Le vendredi 15 Novembre 2019, le CHU de Rouen a détecté une cyber-attaque massive sur son SI. Si le coeur de la crise n'a duré que quelques jours, impactant lourdement le centre hospitalier, ce n'est que récemment que Sylvain François, DSI du CHU de Rouen, et Cédric Hamelin, RSSI adjoint, ont communiqué sur les leçons tirées de cette cyber-attaque et des réponses opérées. Ils ont témoigné auprès de leurs pairs de l'APSSIS (Association Pour la Sécurité des Systèmes d'Information de Santé).
Tout a commencé en début de soirée par un appel d'un professionnel de santé au support de niveau 1 pour se plaindre d'un problème d'accès à une application métier. Le personnel d'astreinte a alors examiné la situation, constaté des problèmes de connexion et une escalade rapide a été opérée jusqu'au niveau 3. En effet, lors des premiers contrôles, il s'est avéré que les accès à beaucoup d'applications étaient inopérants. Mais les montées d'alertes ont été progressives. « Ce qui a déclenché la constitution d'une cellule de crise et le rappel de personnel, c'est le constat que des fichiers étaient chiffrés sur des serveurs de production et des postes de travail » a expliqué Cédric Hamelin, RSSI adjoint du CHU de Rouen.
Un travail commun avec l'ANSSI et l'ARS
Rapidement, une cellule de crise a donc été constituée, d'abord d'une vingtaine de personnes sous deux heures puis d'une dizaine supplémentaire vers minuit. Ses membres ont été répartis selon leurs compétences techniques pour deux objectifs : bloquer le cryptovirus et remédier à la situation. Le DSI du CHU, Sylvain François, a coordonné cette cellule et ses relations avec les partenaires aussi bien internes qu'externes. « Il faut savoir ne pas mobiliser tout le monde immédiatement afin de pouvoir répartir les efforts sur plusieurs jours » a pointé Sylvain François. A partir du lundi, c'est une centaine de personnes qui a été mobilisée par roulement.
Conformément à la réglementation, l'incident grave de sécurité a été déclaré rapidement sur le portail national, déclenchant l'intervention de l'ANSSI et des services du Ministère de la Santé, en l'occurrence de l'ARS (Agence Régionale de Santé). Ces partenaires externes ont dépêché sur place des experts pour aider le CHU à gérer la situation. En interne, il était essentiel de faire le lien avec les métiers et de mettre en place une communication de crise.
Un cryptovirus virulent
La première chose a malgré tout été d'identifier la nature exacte de la menace, de faire un état des lieux. En l'occurrence, assez rapidement, un cryptovirus à base de service Windows a été identifié. Puis il a été constaté que l'attaquant avait pris le contrôle de l'Active Directory pour élever certains privilèges et ainsi propager plus facilement le virus. L'alerte ayant été donnée vers 21h30, l'attaque a été bloquée entre 21h45 et 22h30. « Durant cette première phase, nous avons déjà préparé la restauration pour que la situation redevienne le plus rapidement possible normale » a précisé Cédric Hamelin.
Avec l'accord de la Direction Générale, la DSI a décidé la coupure de tous les accès Internet vers 21h30 afin d'isoler le SI de l'extérieur. Puis, vers minuit, ce sont tous les réseaux ainsi que les tâches de sauvegardes qui ont été coupés. Le but de ces coupures était bien sûr d'éviter toute propagation du cryptovirus. Si les bases de données Oracle sous Linux n'ont pas été impactées, les serveurs applicatifs sous Windows avec les frontaux d'accès aux logiciels métier ont, eux, été touchés. Ces serveurs ont pu être restaurés dans la nuit de vendredi à samedi. Dès le mardi, 70 % des applications étaient restaurées. Mais, simultanément, la phase d'analyse s'est poursuivie afin de vérifier que l'attaquant n'avait pas placer des backdoors.
Pour Cédric Hamelin, RSSI adjoint du CHU de Rouen, « le plus dur à gérer a été la communication »
La communication au coeur de la réaction
Un des problèmes rapidement rencontré a été le fait que la messagerie était inopérante. Cédric Hamelin a indiqué : « nous avons donc envoyé du personnel sur le terrain, pour être transparent, informer de la situation et préciser ce qui était fait. » Cette réactivité a été appréciée, notamment du corps médical dont un représentant a tenu à venir en personne féliciter les membres de la DSI pour sa transparence. Comme la téléphonie ToIP est sur un réseau spécifique, la capacité à communiquer est demeurée avec les services.
Pour Cédric Hamelin, RSSI adjoint du CHU de Rouen, « le plus dur à gérer a été la communication ». L'urgence était en interne. Mais, rapidement, il y a eu des informations, parfois erronées, qui sont sorties. La communication externe a été réalisée avec la direction de la communication. La DSI lui a fourni les éléments pour pouvoir répondre aux interrogations du public et des médias. L'un des problèmes était qu'il n'y a pas eu grand-chose à dire avant le lundi.
Le bilan de la cyber-attaque a révélé plusieurs aspects positifs. Bien sûr, la crise a été bénéfique sur l'esprit d'équipe. Surtout, les stratégies suivies par le CHU ont montré leur efficacité. Ainsi, la répartition des applications et des données sur une pluralité de serveurs et une diversité technologique a payé : l'attaquant n'a pas pu tout attaquer en même temps. Et les données ont ainsi pu être préservées.
Commentaire