Mesdames, Messieurs, Docteurs, on a un problème…

Nous sommes vendredi, il est 16 heures 15. Le Directeur Général va prendre la parole, entouré de la Présidente de la CME, de la Directrice des Soins, du DSI du Directeur des Affaires Juridiques et du RSSI. Ils ont tous l’air grave, mais semblent sereins. Les Directeurs, les Cadres supérieurs de santé et les Chefs de Pôles sont restés debout, derrière les journalistes qui tendent une dizaine de micros et éclairent le pupitre pour le confort des 3 cameramen. Le silence se fait dans la salle des fêtes lorsque le DG commence son allocution.

« Mesdames, Messieurs, Docteurs,

Comme certains le savent déjà, notre Hôpital a subi ce matin un incident informatique significatif. Un certain nombre de nos équipements médicaux, de nos serveurs, de nos logiciels de soins et de nos réseaux de communication internes et externes ont été rendus indisponibles par un virus informatique. Détecté au sein du Service de réanimation, il s’est propagé rapidement, rendant indisponible les systèmes informatiques des Urgences, du SAMU, des principaux services médicaux et administratifs. Je passerai la parole à notre Responsable Sécurité des SI à l’issue de mon intervention, afin qu’il apporte toutes les précisions techniques nécessaires à votre compréhension.

Dès 10 heures, c’est-à-dire 30 minutes après l’alerte validée par la Direction des Systèmes d’Information, la cellule de crise prévue dans ces circonstances s’est réunie, afin d’assurer le pilotage en mode dégradé de nos activités les plus critiques ainsi que le processus de retour à la normale.
En lien avec les services de la Préfecture et de l’ARS, nous avons procédé à la bascule des appels SAMU sur les 3 centres régionaux, eux-mêmes en lien direct avec nos équipes mobiles. 19 patients des Urgences, 13 enfants hospitalisés au sein des services de Réanimation, de Dialyse et de Cancérologie ont été transférés vers les structures les plus proches, dans de bonnes conditions. Nous présentons à ces patients et à leurs familles nos plus sincères excuses pour les lourds désagréments occasionnés, mais sommes certains d’avoir pris les bonnes décisions, aux bons moments.  Il n’y a, à cette heure, plus de risque direct sur la santé des patients soignés et hébergés dans notre Hôpital.

Une cellule de gestion des plateaux techniques a également été activée, afin de gérer le report ou le transfert des examens d’imagerie et de biologie planifiés. Les consultations « classiques » sont assurées, et les opérations planifiées ont lieu correctement aux Blocs. La chaîne logistique est reconstituée, et les problèmes rencontrés ce midi lors de la distribution des repas sont derrière nous. Ce soir, tout le monde mangera normalement, et les systèmes de divertissement et de téléphonie seront rétablis avant 18 heures.

En ce qui concerne le virus, celui-ci a « chiffré » nos principaux systèmes centraux, rendant inopérants nos outils de gestion des accès, des réseaux, des serveurs et donc indisponibles nos principaux logiciels métiers. La majorité des données saisies entre 1 heure et 9h30 ce matin sont perdueset devront être reconstituées, afin d’assurer le continuum des soins. Les patients concernés en seront informés. 

Nos sauvegardes, réalisées tous les jours à minuit, vont être remontées cette nuit, lorsque les matériels auront été nettoyés et les réseaux remis en fonction. Nous envisageons donc un retour à la normale pour 80% de nos activités dès demain matin. Les 20% restants concernent certains systèmes plus complexes et nos ingénieurs, aidés d’experts externes, travaillent d’ores et déjà à leur remise en fonction.

Lundi à 18 heures, nous serons en mesure de réaliser un nouveau point d’information, plus complet, et avec un premier niveau de recul sur l’incident, son origine et sa résolution. Il conviendra alors de prendre d’éventuelles mesures, en concertation avec les services du Ministère, afin de nous protéger encore plus contre ces menaces récurrentes.

Je pense à nos Patients, les remercie pour leur compréhension, et je pense aussi à nos Professionnels de santé, qui savent s’adapter et assurent en ce moment même leurs activités de soins en mode dégradé. Ils ont tout notre soutien, comme l’ont également les équipes informatiques et techniques qui travaillent sans relâche au retour à la normale.

Je vous remercie de votre attention, et vous donne rendez-vous lundi, à 18 heures. »

Le Directeur ne répondra à aucune question. Il sort de la salle des fêtes et réunit brièvement le Comité de Direction, en présence du Bureau de CME et de quelques acteurs clés, et passe les messages suivants :

• Personne n’est autorisé à communiquer autrement que par le canal Direction Générale. L’ensemble des personnels est ainsi rappelé à son devoir de réserve, ainsi qu’au secret professionnel et médical.
• Le signalement de l’incident doit être documenté et préparé par le RSSI, puis soumis à notre validation avant saisie sur la plate-forme prévue à cet effet.
• Une déclaration auprès de la CNIL doit être documentée et préparée par le DPO, puis soumise à notre validation avant saisie sur la plate-forme prévue à cet effet.
• Une information officielle des patients doit être rédigée, puis soumise à notre validation avant mise en ligne sur notre site Internet et communication à la presse locale.
• Les liens avec les autorités préfectorales, l’ARS, le Ministère et les services de police sont assurés par la cellule de crise.
• Le plan de mobilisation des Agents doit être mis en œuvre par les Directions des Soins, des Affaires médicales et des Ressources humaines, afin d’apporter les renforts nécessaires ce week-end en particulier.
• La cellule de crise est invitée à informer la Direction générale toutes les 2 heures de la situation et de la progression vers le retour à la normale.

Ce qu’il ajoutera dans 4 jours, lorsque la situation aura été stabilisée, se résume ainsi :

• Je souhaite que soit formalisée une analyse précise de l’incident, avant, pendant, après, ainsi qu’un plan d’action permettant de réduire les risques de récidive. Celui-ci devra inclure un plan de sensibilisation plus soutenu de nos personnels aux enjeux de cybersécurité.
• Je souhaite également que notre expérience serve. Ainsi, le RSSI sera autorisé à communiquer auprès de ses pairs et de l’écosystème en prenant comme base de référence l’analyse précitée ainsi que notre organisation pour gérer cette crise.

Clôture de l’incident : mercredi 17h30, soit 5 jours et 8 heures après la découverte du virus.

L'auteur 
Vincent Trély
Président de l’APSSIS
CEO Cabinet VT Consultants