Pratiques innovantes
15/06/2023

Cyberattaque : anticiper pour éviter la catastrophe

En février 2021, l’hôpital de Villefranche-sur-Saône, membre du Groupement hospitalier de territoire (GHT) Rhône Nord Beaujolais Dombes, a été victime d’une cyberattaque. Les neuf établissements du GHT en ont été impactés. Hervé Bontemps, pharmacien hospitalier et chef de service de la PUI a partagé, lors des Journées de formation Partage d’expertise production de chimiothérapie (PEPC), organisées les 21 et 22 mars 2023 par Roche, l’épisode et les enseignements qui en ont été tirés.

Les faits

Le 15 février 2021, à 4 h 30 du matin, l’hôpital de Villefranche-sur-Saône est victime d’une cyberattaque. Ce sont les professionnels du service des urgences, qui ont averti l’astreinte informatique qu’ils n’avaient plus accès au système informatique. Le technicien a alors confirmé l’incident majeur à savoir un chiffrement massif des serveurs, des postes de travail et des données. Il a alors appelé le Directeur de garde qui a décrété la mise en place de la procédure de confinement total du système informatique. Toutes les liaisons vers l’extérieur ont été stoppées avec, parallèlement, un passage en mode dégradé. Il a par ailleurs fallu prestement débrancher, voire arracher tous les câblages de toutes les baies informatiques de l’hôpital afin de limiter la propagation du virus. À 6 h 30, l’incident a été déclaré à l’Agence régionale de santé (ARS), au Samu et à la Commission nationale de l’informatique et des libertés (Cnil). « J’ai été prévenu par un SMS de la Directrice générale à 7 h 30, a raconté le Dr Bontemps. Elle m’a informé que nous avions été l’objet d’une sérieuse attaque virale, qu’il n’y avait plus d’accès informatique et qu’il ne fallait surtout pas redémarrer les postes de travail. C’était la sidération complète. Nous n’avions pas d’ordinateur, pas de téléphone, pas d’imprimante, rien ; que les portables personnels pour communiquer. »

Le pilotage

« Après plusieurs discussions avec mes collègues, nous avons décidé de maintenir la fabrication des chimiothérapies dans un système dégradé ainsi que l’activité de stérilisation dans un mode un peu moins dégradé, a poursuivi le Dr Bontemps. Nous avions, par ailleurs, quelques interventions de chirurgie ambulatoire et fait le choix, pendant quarante-huit heures, de ne commander que des médicaments ou du matériel qui allait nous manquer pour le lendemain. »

Les pharmaciens et les cadres se sont ensuite réunis pour arrêter une stratégie : « Nous avons mis en place une solution papier, pour l’ensemble du circuit du médicament et des interactions avec les unités de soins, a-t-il ajouté. Beaucoup de jeunes préparateurs et confrères n’avaient jamais travaillé sans informatique, ce qui a parfois créé des tensions. Nous avons, en outre, défini les priorités de la pharmacie – en l’occurrence, la fabrication de chimiothérapies – au regard de celles de l’ensemble de l’établissement. Cela a été possible parce que nous avions conservé les dossiers papiers à la pharmacie. En outre, il s’agissait de patients que nous connaissions. Nous avons travaillé en mettant du correcteur blanc sur la dernière fiche de prescription… » Alors qu’habituellement un seul pharmacien gère l’ensemble de l’activité, pendant cette période de crise, quatre pharmaciens ont été sollicités : un effectuait les allers-retours entre les services et la PUI, un mettait du correcteur blanc, l’autre faisait les photocopies etc. Aucune chimiothérapie n’a été annulée cette semaine-là. En revanche, concernant la gestion des stocks, aucun laboratoire n’a accepté de prendre une commande par téléphone. Il a fallu, pour cela, attendre que la PUI ait un fax pour leur adresser des commandes écrites sur papier avec le tampon de l’hôpital. Nombre de médecins étant en vacances, les pharmaciens ont effectué les prescriptions sur la base des précédentes. Les médecins envoyaient également par SMS, les modifications à apporter après que les pharmaciens leur ont adressé en photo l’ordonnance jusque-là en cours.

La cellule de crise

À 12 h 30, la première cellule de crise tenue par la Direction des services numériques de territoire (DSNT) a confirmé la cyberattaque totale, qui avait affecté le cœur du réseau ainsi que le système d’information. En revanche, le système de sauvegarde, lui, était resté intègre. À première vue, aucune trace d’extraction, ni de vol des données n’ont été constatés. Cependant, la DSNT était dans l’incapacité de préciser combien de temps le dysfonctionnement allait durer. « Il a donc fallu tenir compte des priorités de l’établissement, a souligné le Dr Bontemps. La réanimation n’avait plus rien, la néonatalité non plus. Nous nous sommes dit qu’il allait être compliqué de bien positionner les priorités de la pharmacie. » À 19 h, une dizaine d’informaticiens de l’Agence nationale de la sécurité des systèmes d’information (Anssi) sont intervenus sur place. Le maintien des patients stables dans les services critiques a été acté, tout comme la déprogrammation de la plupart des interventions chirurgicales ainsi que la fermeture de l’accès des urgences au Samu.

« Le lendemain, nous avons compris que nous allions mettre plusieurs semaines pour récupérer la totalité des logiciels et que le système d’information devait être intégralement reconstruit selon un modèle préconisé par les informaticiens de l’Anssi », a fait savoir le Dr Hervé Bontemps. Quant à la cellule de crise, elle a déterminé les priorités pour rétablir le logiciel en fonction de la criticité des services, des risques pour les patients et du temps informatique nécessaire pour relancer l’application. « Je me suis positionné uniquement pour dire qu’il nous fallait au moins un poste équipé du logiciel de chimiothérapie, a rapporté le Dr Bontemps. Nous avons également demandé un fax pour passer les commandes et une photocopieuse pour copier nos plans de prescriptions et de préparations des chimiothérapies. »

Le réseau de prescription connectée avec les services de soins ainsi que le logiciel de commandes ont pu être réactivés le huitième jour. Ce fut ensuite le cas pour les applications pharmaceutiques en lien avec le dossier patient informatisé. Elles ont été rétablies service par service dans un ordre défini lors de la cellule de crise. En revanche, pour la télésurveillance, il a fallu patienter un bon mois. Finalement, « la cellule de gestion de crise a plutôt bien fonctionné tout comme la collaboration avec la DSNT car nous avions déjà l’habitude de travailler avec elle, a fait savoir le Dr Hervé Bontemps. À noter, également, que nous avons communiqué de façon très transparente sur l’incident, ce qui nous a ensuite aidés vis-à-vis des laboratoires pharmaceutiques alors beaucoup plus compréhensifs. »

Et après ?

« Le premier conseil est d’avoir des projets informatiques qui sont complètement indépendants du réseau et qui permettent de stocker des fichiers et d’imprimer les documents afin de mettre en place rapidement un mode dégradé », a préconisé le Dr Hervé Bontemps.

Par ailleurs, un poste qui se connecte automatiquement au réseau et copie régulièrement la base de données informatique a été installé. Ces copies quotidiennes de l’ensemble des fournisseurs, des produits rattachés, etc. sont susceptibles d’être extraites en cas de nouvelle cyberattaque.
Quant à l’architecture du nouveau système informatique, elle a été conçue pour isoler chaque entité (service de l’hôpital) et éviter les contaminations en ligne.
 

Autres articles sur « Pratiques innovantes »