Stratégie

Comment le Centre Hospitalier d'Issoudun a réagi à un cryptovirus

Julien Dubot, directeur-adjoint (en photo), et Martine Araujo, responsable des services informatique du CH La Tour Blanche à Issoudun, ont piloté un rétablissement du SI en une semaine.

Victime d'un cryptovirus, le CH de La Tour Blanche à Issoudun a mis une semaine à retrouver un fonctionnement normal.

PublicitéCentre hospitalier ordinaire de province, le CH de La Tour Blanche à Issoudun comprend 481 lits et places répartis entre un pôle médical de proximité, le plateau technique de rééducation de référence pour la Région Centre Val-de-Loire (130 lits) et des services pour personnes âgées (EHPAD...). Les quelques 600 agents du centre hospitalier bénéficient de 400 postes de travail et d'une vingtaine de serveurs, le tout permettant évidemment de faire fonctionner l'ensemble des métiers, notamment avec les logiciels édités par Berger Levrault. Or, dans la nuit du 1er au 2 octobre 2019, un cryptovirus s'est déclenché, entraînant un début de blocage du SI. Par précaution, il a décidé d'arrêter immédiatement l'ensemble du SI pour éviter toute propagation. Les métiers ont donc fonctionné à partir de cet instant en mode dégradé, conformément à la procédure pré-établie, avec retour aux processus papier. Une semaine plus tard, l'essentiel était revenu en mode normal.

« Notre premier objectif a été bien sûr de tout remettre en fonctionnement » indique Martine Araujo, responsable des services informatique du CH La Tour Blanche. Le cryptovirus est probablement entré dans l'hôpital par un e-mail contaminé. Mais l'anti-virus Kaspersky, installé sur tous les postes de travail et sur tous les serveurs, ne l'a pas repéré à temps. Le cryptovirus a ensuite été identifié comme étant très récent et peu fréquent, se présentant sous le nom Antirecuva ANDB. Toujours en cours, l'enquête sur l'attaque a été confiée à la gendarmerie suite au dépôt de plainte, le 3 octobre. Elle est aujourd'hui délocalisée à Paris, confiée à la BEFTI (Brigade d'enquêtes sur les fraudes aux technologies de l'information). La rançon demandée était faible (de l'ordre de 1000 dollars) mais aucune certitude n'existait sur la capacité des émetteurs à décrypter le système.

Des conséquences limitées

Comme il s'agissait d'un cryptovirus, aucun vol de données n'a été à déplorer. Malgré tout, l'ensemble des procédures prévues en cas de cyber-attaques ont été déclenchées : outre le dépôt de plainte, alerte à l'agence régionale de santé, sur le portail des déclarations d'incidents au Ministère de la Santé, à la cellule de cyberveille santé et à la CNIL. L'attaque a aussi été relativement limitée, l'arrêt rapide du SI ayant stoppé la propagation. En effet, seulement 4 PC ont été touchés. Côté serveurs, seuls ceux sous Windows ont été impactés. Les logiciels métiers, hébergés sur des serveurs Linux, ont été épargnés. Les données impactées concernaient donc des documents bureautiques stockés centralement dans des espaces de partage, souvent des documents de travail. Au moment du bilan, « environ 7 % des données ont été perdues » observe Martine Araujo. Elle ajoute : « beaucoup de documents ont pu être récupérés via la messagerie -épargnée- car ils ont été à un moment ou un autre échangés par mail ».

PublicitéBien sûr, le centre hospitalier possédait des sauvegardes sur NAS. Mais, comme souvent, le cryptovirus a bien sûr attaqué en premier les sauvegardes en ligne. Julien Dubot, directeur-adjoint du centre hospitalier, tient à préciser : « la sécurité informatique n'a jamais été prise à la légère. » Des améliorations étaient d'ailleurs déjà programmées. Les nouveaux serveurs, commandés auparavant, ont été de ce fait livrés seulement trois jours après l'incident ! Et, comme prévu, une sauvegarde à distance avec Veeam a, depuis, été mise en place. Une sauvegarde « à l'ancienne » sur supports physiques off-line (comme des CD-ROM) est également envisagée.

Une semaine pour retrouver un système opérationnel

Une fois l'ensemble du SI arrêté, il s'agissait donc de le remettre en service, avec une priorité aux systèmes métier. Les nouveaux serveurs ont été installés de zéro avec les applicatifs par les équipes du centre hospitalier avec l'assistance de Berger-Levrault. La récupération des données a ensuite été opérée petit à petit, avec vérification systématique de leur non-contamination avant leur transfert. « Le centre hospitalier est totalement informatisé, tous les services utilisant un dossier patient et notre établissement mutualisant même l'imagerie, avec une logique d'interfaçage systématique entre tous les applicatifs pour éviter les ressaisies » précise Julien Dubot.

En réinstallant les applicatifs, il fallait donc recréer tous les liens inter-applicatifs. Au bout de deux jours, les logiciels métiers médicaux avaient été relancés. L'administratif a nécessité deux jours de plus. L'essentiel a été rétabli dans le délai d'une semaine, « pour un fonctionnement correct », même si certains liens secondaires restent parfois encore à remettre en place. Il reste aussi à rattraper la période de procédures dégradées, et donc à saisir dans le SI les données gérées en format papier. Pour cela, il faudra sans doute quelques semaines encore.

Pour éviter une réédition de l'incident, outre les améliorations techniques prévues, il est également envisagé d'améliorer la sensibilisation des personnels à la cybersécurité. Un cryptovirus demande en effet, en général, une action humaine pour se déclencher.