{"id":42446,"date":"2020-10-01T11:30:22","date_gmt":"2020-10-01T09:30:22","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=42446"},"modified":"2020-10-19T12:47:30","modified_gmt":"2020-10-19T10:47:30","slug":"cyberattaque-au-chu-de-rouen","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/cyberattaque-au-chu-de-rouen\/","title":{"rendered":"Cyberattaque au CHU de Rouen"},"content":{"rendered":"Temps de lecture\u00a0: <\/span> 4<\/span> minutes<\/span><\/span>

Propos recueillis par Chafika MAZOUNI MENARD et Christophe GOT<\/p>\n

Pouvez-vous revenir sur l\u2019attaque informatique qui a cibl\u00e9 votre \u00e9tablissement en novembre 2019\u2009?<\/strong><\/em><\/p>\n

L\u2019incident d\u00e9bute le 15 novembre 2019 vers 19\u2009h\u200900, veille de week-end, avec le signalement par un interne du service des urgences d\u2019un probl\u00e8me de droits d\u2019acc\u00e8s \u00e0 une application m\u00e9tier. Apr\u00e8s analyses depuis les outils de supervision puis par une prise en main sur des syst\u00e8mes impact\u00e9s, l\u2019astreinte de la direction du syst\u00e8me d\u2019information (DSI) constate tr\u00e8s vite le chiffrement de plusieurs serveurs puis de postes de travail. Le diagnostic s\u2019oriente alors aussit\u00f4t sur la propagation d\u2019un ran\u00e7ongiciel\/ransomware<\/i> et la proc\u00e9dure de gestion des incidents de s\u00e9curit\u00e9 est mise en \u0153uvre \u00e0 travers le d\u00e9clenchement successif de trois\u00a0niveaux s\u00e9quentiels\u00a0d\u2019astreinte\u2009:<\/p>\n

    \n
  • la mobilisation du p\u00f4le de support de base d\u2019analyse de l\u2019incident\u2009;<\/li>\n
  • le support de comp\u00e9tence technique plus complexe\u2009;\u00a0<\/span><\/li>\n
  • le support de gestion de crise et constitution de la cellule de crise (l\u2019\u00e9quivalent de plan blanc du syst\u00e8me d\u2019information). Deux heures apr\u00e8s le premier signalement, une trentaine d\u2019intervenants de la DSI sont pr\u00e9sents sur site pour lancer les premi\u00e8res actions d\u2019investigation et surtout de communication vis-\u00e0-vis des m\u00e9tiers, avec l\u2019appui de diff\u00e9rentes instances, notamment le minist\u00e8re de la Sant\u00e9, l\u2019Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (Anssi) ou encore l\u2019agence r\u00e9gionale de sant\u00e9 (ARS).<\/li>\n<\/ul>\n

    L\u2019attention se porte sur la remise en \u00e9tat des applications de prise en charge des patients et l\u2019acc\u00e8s \u00e0 l\u2019information pour les personnels hospitaliers. Deux jours apr\u00e8s, les principales applications m\u00e9tiers sont \u00e0 nouveau op\u00e9rationnelles pour l\u2019accueil des patients d\u00e8s le lundi matin (espace d\u2019accueil client\u00e8le, urgences, st\u00e9rilisation, blocs op\u00e9ratoires, imagerie, laboratoires). Apr\u00e8s moins d\u2019une semaine, environ 75\u2009% des applications (soit environ 250\u00a0progiciels) sont fonctionnelles et il faut attendre environ une quinzaine de jours pour la r\u00e9ouverture compl\u00e8te des acc\u00e8s Internet vers l\u2019ext\u00e9rieur.<\/p>\n

    En parall\u00e8le et comme pr\u00e9vu r\u00e9glementairement (art. L. 1111-8-2 du code de sant\u00e9 publique), cet incident grave de s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information fait l\u2019objet d\u2019une d\u00e9claration en tant que structure de sant\u00e9 sur le portail des signalements des \u00e9v\u00e9nements sanitaires ind\u00e9sirables, ce qui permet un accompagnement et un suivi par une cellule d\u00e9di\u00e9e. Apr\u00e8s accord de la direction g\u00e9n\u00e9rale, le CHU fait aussi enregistrer un d\u00e9p\u00f4t de plainte aupr\u00e8s des services de police.<\/p>\n

    Quels moyens logistiques et humains ont \u00e9t\u00e9 mis en \u0153uvre pour parer ou att\u00e9nuer tout nouvel incident de cet ordre\u2009?<\/strong><\/em><\/p>\n

    La r\u00e9ponse \u00e0 l\u2019incident de novembre dernier a permis de montrer que les proc\u00e9dures associ\u00e9es \u00e9taient globalement ma\u00eetris\u00e9es (coupure des flux Internet, cloisonnement des sauvegardes, proc\u00e9dures de restauration, communication vers les m\u00e9tiers, etc.). Suite \u00e0 des Retex avec les instances et en interne, des axes d\u2019am\u00e9lioration sont identifi\u00e9s (constitution d\u2019un stock de mat\u00e9riels d\u00e9di\u00e9s \u00e0 ce type de crise, documenter avec des proc\u00e9dures, r\u00e9diger des modes op\u00e9ratoires, etc.).<\/p>\n

    En parall\u00e8le, des actions de renforcement de la s\u00e9curit\u00e9 d\u00e9j\u00e0 identifi\u00e9es sont prioris\u00e9es (poursuite des travaux de segmentation des r\u00e9seaux, cloisonnement de l\u2019administration des points strat\u00e9giques du SI comme l\u2019active directory<\/i>, etc.). Celles-ci \u00e9taient initialement pr\u00e9vues en concertation avec les \u00e9quipes de l\u2019Anssi et les fonctionnaires \u00e0 la s\u00e9curit\u00e9 des SI (FSSI) du minist\u00e8re de la Sant\u00e9, mais cet incident a permis de renforcer la collaboration avec ces instances.<\/p>\n

    Quels sont les correspondants ou cellules sp\u00e9cifiques\u00a0pour ce type d\u2019incident\u2009?<\/strong><\/em><\/p>\n

    Dans un premier temps, une prise de contact a \u00e9t\u00e9 r\u00e9alis\u00e9e avec le d\u00e9l\u00e9gu\u00e9 r\u00e9gional de l\u2019Anssi qui nous a mis en relation avec les \u00e9quipes du centre gouvernemental de veille, d\u2019alerte et de r\u00e9ponse aux attaques informatiques (Cert) de l\u2019Anssi pour appuyer nos \u00e9quipes techniques dans les phases d\u2019investigation puis de rem\u00e9diation. En compl\u00e9ment, les FSSI ont \u00e9t\u00e9 contact\u00e9s pour information et accompagnement dans la gestion de crise.<\/p>\n

    Enfin, suite \u00e0 la d\u00e9claration sur le portail des \u00e9v\u00e8nements sanitaires ind\u00e9sirables, d\u2019autres instances sont venues compl\u00e9ter le dispositif pour le suivi de cet incident (ARS Normandie, DGOS, cellule Cyberveille, etc.).<\/p>\n

    Quels sont plus particuli\u00e8rement les donn\u00e9es ou syst\u00e8mes \u00e0 risque\u2009?<\/strong><\/em><\/p>\n

    La cyberattaque s\u2019est limit\u00e9e \u00e0 un p\u00e9rim\u00e8tre restreint de serveurs (la partie cliente et interfaces graphiques d\u2019applications m\u00e9tier principalement) et elle s\u2019est propag\u00e9e sur une majorit\u00e9 des postes de travail. Les donn\u00e9es patients ou ressources humaines n\u2019ont pas \u00e9t\u00e9 atteintes lors de la cyberattaque. Le CHU a confort\u00e9 l\u2019id\u00e9e d\u2019une prise en charge d\u2019un incident de s\u00e9curit\u00e9 en fonction du niveau de gravit\u00e9 des SI, par exemple les services d\u2019urgence, du Samu, de st\u00e9rilisation, de blocs op\u00e9ratoires, d\u2019imagerie, de r\u00e9animation ou encore les laboratoires.<\/p>\n

    Sur quelle r\u00e9glementation et ressources financi\u00e8res un \u00e9tablissement peut-il s\u2019appuyer pour renforcer sa s\u00e9curit\u00e9 informatique\u2009?<\/strong><\/em><\/p>\n

    Au niveau r\u00e9glementaire, la mise en place de t\u00e9l\u00e9services ou encore de progiciel m\u00e9tier, notamment pour l\u2019acc\u00e8s \u00e0 des donn\u00e9es \u00e0 caract\u00e8re personnel (RH, m\u00e9dical, etc.), est tr\u00e8s encadr\u00e9e d\u2019un point de vue s\u00e9curit\u00e9 et confidentialit\u00e9.<\/p>\n

    Il est possible de s\u2019appuyer sur un ensemble de lois, circulaires ou instructions auquel les \u00e9tablissements de sant\u00e9 sont soumis, par exemple le R\u00e8glement g\u00e9n\u00e9ral \u00e0 la protection des donn\u00e9es (RGPD), les d\u00e9marches d\u2019homologation des t\u00e9l\u00e9services ouverts aux citoyens par une administration publique en se basant sur le R\u00e9f\u00e9rentiel g\u00e9n\u00e9ral de s\u00e9curit\u00e9 (RGS), l\u2019instruction n\u00b0SG\/DSSIS\/2016\/309 relative \u00e0 la mise en \u0153uvre du plan d\u2019action sur la s\u00e9curit\u00e9 des SI et la directive europ\u00e9enne Network and Information System Security (NIS).<\/p>\n

    Concernant les ressources financi\u00e8res, le renforcement de la s\u00e9curit\u00e9 est possible par la r\u00e9ponse \u00e0 des appels \u00e0 projet pour l\u2019obtention de subvention, par exemple via le programme H\u00f4pital num\u00e9rique.<\/p>\n

    Contre quels autres types d\u2019attaque doivent se pr\u00e9munir les syst\u00e8mes d\u2019information\u00a0et quelles formations sp\u00e9cifiques pr\u00e9conisez-vous pour les personnels et acteurs de sant\u00e9 ?<\/strong><\/em><\/p>\n

    Actuellement, nous constatons plusieurs menaces principalement par l\u2019interm\u00e9diaire des messageries professionnelles\u00a0:<\/p>\n

      \n
    • des tentatives d\u2019arnaque au chantage avec un message pr\u00e9tendant un piratage d\u2019un poste de travail ou d\u2019une webcam<\/i>\u2009;<\/li>\n
    • des mails contenant un lien ou une pi\u00e8ce jointe qui t\u00e9l\u00e9chargeront des logiciels malveillants et qui, potentiellement, pourraient \u00eatre propag\u00e9s sur les postes de travail voire les serveurs d\u2019un \u00e9tablissement\u2009;<\/li>\n
    • des messages avec un lien invitant \u00e0 saisir des informations personnelles, principalement un identifiant et mot de passe, en vue d\u2019usurper les acc\u00e8s aux outils professionnels.<\/li>\n<\/ul>\n

      Des gestes barri\u00e8res simples sont \u00e0 adapter par les utilisateurs et il ne faut pas h\u00e9siter en cas de doute \u00e0 se rapprocher des services informatiques ou des responsables s\u00e9curit\u00e9 des SI.<\/p>\n

      Chaque \u00e9tablissement, en fonction des moyens mis en \u0153uvre, propose des contenus de sensibilisation qu\u2019il faut consulter r\u00e9guli\u00e8rement. L\u2019Anssi et la Cnil proposent diff\u00e9rentes formations en lignes int\u00e9ressantes et ludiques (MOOC).<\/p>\n

      Dans le contexte de mutualisation des SI et de coop\u00e9ration renforc\u00e9e entre les \u00e9tablissements et les acteurs de ville, quelles \u00e9volutions\u00a0?<\/strong><\/em><\/p>\n

      Le CHU de Rouen est l\u2019\u00e9tablissement support d\u2019un GHT de neuf \u00e9tablissements, dont le niveau de s\u00e9curit\u00e9 est en cours de convergence afin d\u2019acqu\u00e9rir un niveau homog\u00e8ne et de renforcer la s\u00e9curit\u00e9 des SI. Dans le contexte d\u2019une plus grande int\u00e9gration des acteurs de sant\u00e9 impliqu\u00e9s dans le parcours de soins, les \u00e9tablissements de sant\u00e9 ont un r\u00f4le moteur dans la s\u00e9curisation et la protection des donn\u00e9es des patients.<\/p>\n