Cyberattaque au CHRSM - Point de la situation au 16 juin 2023 - Actualité

Nous sommes au 22ème jour depuis la cyberattaque dont le Centre Hospitalier Régional Sambre et Meuse a été victime. Deux hôpitaux fort impactés par cette attaque criminelle. Depuis trois semaines, les deux sites hospitaliers mènent deux combats de front : un premier pour faire fonctionner l'hôpital au mieux, un second pour collaborer avec La Cyber Emergency Response Team fédérale et la Police pour rassembler un maximum de preuves contre cet acte criminel.

...

Il y a presquetrois semaines, jour pour jour, que le CHRSM s'est réveillé aux aurores pour réagir à toute allure face à la cyberattaque. En pleine nuit, les GSM ont sonné. Celui de l'informaticien de garde et ensuite celui du directeur du département informatique. Le plan d'urgence hospitalier était déclenché : toute la cellule de concertation hospitalière a été contactée et est revenue sur site pour gérer cette crise et prendre les décisions le plus vite possible. En moins d'une heure après la détection du virus, l'hôpital était coupé du réseau grâce à la réaction ultra-rapide de l'équipe informatique. Un gros atout dans cette attaque : une grande partie du réseau et des logiciels a été épargnée. Trois semaines plus tard, l'impact de cette crise est toujours très important : pas de wifi, peu d'ordinateurs opérationnels, pas de possibilité d'encoder ou facturer ... "Nous progressons pas à pas dans la gestion de la crise, précise Stéphane Rillaerts, directeur général du CHRSM. Le département informatique s'est énormément investi et suit les priorités définies de longue date dans notre plan d'urgence hospitalier, à savoir de rétablir en priorité la téléphonie. C'est le cas : plusieurs postes fixes sont maintenant remis en marche dans nos deux hôpitaux et les patients peuvent à nouveau nous joindre. D'autres départements aussi ont pu avancer : les salaires de mai ont été versés au personnel, le pécule de vacances également. Nous commençons à pouvoir à nouveau payer nos fournisseurs, nous sommes en train de rattraper le retard. Cela grâce au travail de tous." Reconstruire un réseau informatique entièrement sécurisé est un processus qui prend du temps. "Il faut d'abord assurer la continuité des soins, en toute sécurité, quasiment sans informatique, poursuit-il. Puis reconstituer un réseau interne avec nos bases de données intactes. Enfin, il faut reconstituer un réseau totalement sain et protégé pour s'ouvrir à nouveau vers l'extérieur. C'est un travail colossal et indispensable qui se fait en coulisses, qui, comme la partie immergée de l'iceberg, est invisible. Le département informatique a d'abord dû analyser nos 2500 PC afin de diagnostiquer l'étendue de l'attaque. En parallèle, ils préparent des PC pour proposer une solution intermédiaire avant de retrouver une infrastructure complètement mise à neuve et monitorée 24h/24. Les utilisateurs ne voient que le résultat : des lignes fixes qui fonctionnent à nouveau, des PC réinstallés ... Nous devons être extrêmement prudents afin de ne prendre aucun risque. Certaines entreprises, victimes également, ont reconstruit leur infrastructure et ont rapidement de nouveau été attaquées. Nous devons prendre le temps de faire les choses dans la plus grande sécurité." Actuellement, seuls les consultations, examens et opérations ne pouvant pas être réalisés dans de bonnes conditions sont annulés. "Les annulations concernent des rendez-vous qui nécessitent de consulter des résultats, images, documents auxquels nos médecins n'ont pas accès. Nous recontacterons par la suite chaque patient dès que nous aurons accès aux agendas afin de refixer une date." Les médecins du CHRSM voient une partie de leurs patients ne pas se présenter à l'hôpital. "Notre système de rappel par sms automatique étant indisponible, certains patients pensent que leur rendez-vous médical est annulé. Nous insistons sur le fait que nous téléphonons à chaque patient dont le rendez-vous est annulé pour l'en informer. Le deuxième point à bien communiquer est que nous invitons les patients à bien prendre avec eux leur carte d'identité - ou celle de leur enfant le cas échéant -, ainsi qu'une vignette de mutuelle. Concernant la question d'une demande de rançon, Stéphane Rillaerts se montre transparent : " À l'heure actuelle, nous n'avons pris aucun contact avec le hacker. Nous n'avons reçu aucune demande de rançon. Nous mettons la priorité et toute notre énergie à reconstruire notre infrastructure informatique pour permettre rapidement à nos patients d'être pris en charge dans les meilleures conditions possibles et à nos équipes de récupérer leurs outils de travail. Pour ce faire, un nouveau réseau informatique interne est déjà en train d'être construit, pour que tous nos services puissent partager des informations en interne. Et cela est possible car les principales données dont nous avons besoin n'ont pas été compromises par cette cyberattaque et ça c'est la bonne nouvelle !" Le directeur général rappelle que cette attaque criminelle est dans les mains d'experts fédéraux, dont la cyber emergency response team fédérale (CERT) et la Police. "L'enquête est en cours et prise en charge par ces experts."