Cyberattaqué, comment le CH Armentières gère sa com de crise
Trois jours ont passé depuis la cyberattaque contre l’hôpital d’Armentières. On retrouve, dans sa com de crise, des motifs similaires à celle qu’avait orchestrée son homologue de Corbeil-Essonnes, lui aussi touché un week-end.
La nuit du samedi au dimanche, moment privilégié pour attaquer un hôpital ? Le CH Sud Francilien (Essonne) avait fait face à cette situation à l’été 2022.
Son homologue d’Armentières (Hauts-de-France) vient de subir le même scénario, entre les 10 et 11 février. Il a choisi, comme principal canal d’information du grand public à propos de cet incident, sa page Facebook. Y sont notamment relayés ses communiqués.
Le premier, diffusé dimanche en fin de matinée, avait officialisé l’implication d’un ransomware. L’hôpital y faisait état des premières mesures organisationnelles prises en conséquence. En particulier, la fermeture des urgences – sauf maternité pour les parturientes – pendant 24 heures « par mesure de sécurité », avec réorientation vers les autres services du territoire. Mais aussi la déprogrammation des consultations et des blocs opératoires non urgents du 12 février.
Lire aussi : Cybersécurité : 8 personnalités qui ont marqué 2024
Le deuxième communiqué, diffusé dans l’après-midi du 12 février, abordait davantage la question informatique. Plus précisément, sur les logiciels opérationnels et ceux indisponibles. Dans la première catégorie étaient listés les logiciels de gestion des données patients et d’admission/sortie, ainsi que ceux nécessaires au fonctionnement des urgences et des blocs opératoires. Dans la seconde figurait le logiciel en lien avec le laboratoire, l’imagerie médicale et la pharmacie. Le centre hospitalier signalait aussi la nécessité d’une intervention humaine de programmation, d’analyse et de vérification sur les machines et automates, fonctionnels néanmoins. Il était alors question de réouvrir les urgences le lendemain à 16 heures.
Promesse effectivement tenue. Un troisième communiqué, émis en parallèle, a fait état du rétablissement des fonctions support (imagerie, labo, pharmacie). On nous y informe par ailleurs de la mise en place – sans plus de précisions – de solutions palliatives à l’absence de certains logiciels non critiques. Auparavant, la maternité avait prié les patients de « venir en consultations ou aux urgences avec la copie de [leurs] bilans, carte de groupe et [leur] carte d’inscription orange »…
Comment le CH Sud Francilien avait géré sa com
Le CH Sud Francilien n’avait pas immédiatement fait part de l’implication d’un ransomware (il s’agissait de LockBit 3.0). Il avait, en revanche, annoncé rapidement le déclenchement du plan blanc – ce que l’hôpital d’Armentières ne mentionne pas dans sa com officielle. Cette attaque avait rendu inaccessibles tous ses logiciels métiers, ses systèmes de stockage et le SI gérant les admissions de patients, avait-il en outre déploré. Et d’évoquer une première mesure : une redirection vers d’autres hôpitaux de la région pour les patients dont les soins nécessitaient l’accès au plateau technique.
À J+4, un bilan avait été dressé sur la continuité des services. Entre autres éléments, le CH Sud Francilien avait affirmé avoir validé l’intégrité des appareils de son plateau technique. Et signalé son intention de fournir des graveurs de CD au service d’imagerie médicale pour conserver et transmettre les données. Quant à identifier le périmètre de l’attaque, on nous suggérait un travail complexe à l’image du SI. Tout en donnant cependant un ordre de priorité pour le rétablissement : d’abord les apps du personnel médical, puis la messagerie et le logiciel RH.
Lire aussi : Avec l'AI Act, un nécessaire RGPD 2 ?
Trois semaines après l’incident, le fonctionnement des urgences restait perturbé. Les patients en état critique demeuraient redirigés vers d’autres établissements de l’Essonne, du Val-de-Marne et des Yvelines. Une organisation solidaire était alors en place avec, notamment, le CH d’Arpajon, où s’était délocalisé du personnel paramédical du CH Sud Francilien. Ce dernier parlait, sur le volet IT, du déploiement d’un EDR… qui contribuerait à permettre la restauration de l’accès aux e-mails et à Internet.
Le flux de com s’était progressivement tari à partir de la mi-octobre. Le CH Sud Francilien expliquait alors se préparer « à reprendre une activité proche de la normale ». Il venait d’amorcer la remise en service de ses logiciels métiers. Et d’effectuer des envois postaux pour informer ses 700 000 usagers et membres du personnel.
Illustration © Blue Ocean Robotics
Sur le même thème
Voir tous les articles Cybersécurité