Un peu plus de 24 heures après la découverte de l'attaque, l'Hôpital Nord-Ouest, qui gère à la fois les sites de Villefranche-Sur-Saône (69), Tarare (69) et Trévoux (01), est passé en mode combat.
« L'alerte nous a été remontée par les services d'urgence, qui ont constaté l'inaccessibilité du système d'information et des outils quotidiens. L'équipe d'astreinte chargée de l'informatique a été prévenue, et a constaté que nous étions victimes d'une attaque au crypto-virus, de type Ryuk », résume Nasser Amani, directeur des services numériques des trois établissements.
Par mesure de précaution, l'Hôpital de Villefranche-Sur-Saône a immédiatement procédé à des restrictions d'accès à son système informatique : « Nous avons mis à l'arrêt l'ensemble des réseaux des trois établissements que nous gérons, et procédé à un état des lieux complet du système d'information en vérifiant l'état des données et des sauvegardes », affirme Nasser Amani.
Car ce dernier rappelle que dans un tel cas, l'une des premières précautions consiste à tenter de sauvegarder l'état des archives et des données présentes au cœur du système informatique. « Pour éviter la propagation de ce type de virus, on ferme les accès à internet, on éteint les postes de travail et on met à l'arrêt tous les équipements qui fonctionnent sur réseau pour l'ensemble des trois établissements qui ont une direction communes ».
Ainsi, depuis ce lundi, plus aucun mail ou dossier médical informatisé ne peut transiter entre ces trois sites. Jusqu'à aujourd'hui, seule la ligne téléphonique des urgences fonctionnait, avant que ne soient rétablies en premier lieu les lignes téléphoniques en interne.
Passage en mode « papier »
Pour faire face, les trois hôpitaux ont ainsi enclenché un passage « en mode dégradé », ce qui signifie que l'ensemble des procédures ont dû être repassées en mode papier uniquement, avec l'affectation de coursiers entre les différents services.
Une situation qui a entraîné également le report des chirurgies programmées ainsi que de l'accueil des admissions aux urgences réalisées en lien avec les services de secours, qui sont prioritairement réorientés vers les HCL. Les admissions aux urgences de patients autonomes, qui se rendent par leurs propres moyens auprès de l'établissement, ont toutefois été maintenues.
De même que le fonctionnement de l'ensemble des autres services pour l'heure, à quelques exceptions cependant, concernant notamment certaines consultations médicales externes, complexifiées par l'absence d'archives informatiques disponibles à l'égard des derniers examens médicaux réalisés.
« Il s'agit d'un scénario auquel nous nous préparions heureusement depuis longtemps, et qui permet d'appliquer une série de procédures immédiatement pour éviter la propagation du virus tout en assurant la continuité des services », affirme Nasser Amani.
La direction des trois établissements a également contacté immédiatement l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui l'assiste désormais dans la procédure de suivi et de restauration de son système d'information et de sauvegarde des données, tandis que le parquet de Nanterre, le seul compétent sur ce type de dossier, a été saisi de l'enquête.
« Notre objectif prioritaire demeure de reconstruire le système le plus rapidement possible, en remettant des briques de soins critique et de réanimation en route. Nous disposons heureusement de données sauvegardées qui ont été vérifiées et non cryptées qui nous permettront, une fois que nous serons prêts, de relancer le système », Nasser Amani.
Aucune date n'a cependant été communiquée à ce stade concernant un retour à la normale. « Il est trop tôt pour avoir une visibilité à plus de 24 heures », confirme la direction.
Une recrudescences des attaques dans le médical
Ce mardi après-midi en effet, un peu plus d'une journée après la survenue de la cyberattaque, le matériel informatique demeurait éteint pour éviter la propagation du virus.
« Nous sommes revenus aux feuilles de suivi de températures, comme on le faisait avant l'arrivée de l'informatique », glisse Nasser Amani, qui concède que les échanges d'informations sont pour l'heure considérablement ralentis par l'absence de l'informatique.
S'il est encore trop tôt pour chiffrer l'impact économique d'un tel épisode ainsi que son origine précise, on sait que les trois établissements de l'Hôpital Nord-Ouest délivrent chaque année près de 120.000 consultations et effectuent 48.000 hospitalisations, et emploient près de 3.000 salariés.
« On observe une recrudescence des tentatives d'attaques depuis plusieurs mois à l'attention des centres hospitaliers, liés à la période de la gestion de la pandémie. En France comme à l'étranger, les hôpitaux ont été mis en lumière car les cybercriminels espèrent récupérer des formes de rançons », détaille le directeur des services informatiques. Une chose est cependant sure : l'hôpital Nord-Ouest ne paiera pas.
Si certains aspects demeurent confidentiels à ce stade, Nasser Amani affirme qu'un retour d'expérience sera tiré « au plus tôt ».
« Tous les établissements de santé sont dans l'obligation de répondre à certains pré-requis imposés par la direction générale de l'offre de soins, notamment sur les modèles dits « ouverts » sur leur environnement, et nous faisions partie des établissements avec un niveau de maturité assez élevé au regard des demandes », ajoutait-t-il.
Sans pouvoir entrer dans plus de détails à ce stade, Nasser Amani confirme qu'un établissement comme l'hôpital Nord-Ouest fait appel à différentes couches de sécurité pour son système informatique, « qui vont bien au-delà du simple antivirus, firewalls, et qui passent par plusieurs niveaux de couches logicielles, matérielles, et des campagnes de sensibilisation en interne ».
Et d'ajouter : « Force est de constater que malgré tout, notre système a été corrompu, il reste toujours des failles face à des organisations cyberterroristes qui sont devenues de véritables entreprises, et non des hackeurs isolés, qui sont capables de s'adapter rapidement. »
Sujets les + commentés