Les activités de deux hôpitaux publics ralenties par des attaques informatiques en mars

LE MANS (TICsanté) - Un centre hospitalier (CH) et un CHU ont été victimes il y a une quinzaine de jours d'attaques informatiques ayant paralysé une partie de leur activité, donnant lieu à des interventions du ministère de la santé et de l'Agence nationale de la sécurité des systèmes d'information (Anssi), a relayé le 2 avril Philippe Loudenot, fonctionnaire chargé de la sécurité informatique pour les ministères sociaux.

Philippe Loudenot est intervenu à l'occasion du 7e congrès national de l'Association pour la sécurité des systèmes d'information de santé (Apssis), organisé au Mans du 2 au 4 avril.

Il a partagé un "retour d'expérience" réalisé auprès des équipes de santé des établissements touchés par l'attaque informatique.

Le premier cas concerne un CH dont les données ont été rendues totalement indisponibles pendant "plusieurs jours" par un cryptovirus, logiciel malveillant qui chiffre les données d'un réseau afin de réclamer une rançon en échange de la clé de déchiffrement. Le cryptovirus a touché le système d'information de l'hôpital et ses sauvegardes.

Ce CH n'était pas doté d'une direction du système d'information (DSI). Sa directrice a alerté le centre opérationnel de régulation et de réponse aux urgences sanitaires et sociales (Corruss), donnant lieu à une intervention des équipes du ministère de la santé, de l'Agence des systèmes d'information partagés de santé (Asip santé) et de l'Anssi, qui a fourni un programme permettant de déchiffrer les données.

Selon un bilan présenté par l'Asip santé, les impacts pour la structure ont été principalement financiers, avec une perte d'activité de plusieurs jours et un coût d'intervention d'un prestataire.

Le deuxième cas partagé par Philippe Loudenot et l'Asip santé concerne un CHU visé par un "virus polymorphique" qui s'est propagé à plusieurs services, dont la réanimation, les urgences, les consultations en neurologie et des blocs opératoires, rendant indisponibles pendant quatre jours les dossiers patients informatisés (DPI) et plusieurs services support comme les messageries et obligeant les professionnels de santé à travailler en mode dégradé.

Des opérations et des consultations ont dû être reportées, engendrant un coût financier pour le CHU, et le Corruss a été alerté, conduisant à une intervention à distance et sur site de l'Anssi.

Les professionnels de santé "n'ont pas été gênés plus que cela" et ont fait état d'un "bon fonctionnement" des services en mode dégradé, a relayé Philippe Loudenot.

Concrètement, le service d'urgences de l'établissement a fonctionné pendant quelques jours avec seulement deux ordinateurs: le premier pour accéder aux sauvegardes des DPI pour les patients déjà venus à l'hôpital, et le second pour gérer les entrées et admissions.

"D'après les professionnels, ces deux ordinateurs suffisaient", a relevé Philippe Loudenot, incitant à s'interroger sur "les moyens strictement suffisants pour faire tourner tel ou tel service" à l'hôpital.

La sécurité informatique au service des métiers

"La protection des données et la sécurité du numérique ne sert strictement à rien si vous prenez cela comme une fin en soi", a souligné le fonctionnaire à la sécurité des systèmes d'information des ministères sociaux, expliquant que les équipes informatiques "doivent servir les métiers".

"Toute analyse de risque ou tout moyen mis en place doit se faire en étroite collaboration avec les métiers, sinon on se trompe d'objectifs", a-t-il insisté, mettant en avant l'intérêt des échanges qui ont eu lieu avec les professionnels de santé impactés par les récentes attaques informatiques.

Il a notamment évoqué la perte d'intégrité des données comme "l'une des craintes principales exprimées" par les hospitaliers. Il a aussi pointé la multiplication des métiers devenus "numérico-dépendants", à l'instar des services de biologie ou de radiologie.

Pour rappel, depuis le 1er octobre 2017, les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et les centres de radiothérapie sont tenus de relayer à leur agence régionale de santé (ARS) les incidents de sécurité "graves" et "significatifs" sur leurs systèmes d’information de santé.

Un premier bilan du dispositif de remontée des incidents, publié en décembre 2018 par l'Asip santé, a fait état de plus de 300 incidents déclarés en un an.