« L’objectif est de ne pas paniquer » : dans les coulisses de la cyberattaque du GHT de La Réunion

Le CHU de l’île est un établissement de 1 900 lits. 7 330 professionnels y exercent, dont plus d’un millier de médecins. Côté bâtiments, le GHT s’étend sur trois sites et abrite quinze établissements. En tout 900 serveurs informatiques sont rattachés à l’Active Directory (AD) – qui relie les utilisateurs avec les ressources réseau et qui contient des informations telles que le poste occupé par chaque personne, son numéro de téléphone ou encore son mot de passe.

Tête froide

Vendredi 3 février 2023, 7H41. Une « connexion non légitimée depuis l’extérieur à un compte de service » intervient sur un serveur de l'hôpital. Quatre autres tentatives similaires suivront, jusqu’à parvenir, trois jours plus tard, à exfiltrer des identifiants. Le domaine informatique est totalement compromis…

Le responsable SSI, Stéphane Duchesne, déclenche la procédure et alerte les experts du CERT pour une intervention immédiate. Que ressent-il à ce moment précis ? « Cela fait quelques années que je suis dans le domaine, j’ai appris à garder la tête froide. Il y a dix ans, j’aurai paniqué, confie-t-il. Aujourd’hui, face à une telle situation, on sait que l’objectif est justement de ne pas paniquer, même s’il y a une inquiétude dirigée avant tout par rapport à l’activité de l’hôpital, la prise en charge des patients. Est-ce qu’on peut continuer à les prendre en charge ? En l'occurrence, cette préoccupation première a été assez vite levée puisqu’on a vu que, malgré l’attaque, les appareillages et les équipements médicaux continuaient à fonctionner. Ils ne semblaient pas être la cible des pirates ».

Coupure totale d'internet

« C’est le lundi qu’on a vu l’étendue des dégâts et sommes passés en mode crise », poursuit le responsable SSI. Ses services décident alors de couper internet, ce qui n’est pas sans conséquences pour le fonctionnement de l’hôpital. Plus de tableau informatique des tours de garde et d’astreintes. Même blocage pour l’accès au Vidal. Stéphane Duchesne se souvient que, durant cette période « c’est plus notre isolement informatique qui nous a handicapé que la cyberattaque elle-même ». Surtout lorsque le personnel hospitalier essaie lui-même de contourner la coupure internet via sa clé 4G, ouvrant ce faisant de nouvelles portes d’entrée aux pirates informatiques.

Autre enseignement essentiel de cet incident, toujours disposer d’une cartographie précise des systèmes d’information de son hôpital. Sinon, « quand on coupe, on ne sait pas ce qui va s’arrêter », sourit l’expert informatique. Il avoue aussi avoir appris une leçon dans un domaine qu’il n’imaginait pas, la communication. « On a sans doute trop tardé à faire une déclaration officielle auprès des habitants. Elle n’est intervenue que trois jours après l’attaque… ». Entretemps, les rumeurs autour d’un « problème » au centre hospitalier avaient commencé à courir dans l’île, ce qui a forcé les services de communication à doublement s’employer à rassurer la population.

Surveillance jusqu'à la fin de l'année

Aujourd’hui, quel est le bilan de cette cyberattaque qui aura duré près de trois semaines, mobilisé une dizaine de personnes à temps plein et généré plus de 500 heures supplémentaires ? Sur le volet financier, le coût cumulé des investigations complémentaires, la réparation des AD et l’achat de nouvelles plateformes de sécurité (ces dernières étaient prévues avant l’attaque) atteint pour l’instant un montant de 810 000 euros. Si la fin de la crise devrait être décrétée ce mois de juin, le travail de la cellule de suivi interne et du CERT Santé ne sera pas terminé avant la fin de l’année.