Cyberattaque: la préparation et la réaction sont la clé

Qu'est-ce qui permet, aujourd'hui, de prémunir un hôpital contre une attaque informatique? "La compétence", explique l'un. "La vigilance", enchaîne l'autre. "La chance", conclut un troisième sous les rires de l'assemblée. "C'est effectivement intéressant d'entendre parler d'autre chose que de l'aspect technique", constate Jacques Godart. La cyberattaque contre le Chwapi a été particulièrement violente. "On n'était pas devant notre ordinateur, et c'était hors d'un pic d'activité", se remémore le CIO. "Les hackeurs ont utilisé la corruption d'identité, l'encryptage des données et ils ont effacé nos serveurs virtuels, rendu nos serveurs de backup indisponibles." L'impact sur le système d'information du Chwapi - 250 serveurs - fut l'indisponibilité subite de plus de 80 serveurs et 180 applications. La réaction: un passage en mode 'équipe de crise', 24 heures sur 24 et sept jours sur sept, à l'aide d'un soutien externe et l'appui de la 'Computer crime unit'. "L'attaque s'est déroulée en janvier 2021, en pleine crise covid", se souvient Jacques Godart. "Nous avons eu un PUH médical et un PUH technique en même temps." Le CIO témoigne des nombreux changements qui sont intervenus lors de ces deux plans d'urgence successifs: changement de domaine pour garder une messagerie mail, déviation du 112 vers d'autres institutions pendant trois jours, retour au travail dans l'institution alors que le télétravail était de mise... Le tout en ayant accès à moins de ressources et en n'ayant pas accès à internet. "Il a fallu s'organiser, dans ces conditions, pour avoir au minimum trois personnes présentes sur des cycles de 24 h, pendant dix semaines. Cela a complètement épuisé les équipes psychologiquement et physiquement. Cela a demandé de la solidarité."Une solidarité qui fut heureusement présente. "Je tiens d'ailleurs à préciser que nous avons eu de très nombreuses propositions émanant de beaucoup d'institutions. Cela nous a touchés. Mais nous avons dû freiner cet enthousiasme car nous aurions été trop nombreux à gérer trop de problèmes. Cela aurait été ingérable. Nous avons donc pris le parti d'associer à nos efforts des personnes qui connaissaient déjà nos systèmes d'information, par exemple nos partenaires du réseau Phare."Lorsqu'un tel incident se produit, la priorité n'est pas technique, mais stratégique. "Il faut penser à l'organisation. Quelles sont les applications critiques? Il faut distinguer les applications nécessaires pour le bloc et celles utiles pour la restauration." Au Chwapi, la décision a été d'appliquer un classement en cinq niveaux, où le niveau cinq représente le niveau le plus critique pour le fonctionnement de l'hôpital. Cette initiative a permis à l'hôpital de retrouver un niveau de fonctionnement entier sur les applications critiques deux semaines après la cyberattaque. "Au moment de l'attaque, on n'avait plus accès à rien. Il nous a fallu sept semaines pour arriver à un relatif retour à la normale. À J+4, on était encore avec plus de trois quarts des solutions qui n'étaient pas fonctionnelles.Par contre, si à J-0 aucune application critique (niveau 5) ne fonctionnait, nous avons récupéré un tiers de ces applications classées niveau 5 à J+4, trois quarts à J+7 et l'entièreté à J+14."Pour remettre en place l'infrastructure informatique, le Chwapi a bénéficié de sa prévoyance, car l'institution avait prévu des copies des données à plusieurs endroits. "Il faut cependant dix fois plus de temps pour restaurer des données que pour les copier. C'est un très long travail."Il a également fallu réinstaller les serveurs. "Nous y sommes parvenus, excepté pour le serveur de la messagerie. Nous avons donc proposé une transaction à notre hackeur: 'Vous nous demandiez 100 bitcoins pour récupérer notre système d'information: nous avons récupéré 99% de notre système d'information, nous vous proposons donc 1 bitcoin.' Nous avons été très courtois. Ils sont susceptibles. La réponse a été: 'One bitcoin is no money', accompagnée d'une clé de décryptage et nous avons récupéré nos données.""Nous avions l'impression d'être bien protégés. Nous ne l'étions pas suffisamment. Nous aurions pu acheter l'ensemble des solutions de cybersécurité disponibles. Mais cela serait revenu à dépenser tout le budget de l'hôpital, voire plus. Il a donc fallu faire des choix. Dans ces cas-là, il faut privilégier les bons processus et mettre les bonnes personnes aux bons endroits", recommande Jacques Godart. Les outils de sécurité informatique qui ont failli ont été remplacés, et diverses résolutions ont été prises (identification multifactorielle, mise en place de filtres, appel à des solutions plus évoluées que les simples logiciels antivirus, etc.). L'hôpital tournaisien a également travaillé l'aspect prévention. "Nous avons travaillé sur le cahier des charges: il faut prévoir des clauses cybersécurité dans les marchés publics, travailler sur un VPN que l'on ferme dès que nous n'en avons pas besoin (week-end, soir, férié), mettre en place des campagnes de sensibilisation au phishing, et travailler sur un plan B quand il n'y a plus d'informatique."Concernant ce dernier point, et vu le manque de ressources, Jacques Godart souligne que "le PUH cybersécurité n'est jamais qu'une variante d'un PUH technique. L'idée n'est pas de réinventer la roue. Mais plutôt de mettre en place des unités de coordination, d'information."Quoi qu'il en soit, l'homme estime que la cybersécurité doit aujourd'hui faire partie du plan stratégique de tous les hôpitaux. C'est le cas du Chwapi, où un euro sur cinq investi pour l'évolution du système d'information est dévolu à la cybersécurité. "Ce n'est qu'une partie du chemin à réaliser: il faut aujourd'hui mutualiser les efforts entre hôpitaux d'un même réseaux", conclut Jacques Godart.