En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

L’APSSIS, pour son premier jour de congrès, aurait difficilement pu trouver meilleur témoin que Vincent Genot pour s’exprimer sur le sujet de la cybersécurité. « En trois ans, j’ai dû gérer neuf incidents, dont deux assez grave », a-t-il lancé aux 230 personnes présentes dans le public. Ransomware Ryuk, WannaCry ou BlackCat, faille Exchange… Les hôpitaux du GHT ont fait face à des menaces variées. 

À découvrir → Quelle responsabilité juridique pour les établissements cyberattaqués ?

Parmi les incidents importants, celui qui a frappé en 2022 le Centre hospitalier de Bergerac. Vincent Genot est réveillé à 2h un dimanche matin par le responsable informatique de l’établissement qui lui signale une attaque. A son arrivée sur place, une trentaine de serveurs sont déjà chiffrés. Les deux hommes, qui se sentent alors « seuls au monde », décident alors de « couper Internet ». C’est-à-dire, d’éteindre tous les routeurs. « Il est important de préparer cela en amont, de référencer et repérer les éléments qu’il faut couper en cas d’incident », a expliqué Vincent Genot, expliquant que « dans un premier temps, le but est d’isoler le réseau ». Tout en s’assurant de pouvoir relancer la partie télécom sans danger, le réseau téléphonique étant sur IP.

Il est important, dans le cas d’un GHT, de se préparer à cette éventualité, grâce notamment à des fiches pratiques et des exercices de crise. Certains établissements n’ont en effet pas de service informatique. Il faut avoir les coordonnées des personnes à prévenir en cas d’urgence et que l’infirmière ou l’aide-soignante qui sera la correspondante informatique soit capable en cas d’incident de couper l’accès au réseau.

L’établissement a ensuite contacté les GIP avec qui il a des liens : le Mipih et Okantis. « Il était important de nous assurer qu’ils avaient bien l’information concernant l’attaque, et qu’ils vérifient s’ils avaient été affectés », a noté le RSSI. Il a souligné l’importance du soutien apporté par les GIP en termes de gestion des logiciels externes (paie, RH, etc.) : « les GIP peuvent prendre le relai sur ces logiciels et soulager les équipes internes qui, elles, vont se focaliser sur le rétablissement du SI de l’établissement ». 

Outre le rétablissement du SI, l’autre sujet majeur lors d’une attaque est « de savoir s’il y a eu une exfiltration de données », a insisté Vincent Genot. « Nos outils ont stoppé cette exfiltration mais le doute existe toujours », a-t-il précisé, car certaines exfiltrations peuvent se faire sur une longue période, petit à petit. « Il faut alors bien surveiller et bien connaître votre réseau pour détecter ces flux ».

Cette connaissance du réseau est la condition sine qua non pour se rétablir après une attaque. « Quand vous devez éteindre les serveurs ou les rallumer, savez-vous dans quel ordre le faire ? Quelles sont les conséquences si vous rechargez vos sauvegardes ? Qu’est-ce qui est prioritaire et qu'est ce qui ne l'est pas ? ». Pour parer toute mauvaise surprise, Vincent Génot éteint et rallume électriquement le SI de son établissement chaque année : « nous avons des surprises, car un SI vit tout au long de l’année et nous ne pouvons pas être certain qu’un nouveau paramétrage n’a pas été sauvegardé dans un coin ».

Pour David Henocq, RSSI d’Okantis, il est important de « maintenir à jour les listes de contact – pas sur le SI qui sera bloqué bien sûr -, faire des exercices de crise, prioriser les logiciels métiers… Réfléchir à tout ce qui peut faire gagner du temps en cas d’incident ». Nicole Genotelle, RSSI et DPO du Mipih, a de son côté rappelé l’importance « d’avoir une visibilité claire pendant la crise des priorités de rétablissement des logiciels métiers et des personnes qui pilotent leur remise sur pied ». Et, a-t-elle insisté, « il est important de s’y tenir » afin de ne pas perdre de temps en hésitations.