Reportage

"On ne peut plus prendre aucun patient en urgence !" : au coeur d'une simulation de cyberattaque dans un hôpital en Bretagne

Dans la salle de réunion d'un grand centre hospitalier de Bretagne, où se déroule l'exercice de crise, on retrouve autour de la table, tous les responsables de l'hôpital et trois experts en cybersécurité qui mènent le jeu. Cela commence par un coup de fil de l'assistant des urgences au standard, et il est très tôt : "Il est cinq heures du matin et je vous appelle parce que je n'arrive plus à accéder à mes dossiers de travail depuis mon poste. Je clique dessus, mais il ne se passe rien..."

>> Cyberattaque à l'hôpital de Corbeil-Essonnes : des données très confidentielles ont été divulguées

"Plusieurs écrans sont devenus noirs"

Tous les regards se tournent vers le responsable informatique. "Le problème, c'est que je dors profondément, je n'ai pas mon téléphone. C'est déjà une première problématique : l'astreinte s'arrête à 22 heures le soir, jusqu'à 6 heures le lendemain matin", répond, embêté, le responsable informatique. 

Cet exercice illustre la riposte des hôpitaux après l'explosion des cyberattaques : Corbeil-Essonnes cet été, La Réunion et Brest plus récemment. Demandes de rançons, données médicales divulguées, vol d'identités... Il y a en moyenne une cyberattaque par semaine contre un établissement de santé alors, pour les contrer, les hôpitaux s'exercent.

Dans cet établissement breton, l'ambiance est détendue, mais cela ne va pas durer. Le téléphone sonne sans arrêt, avec chaque fois un nouveau problème. "Plusieurs écrans du PC du service d'urgence sont devenus noirs avec un message en anglais. On ne peut plus prendre aucun patient en urgence !,peut-on entendre à l'autre bout du fil. Les infirmières et infirmiers ne peuvent plus accéder au logiciel pour valider l'administration des traitements de plusieurs patients."

Retour au papier et au crayon

La panne est alors générale : il n'y a plus d'écrans, plus de téléphones fixes, les machines sont hors-service. Celui qui coordonne les soins a du mal à réaliser l'ampleur des dégâts causés par cette cyberattaque. "L'équipe SMUR est revenue avec le patient AVC, comment est-ce qu'on fait pour traiter ce patient ?", demande un employé par téléphone. "On peut le traiter, si c'est une fibrinolyse, via l'examen de scanners IRM", répond le responsable informatique. "Est-ce que ce sont des machines connectées au réseau ?", rétorque un membre du personnel présent dans la salle. "Oui... Elles sont HS ? Bon, on va effectivement le réguler avec le SAMU en appel direct..."

Pour ne rien arranger, tous les numéros de téléphones importants, notamment ceux des responsables informatiques, sont dans une mallette prévue en cas de crise, ce qui est un point positif, mais cette fois, tout ne se passe pas comme prévu. "La mallette n'est pas dans la pochette de l'administrateur de garde, glisse le responsable informatique. Elle est ici, normalement", glisse quelqu'un, indiquant un placard à l'hôpital.

>> Cyberattaques : qui en veut à nos hôpitaux ? Le débat du Talk franceinfo

Après avoir un peu tâtonné, les dirigeants du centre hospitalier ont mis sur pied la cellule de crise, le plan blanc. Les patients des urgences ont été envoyés vers d'autres hôpitaux, les opérations ont été reprogrammées, et les soignants ont dû travailler avec du papier et un crayon : voilà ce qui arrive en cas de cyberattaque.

Une facture à 7 millions d'euros pour l'hôpital de Corbeil-Essonnes

Les hackers s'attaquent aux hôpitaux parce que ce sont des cibles faciles et fragiles. Ces établissements fonctionnent 24 heures sur 24, avec du matériel qui n'est pas bien protégé. "Un hôpital communique avec beaucoup de monde, explique Philippe Loudenot, spécialiste en cybersécurité publique. Le deuxième sujet, c'est qu'on se retrouve avec une quantité de fournisseurs de matériels, de logiciels, qui n'ont pas forcément pris en compte la sécurité en avance. Un hôpital, sur le numérique pur, on a des logiciels qui se mettent à niveau assez rapidement. Sur un scanner, sur un IRM, sur un appareil de radiothérapie, c'est beaucoup plus compliqué."

Un système de pare-feu pour éviter les attaques coûte cher, mais cela sera toujours moins cher que de réparer les dégâts. Pour l'hôpital de Corbeil-Essonnes, par exemple, la facture s'élève à 7 millions d'euros après l'attaqué de l'été dernier.

>> Vols de données personnelles en ligne : on vous explique comment font les "infostealers", ces cambrioleurs de vos identifiants numériques

En cas de cyberattaque par des hackers, il n'y a, officiellement, pas de versement de rançon, mais les établissements de santé sont quand même des mines d'or. Il y a même des hackers qui se spécialisent dans le secteur médical : quand ils tombent sur un hôpital, c'est le jackpot. "Ce qui est intéressant dans la donnée de santé, ce n'est pas intrinsèquement la donnée de santé, analyse François Esnol-Feugeas, le vice-président de l'Alliance pour la confiance numérique (ACN). Il faut voir ce qui constitue un dossier de santé : on a l'identité complète des personnes."

"Sans les coordonnées bancaires, une identité unitaire se négocie autour de 200 euros, sur le "dark web". Vous imaginez bien que sur un établissement de santé, avec des dizaines de milliers de patients, on arrive tout de suite à des additions qui sont extrêmement intéressantes".

François Esnol-Feugeas, vice-président de l'Alliance pour la confiance numérique

à franceinfo

Après l'explosion des attaques en 2021, le gouvernement a réagi en formant et en équipant les grands hôpitaux. Aujourd'hui, les cibles les plus vulnérables sont les petits établissements : les cliniques privées, les Ehpad, et même les médecins libéraux qui ne sont pas forcément conscients d'être une proie intéressante pour ces hackers spécialisés dans le médical.