifier les données utiles, de préparer le fonctionnement en mode dégradé, et d’entraîner les équipes à la crise, pendant et après. “On ne fait bien dans la tempête que ce que l’on fait bien par temps calme, donc on se prépare, a martelé Thomas Aubin lors de son intervention à SantExpo. On blinde son PCA, on fait des exercices. Un processus de sécurité n’est jamais fini, il doit être réexaminé et réévalué tous les six mois.”

Difficile d’évaluer le coût de la mise en place d’un PCRA, qui se chiffre souvent en temps passé (20 heures pour le CHRU de Lille, 16 heures pour le Service de Santé des Armées), à moins de faire appel à un prestataire. Mais pour Elodie Chaudron, directrice du programme CaRE, la question est plutôt “combien cela coûte de ne pas le faire ?”. “Pour le CHSF (pris pour cible en août 2022, avec notamment des vols de données, NDLR), le coût global de la cyberattaque est de 12 millions d’euros, a précisé Selim Miled, expert PCRA de l’ANS. La perte d’activité du trimestre suivant la cyberattaque correspond à 60 millions d’euros.”