Au Centre Hospitalier de Wallonie picarde (CHwapi), on se souviendra longtemps de ce dimanche 17 janvier 2021. La première alerte retentit à 20h46. Un informaticien de garde reçoit un appel du service d'imagerie médicale. Les serveurs sont inaccessibles. "On se rend compte tout de suite qu'il se passe quelque chose d'inhabituel. On identifie ce qu'on peut appeler une bombe digitale, déposée dans nos systèmes par des cyber-attaquants", raconte Jacques Godart, directeur du département informatique du CHwapi.
...

Au Centre Hospitalier de Wallonie picarde (CHwapi), on se souviendra longtemps de ce dimanche 17 janvier 2021. La première alerte retentit à 20h46. Un informaticien de garde reçoit un appel du service d'imagerie médicale. Les serveurs sont inaccessibles. "On se rend compte tout de suite qu'il se passe quelque chose d'inhabituel. On identifie ce qu'on peut appeler une bombe digitale, déposée dans nos systèmes par des cyber-attaquants", raconte Jacques Godart, directeur du département informatique du CHwapi. Toute la chaîne hiérarchique est immédiatement prévenue. La direction prend la décision d'activer le plan d'urgence hospitalier. A l'époque, l'hôpital tournaisien et ses 2.700 collaborateurs sont déjà depuis plusieurs mois en état d'urgence médicale en raison de la résurgence des cas de covid. La cyberattaque ajoute une surcouche technique au plan d'urgence déjà en vigueur. L'hôpital est en état d'alerte maximal. Le département informatique fait un premier état des lieux. La situation est inquiétante. Sur les 300 applications qui font habituellement tourner les différents services de l'hôpital, environ 180 sont en panne totale ou partielle. "Heureusement, le dossier patients, qui est le coeur de l'activité, n'est pas touché", constate avec soulagement Jacques Godart. Mais d'autres applications cruciales sont touchées. "Pour garantir la sécurité des patients, nous décidons entre autres de fermer l'activité des blocs opératoires, sauf cas d'urgence, et de demander à réorienter les ambulances du 112 vers des institutions voisines." Les informaticiens se répartissent les tâches: certains cherchent la cause de l'attaque, d'autres s'occupent de fermer les liens informatiques que l'hôpital entretient avec l'extérieur. Toutes les connexions internet sont coupées. Le CHwapi entre en phase aiguë de gestion de crise. L'équipe ne le sait pas encore, mais cette phase durera deux mois et demi. Durant les premiers jours, le département informatique se focalise sur la réactivation des services prioritaires: les soins intensifs, la néphrologie, le bloc opératoire, l'imagerie médicale, etc. Il faudra deux semaines pour relancer totalement les systèmes informatiques dans ces services. "Mais pour les patients, les choses sont revenues à la normale après seulement trois jours. Vu la complexité de la tâche, c'est un résultat dont nous sommes fiers", souligne Jacques Godart. Si le patient retrouve un hôpital apparemment en état de fonctionnement, le travail reste intense en coulisses pour réactiver l'ensemble des solutions informatiques. "Restaurer une application met environ 100 fois plus de temps que faire un back-up de celle-ci", illustre Jacques Godart. Pour faire face à la surcharge de travail, l'institution fait appel à des ressources supplémentaires. Du personnel détaché d'autres hôpitaux vient renforcer l'établissement attaqué. "Un élan de solidarité très apprécié", témoigne le directeur. Des sociétés spécialisées viennent également prêter main-forte au CHwapi. Habituellement composée de 40 collaborateurs, l'équipe informatique de l'hôpital passe à 60 personnes au plus fort de la crise. Jusque fin mars, au moins trois informaticiens se relaient sur site en permanence, pour une présence physique 24 heures sur 24 (rappelons que le télétravail est alors la règle). Sollicité pour aider l'hôpital dans sa tâche titanesque, le CERT (le centre fédéral d'urgence en matière de cybersécurité) indique au patron du service que le retour à la normale prendra... deux ans. "C'est en train de se confirmer", observe Jacques Godart. L'usage des e-mails n'est récupéré qu'au mois d'avril. Il faut attendre début mai pour rebrancher les connexions internet. Six mois après la cyberattaque, certaines connexions sécurisées vers les fournisseurs externes ne sont pas encore réactivées, mais elles le seront progressivement dans les semaines à venir en fonction de leur criticité. Avec un peu de recul et l'aide de consultants externes, le département informatique a fait un premier bilan de cette cyberattaque de grande ampleur. "Le chemin parcouru par notre attaquant a pu être identifié." Mais il ne sera pas divulgué. "C'est un élément de sécurité protégé par le secret de l'enquête en cours au niveau du parquet", explique Jacques Godart. L'origine géographique de l'attaque, par contre, est encore inconnue. Quant aux motivations des pirates, elles sont assez clairement identifiées. "Leur logique, c'est de gagner de l'argent", pointe le directeur informatique. L'hôpital n'a pas donné suite aux demandes de rançon. "On a pu s'en passer parce qu'on avait des back-up et des informaticiens compétents et gonflés à bloc pour remonter la pente, explique Jacques Godart. Le puzzle était cassé. On savait que ça prendrait du temps mais on savait qu'on pourrait le reconstruire." Cette opération de reconstruction a un coût énorme pour l'hôpital. Plus de 300.000 euros pour les coûts directs: appel à une société spécialisée en cybersécurité, personnel externe supplémentaire, matériel et logiciels de restauration, etc. Mais ces coûts directs ne sont encore rien en comparaison des coûts indirects: surcharge de travail pour tous les secteurs de l'hôpital, pertes d'efficacité, temps passé sur la gestion de crise et pas sur les autres projets, etc. "Ces coûts indirects se comptent en millions d'euros", estime Jacques Godart. A comparer avec le budget informatique du CHwapi, qui pèse 7,5 millions d'euros, dont environ 19% sont investis annuellement dans la cybersécurité. Ce budget ne sera pas augmenté. Mais certaines actions seront réorientées pour mieux prendre en compte la menace. Un effort accru sera mis sur la sensibilisation du personnel aux risques. 2.700 collaborateurs, c'est aussi 2.700 portes d'entrée potentielles pour les pirates informatiques. On sait que beaucoup d'attaques proviennent de pièces jointes ou d'e-mails imprudemment ouverts, de phishing et de vol de mots de passe. Le département informatique renforcera également certaines mesures de sécurité, améliorera certains processus et investira dans de nouvelles solutions pour éviter les failles. Mais Jacques Godart reste réaliste: éliminer totalement la cybermenace est impossible. "C'est comme pour la protection d'une habitation. Vous pouvez acheter tout le matériel que vous voulez, quelqu'un de très mal intentionné trouvera toujours le moyen d'entrer, illustre le directeur. Au niveau de l'hôpital, je mets en place des outils de sécurité pour décourager la plupart des pirates. Mais je ne pourrai malheureusement jamais garantir une protection totale."