« Le CHU de Rennes est victime d'une cyberattaque ce mercredi 21 juin ». Par ces simples mots, l’Agence régionale de santé de Bretagne annonçait qu’un nouvel hôpital – encore un – venait d’être victime de pirates informatiques. En ce jour de fête de la Musique, ceux-ci ont lancé une action pour voler les données de l’institution rennaise. Prévenues assez tôt, les équipes ont néanmoins pu limiter ses effets, en coupant notamment les connexions internet. Avec seulement 300 Go de données exfiltrées, le butin sera finalement assez faible. BianLan, le groupe attaquant, a certes menacé de divulguer des informations sur le darknet. Mais « il ne s’est rien passé à ce jour », indique l’établissement, qui n’a payé aucune rançon. Si l’impact en propre de l’attaque est donc resté assez limité, le CHU de Rennes a tout de même dû fonctionner pendant plusieurs heures en mode dégradé, sans que les professionnels de santé aient accès à leurs outils habituels.
« Le camion du SAMU, qui se trouvait en centre-ville pour la fête de la Musique, s’est par exemple retrouvé sans GPS, et avec un accès limité à plusieurs services », s’est remémoré, le 21 novembre dernier, Frédéric Alliaume, responsable de la sécurité des systèmes d’information (RSSI) du CHU de Rennes, à l’occasion de l’European Cyberweek. Organisé tous les ans à Rennes, l’événement dédié à la sécurité informatique consacre toujours une série de conférences au monde de la santé. Pour cette édition 2024, celles-ci étaient au nombre de six avec, notamment, le témoignage des RSSI du CHU de Rennes sur la cyberattaque ayant touché l’établissement l’année précédente. « Les retours d’expériences d’autres établissements nous ont réellement aidés, et nous souhaitons aujourd’hui rendre la pareille », a expliqué Éméric Guillou, le RSSI adjoint, lors de cette présentation qui a fait salle comble.
« Le camion du SAMU, qui se trouvait en centre-ville pour la fête de la Musique, s’est par exemple retrouvé sans GPS, et avec un accès limité à plusieurs services », s’est remémoré, le 21 novembre dernier, Frédéric Alliaume, responsable de la sécurité des systèmes d’information (RSSI) du CHU de Rennes, à l’occasion de l’European Cyberweek. Organisé tous les ans à Rennes, l’événement dédié à la sécurité informatique consacre toujours une série de conférences au monde de la santé. Pour cette édition 2024, celles-ci étaient au nombre de six avec, notamment, le témoignage des RSSI du CHU de Rennes sur la cyberattaque ayant touché l’établissement l’année précédente. « Les retours d’expériences d’autres établissements nous ont réellement aidés, et nous souhaitons aujourd’hui rendre la pareille », a expliqué Éméric Guillou, le RSSI adjoint, lors de cette présentation qui a fait salle comble.
Une réponse rapide
Plusieurs mois après l’attaque, l’enquête a permis de mieux comprendre la chronologie des événements. Dès le 17 juin, les attaquants s’étaient ainsi déjà connectés au réseau informatique de l’hôpital, grâce à des identifiants et mots de passe récupérés au préalable. Le 18 juin, ils installent un kit de compromission sur les serveurs visés et se retrouvent administrateurs de domaine. Le lendemain, ils mettent en place des portes dérobées et, le 21 juin, lancent la procédure d’exfiltration des données.
« À 15h39, le 21 juin 2023, nous avons été alertés par Orange Cyberdéfense sur une fuite de données en cours. En moins d’une heure, une cellule de crise technique est en place, le CHU est isolé du monde extérieur, les sauvegardes sont déconnectées, et un compte à hauts privilèges, qui était compromis, est désinstallé », a résumé Frédéric Alliaume. Un peu plus tard, à 17h, une cellule de crise institutionnelle est également créée au sein de l’établissement, qui se prépare à assurer la continuité de ses activités malgré la déconnexion du réseau internet. « Cette rapidité dans la mise en œuvre des premiers éléments de réponse a été rendue possible par les exercices de gestion d’une crise cyber, qui ont accéléré la prise de décision », a constaté le RSSI.
Si elle a permis de limiter le volume de données volées, la coupure avec le monde extérieur a un impact sur le fonctionnement de l’hôpital. Sans accès internet, plus rien, ou presque, ne fonctionne. Les applications du SAMU ou de gestion interne sont inutilisables, l’imagerie à distance, la télé-expertise et la téléconsultation sont à l’arrêt, la messagerie professionnelle, la messagerie sécurisée de santé, et l’envoi automatique des comptes-rendus et lettres de liaison de sortie sont suspendus. Il n’y a plus d’échanges avec les établissements extérieurs, plus de biologie réalisée avec des partenaires territoriaux, ni même de dictée vocale. Les fax, la téléphonie, les secrétariats et certains équipements connectés, par exemple pour la télésurveillance en cardiologie ou la surveillance du diabète, fonctionnent quant à eux en mode dégradé.
« À 15h39, le 21 juin 2023, nous avons été alertés par Orange Cyberdéfense sur une fuite de données en cours. En moins d’une heure, une cellule de crise technique est en place, le CHU est isolé du monde extérieur, les sauvegardes sont déconnectées, et un compte à hauts privilèges, qui était compromis, est désinstallé », a résumé Frédéric Alliaume. Un peu plus tard, à 17h, une cellule de crise institutionnelle est également créée au sein de l’établissement, qui se prépare à assurer la continuité de ses activités malgré la déconnexion du réseau internet. « Cette rapidité dans la mise en œuvre des premiers éléments de réponse a été rendue possible par les exercices de gestion d’une crise cyber, qui ont accéléré la prise de décision », a constaté le RSSI.
Si elle a permis de limiter le volume de données volées, la coupure avec le monde extérieur a un impact sur le fonctionnement de l’hôpital. Sans accès internet, plus rien, ou presque, ne fonctionne. Les applications du SAMU ou de gestion interne sont inutilisables, l’imagerie à distance, la télé-expertise et la téléconsultation sont à l’arrêt, la messagerie professionnelle, la messagerie sécurisée de santé, et l’envoi automatique des comptes-rendus et lettres de liaison de sortie sont suspendus. Il n’y a plus d’échanges avec les établissements extérieurs, plus de biologie réalisée avec des partenaires territoriaux, ni même de dictée vocale. Les fax, la téléphonie, les secrétariats et certains équipements connectés, par exemple pour la télésurveillance en cardiologie ou la surveillance du diabète, fonctionnent quant à eux en mode dégradé.
Plusieurs mois pour revenir à un état complètement normal
Une telle situation pèse donc considérablement sur l’exercice des soignants. Pour les y préparer, les responsables du CHU ont, dès le 21 juin à 20h30, envoyé un SMS aux salariés de l’hôpital. « Nous avons aussi organisé très vite la communication publique, via la diffusion de communiqués de presse et la tenue d’une conférence de presse le 23 juin », a ajouté Éméric Guillou, en insistant sur « la nécessité de communiquer », mais aussi de « maîtriser » cette communication.
Ce jour du 21 juin 2023, conformément à la réglementation, les responsables du CHU ont également déclaré l’événement auprès du CERT Santé, de l’ANSSI, de l’ARS Bretagne, du Ministère et à la préfecture. Chacun est alors intervenu selon le cadre prévu par la loi, et notamment l’ANSSI pour accompagner l’établissement dans la gestion de la crise et la mise en œuvre d’un plan de sécurisation. Car tous en étaient déjà conscients : plusieurs semaines seront nécessaires pour revenir à un fonctionnement normal. Ainsi, au niveau de la direction des services numériques (DSN) du CHU, toutes les activités hors gestion de crise ont été complètement arrêtées durant 15 jours, et les activités Projets ont été suspendues pendant 3 mois. Le coût financier de la crise est aujourd’hui estimé à 500 000 euros, hors ressources humaines. « La majorité de cette enveloppe a été consacrée aux actions d’amélioration de la sécurité », a indiqué Frédéric Alliaume. Celles-ci ont mobilisé huit personnes durant quatre mois et, aujourd’hui encore, elles continuent d’accaparer une personne à temps plein.
Ce jour du 21 juin 2023, conformément à la réglementation, les responsables du CHU ont également déclaré l’événement auprès du CERT Santé, de l’ANSSI, de l’ARS Bretagne, du Ministère et à la préfecture. Chacun est alors intervenu selon le cadre prévu par la loi, et notamment l’ANSSI pour accompagner l’établissement dans la gestion de la crise et la mise en œuvre d’un plan de sécurisation. Car tous en étaient déjà conscients : plusieurs semaines seront nécessaires pour revenir à un fonctionnement normal. Ainsi, au niveau de la direction des services numériques (DSN) du CHU, toutes les activités hors gestion de crise ont été complètement arrêtées durant 15 jours, et les activités Projets ont été suspendues pendant 3 mois. Le coût financier de la crise est aujourd’hui estimé à 500 000 euros, hors ressources humaines. « La majorité de cette enveloppe a été consacrée aux actions d’amélioration de la sécurité », a indiqué Frédéric Alliaume. Celles-ci ont mobilisé huit personnes durant quatre mois et, aujourd’hui encore, elles continuent d’accaparer une personne à temps plein.
Après la crise, le temps des constatations
« Plusieurs actions ont été prévues dans le plan de sécurisation élaboré avec l’ANSSI, notamment le “nettoyage” du système d’information, l’amélioration de la sécurité des accès distants et des serveurs, le renouvellement de tous les mots de passe, ou encore la sécurisation des pratiques d’administration de la DSN », a ajouté le RSSI en évoquant l’instauration de nouvelles mesures « parfois plus contraignantes », mais « nécessaires ». Car, en étudiant le déroulé des événements, les membres de la DSN du CHU de Rennes ont pu identifier les points faibles de leur système, à commencer par un compte à hauts privilèges datant de plusieurs années.
« Nous savions que ce compte posait problème, mais la peur que sa suppression n’engendre des erreurs dans le système avait repoussé son arrêt », a précisé Éméric Guillou. Le 21 juin, alors que la cyberattaque battait son plein, le compte est finalement désactivé « en catastrophe ». Le responsable est aujourd’hui formel : « Si nous l’avions fait avant, nous n’aurions pas subi cette attaque ». Aussi, « limiter ce type de failles » est aujourd’hui l’une des priorités des RSSI, qui réfléchissent déjà à des mesures sur le long terme pour maîtriser toujours mieux les risques cyber – par exemple via des actions de sensibilisation des professionnels et agents hospitaliers, de nouveaux exercices de crise ou encore la spécification du plan de continuité pour chaque activité de l’hôpital.
> Article paru dans Hospitalia #67, édition de décembre 2024, à lire ici
« Nous savions que ce compte posait problème, mais la peur que sa suppression n’engendre des erreurs dans le système avait repoussé son arrêt », a précisé Éméric Guillou. Le 21 juin, alors que la cyberattaque battait son plein, le compte est finalement désactivé « en catastrophe ». Le responsable est aujourd’hui formel : « Si nous l’avions fait avant, nous n’aurions pas subi cette attaque ». Aussi, « limiter ce type de failles » est aujourd’hui l’une des priorités des RSSI, qui réfléchissent déjà à des mesures sur le long terme pour maîtriser toujours mieux les risques cyber – par exemple via des actions de sensibilisation des professionnels et agents hospitaliers, de nouveaux exercices de crise ou encore la spécification du plan de continuité pour chaque activité de l’hôpital.
> Article paru dans Hospitalia #67, édition de décembre 2024, à lire ici
Envoyer à un ami
Version imprimable
Partager