Cyberproblème : y être jusqu’au cou

Parmi les derniers hôpitaux qui ont subi une grosse attaque cyber ces derniers mois, j’ai eu la chance de pouvoir longuement échanger avec un responsable médical de l’un d’entre eux – que je ne nommerai pas – et qui m’a décrit par le menu le déroulé de l’attaque, ce qui avait été bloqué au sein de son SI et pendant combien de temps, en insistant sur ce qui avait réellement été ennuyeux. Ce REX est particulièrement riche d’enseignements.

En substance, les outils cœurs de métier ont été totalement bloqués (DPI, gestion des stocks, RH, GEF, tout ce que l’on imagine), et les professionnels ont dû passer en mode dégradé. Pas besoin de minauder pendant des heures : cela revient à déterminer le niveau de service que l’on peut encore rendre à ses « clients » (au sens processus) avec les moyens dégradés dont on dispose. Pour le médical, cela revient tout simplement (si j’ose dire) à déterminer les critères qui permettent de déterminer les patients que l’on pourra continuer à prendre en charge, et les autres qui devront être déroutés : critères d’urgence médicale, de suivi médical difficile à interrompre (les chimiothérapies), etc. Cela revient aussi à dire (mais on pourrait également en faire le sujet d’un ou de plusieurs articles complets) quel support on utilise pour noter les informations indispensables (prescriptions, diagnostics, actes, etc.) et surtout ce que l’on fera de ces bouts de papier volants une fois que le support nominal (le progiciel) sera à nouveau en service. C’est un sujet à part entière longuement décrit dans La Sécurité du système d’information des établissements de santé[1]. Mais ce n’est pas le pire.

Le pire, c’est la perte des outils supports, c’est-à-dire ceux qui ne sont pas stricto sensu le cœur de métier : la messagerie, les serveurs de fichiers, l’accès Internet. Bref, tous ces « communs » dont tout le monde pense qu’ils fonctionneront toujours contre vents et marées. Plus de messagerie, cela veut dire impossibilité de communiquer avec les instances (genre l’Anssi avec qui il faut échanger en continu pendant la crise), les fournisseurs (bon courage pour passer des commandes ou prévenir du retard dans les paiements), la presse (le service communication va adorer), etc. Plus de GEF, cela veut dire plus d’accès aux catalogues des produits et des fournisseurs, aux coordonnées de ces fournisseurs (les numéros de téléphone sont souvent dans la GEF). Des ennuis s’ajoutent aux ennuis, et c’est cette accumulation qui génère le risque.

Quand on parle de traitement d’un incident, deux éléments au moins mettent en danger les organisations : l’effet de sidération et l’effet d’accumulation. L’effet de sidération consiste à rester inerte devant le camion qui est en train de vous foncer droit dessus, alors qu’un pas de côté suffirait à l’éviter. Il se manifeste dans des circonstances très diverses, notamment (et pas que) à la vue d’un événement hautement improbable, jamais rencontré par le passé. Les organisations les plus résilientes face à cet effet sont celles qui s’entraînent et qui dédient des compétences spéciales à identifier et à modéliser ces cas d’usage. Il n’existe aucune autre recette miracle. Nul doute que les entreprises qui ont subi une attaque cyber et qui ont surmonté l’épreuve seront beaucoup mieux armées à l’avenir que celles qui ne l’ont jamais vécue.

L’effet d’accumulation, ce sont les escadrilles d’emmerdements évoquées en début d’article. Une panne du serveur de fichiers, on va gérer, si vient se rajouter celle du DPI, on va gérer aussi, mais dès lors que l’on commence à accumuler les pannes ou dysfonctionnements des systèmes, il y a un point – il y a toujours un point – où l’humain ou son organisation disent STOP. L’entraînement des pilotes de ligne en simulateur est en partie basé là-dessus : l’opérateur qui gère les événements que le logiciel envoie aux pilotes leur balance un premier « petit » incident (genre la panne des volets), suivi d’un autre (la panne radio à l’approche), puis d’un troisième (la fuite de carburant), et ainsi de suite jusqu’à la rupture des élèves, qui finit immanquablement par se produire, ce n’est qu’une question de minutes. Ce type d’entraînement est autant destiné à repousser les limites qu’à faire prendre conscience aux pilotes des leurs : il est encore plus dangereux de ne pas connaître ses limites que d’en avoir.

Ce qui distingue les moyens, des bons et des très bons, c’est la quantité d’ennuis qu’ils peuvent encaisser en simultané. Et ce n’est inné pour personne : la limite peut être repoussée, dans une certaine mesure et selon les capacités de chacun, avec des exercices et des entraînements. Qui peuvent aller jusqu’à des choix éthiquement insupportables, par exemple sauver tel patient au détriment de tel autre, et qui sont pourtant le quotidien des secouristes aguerris à se déplacer sur le théâtre de catastrophes naturelles tels des tremblements de terre ou des inondations massives.

Les hôpitaux français ont démontré leur résilience face à une pandémie massive. Qu’en aurait-il été si, parallèlement, les dix plus gros CHU avaient subi une attaque cyber massive venant de Syldavie du Nord paralysant tout leur SI ? Et si d’autres CH petits ou moyens avaient en même temps perdu l’accès à leurs stations de travail à la suite d’un bug dans la mise à jour de la signature d’un AV commun (ce qui est déjà arrivé) ?

Bonne semaine quand même…

[1] Presses de l’EHESP, 2^e édition, janvier 2018.