Cyberattaque au Centre Hospitalier Sud Francilien (CHSF) : le bilan, un an après

C’est l’une des plus importantes attaques ayant touché un établissement de santé français ces dernières années. Dans la nuit du samedi 20 au dimanche 21 août 2022, le CHSF est victime d’un rançongiciel rendant inaccessible tous les logiciels métier, les systèmes de stockage (notamment d'imagerie médicale) et le système d'information ayant trait aux admissions de la patientèle. Un désastre, pour cet hôpital qui est « le seul établissement de recours pour les 1,2 millions d’habitants du sud de l'Ile-de-France et ne peut donc pas s’arrêter de fonctionner », a souligné Gilles Calmes, en introduction de son témoignage.

Il est d’abord revenu sur les difficultés rencontrées dans les premières heures de la cyberattaque. « Quel est la première chose à faire quand un plan blanc est déclenché ? Rappeler le personnel », a-t-il lancé. Une procédure qui avait été informatisée. « Nos équipes de garde ont donc appuyé sur le bouton d’appel du personnel, mais il ne s’est rien passé car le bouton ne fonctionnait plus ». L’un des premiers enseignements tirés de l’attaque est donc l’importance, pour les cadres (notamment les cadres de nuit et de garde le weekend), de connaître les procédures dégradées. « Nous avons écrit ce qu’il se passait sur des feuilles de papier que nous avons glissé sous toutes les portes des bureaux, pour que le personnel arrivant le lundi matin sache ce qu’il se passe », s’est souvenu le directeur, qui recommande aux établissements de garder des annuaires imprimés du personnel.

Pour Gilles Calmes, le plan de continuité d'activité (PCA) doit couvrir le mode dégradé de tous les services et fonctions. Interrogé par Vincent Trely, président de l’Apssis, sur ce qu’il referait ou ne referait pas, il a répondu que son regret était de s’être aperçu « un peu trop tard » des enjeux liés aux fonctions support, comme les ressources humaines ou la facturation. « Les RH ont dû faire à la main 5000 bulletins de paie pendant trois mois », a-t-il noté.

C’est un autre enseignement de l’attaque, une telle crise peut durer. « Les plans blancs actuels ne sont pas prévus pour durer plus de quelques jours. Or, une cyberattaque, c’est un plan blanc qui dure », a résumé Patrice Garcia, DSI de l’établissement. « Une cyberattaque, on a beau s’y préparer, tant qu’on ne l’a pas vécue, on ne sait pas ce que c’est », a-t-il déclaré devant la centaine de DSI réunis par l’Apssis. « La difficulté, ce n’est pas le Jour J, ce sont les jours suivants : une cyberattaque épuise », a-t-il insisté. Plusieurs secrétaires médicales ont d’ailleurs quitté l’établissement, après avoir dû recréer des dossiers patients au format papier pendant des mois.

Alors que le SI de l’établissement est en cours de reconstruction – un chantier de 18 mois qui fait suite aux trois mois qu’il a fallu pour « réparer » le système – les deux hommes ont souligné les changements de mentalité engendrés par cette crise. « Désormais, les 3800 agents de l’établissement considèrent que le SI est aussi leur problème », a noté Gilles Calmes. Il a souligné le doublement du budget de la DSI, passé à 4,5 millions d’euros cette année. « Nous allons faire moins de travaux, et investir davantage sur la sécurité du SI et des équipements biomédicaux, car il est inutile de faire des travaux si l’hôpital ne fonctionne pas », a déclaré le chef d’établissement. Au-delà de l’aspect budgétaire, « nos projets médicaux seront désormais analysés à l’aune du SI », a-t-il ajouté.

Patrice Garcia, lui, a voulu faire passer un message : « il faut que le système soit résilient, car nous savons qu’il y aura d’autres cyberattaques ». Depuis la restauration de son SI, le CHSF en a déjà déjoué cinq autres.