Rançonné par des pirates, l’hôpital d’Issoudun en état de crise pendant 48 heures

Par
Stéphane Long -
Publié le 26/10/2019

Crédit photo : PHANIE

« Vos données ont été cryptées. Pour les récupérer, vous devez payer ! ». C’est le scénario auquel a été confronté le centre hospitalier de la tour blanche d’Issoudun (Indre). Au début du mois d’octobre, l’établissement est infecté par un ransomware (logiciel rançon) qui crypte une partie des données stockées sur ses serveurs. Il lui réclame près de 1 000 dollars pour en rétablir l’accès.

« Bien sûr, nous n’avons pas payé, indique au “Quotidien” le directeur du CH d’Issoudun, Marc Kugelstadt. D’ailleurs, cela n’aurait servi à rien, nous n’aurions rien récupéré. Il s’agit avant tout d’une attaque malveillante avec l’objectif de détruire des données. » Trois semaines plus tard, le directeur de l’établissement fait le bilan de cette attaque. Le pire a été évité. « Les dossiers patients et les données sensibles de l’hôpital n’ont pas été touchés par l’attaque et aucune information n’a été volée », affirme Marc Kugelstadt.

Le fonctionnement de l’hôpital a en revanche été perturbé pendant plusieurs jours. L’alerte avait été donnée dans la nuit du mardi 1er au mercredi 2 octobre par le personnel des urgences. « Ils ne pouvaient plus accéder à leur logiciel métier. Ils ont immédiatement appelé le service d’astreinte informatique », raconte Marc Kugelstadt. « Nous avons stoppé tous les serveurs et les ordinateurs de l’hôpital », poursuit Martine Araujo. La responsable du service informatique de l’hôpital fait alors un état des lieux avec ses prestataires : « Plusieurs serveurs ont été touchés ainsi que quatre ordinateurs sur les près de 300 que compte l’hôpital. »

État de crise, retour au papier

L’état de crise est déclenché, le CH passe en « procédure dégradée ». Le personnel est privé d'ordinateurs et de réseau informatique : les soignants sont contraints de revenir au crayon, papier et téléphone pour la gestion des rendez-vous, la tenue des dossiers médicaux… « Heureusement, tout le monde s’est montré solidaire, se félicite le directeur du CH. Il n’y a pas eu d’incident notable si ce n’est des retards dans les soins et des lenteurs. » Une partie du système informatique, notamment aux urgences, est rétablie 48 heures plus tard, dans la journée du vendredi.

Le logiciel malveillant, « Anti Recuva », était inconnu des logiciels antiviraux, indique Martine Araujo, raison pour laquelle il n'a pas été détecté. Il s’en prend uniquement aux ordinateurs fonctionnant sous Windows, profitant d’une faille du système d’exploitation. C’est ce qui explique que les dégâts ont été minimes pour le CH d’Issoudun. Les applications métiers et toutes les données vitales et sensibles de l’hôpital (dossiers patients, facturation, paye, etc.) sont stockées sur des serveurs Linux et ont été épargnées par l’attaque. « Seulement 7 % des données stockées sur les serveurs touchés ont été cryptées par le ransomware, détaille Martine Araujo. Il s’agit essentiellement de fichiers de travail administratifs sous Word et Excel mais que nous avons peu de chance de restaurer. »

Plus de 40 000 euros de dépenses

Si aucun dégât majeur n’est à signaler, l’hôpital prend très au sérieux cette attaque. Une plainte a été déposée à la gendarmerie dès le 3 octobre, et des signalements ont été faits auprès de l’ARS Centre-Val de Loire, du portail de déclaration des évènements indésirables du ministère de la Santé et de la cellule de cyberveille santé.

Le coût financier n’est pas négligeable pour le CH : plus de 40 000 euros pour les opérations de maintenance et l’achat de nouveaux équipements informatiques destinés à renforcer la sécurité (pare-feu, anti-virus). L’hôpital va également sensibiliser davantage son personnel aux risques d’attaques informatiques. C’est en cliquant sur une pièce jointe en apparence anodine qu’un employé a déclenché sans le savoir cette tentative de rançon.

Issoudun n’est pas le premier établissement hospitalier visé par ce type d’attaques. Au mois d’août dernier, le groupe Ramsay annonçait que 120 de ses cliniques avaient été ciblées par un ransomware, perturbant les services informatiques. Aucune donnée n’avait été dérobée, avait alors précisé le groupe.


Source : lequotidiendumedecin.fr