Une question ? Appelez le 01 48 06 54 92

 

TecHopital.com

 

https://www.pall.com/en/medical/landing/20-years-fr.html?utm_source=techopital&utm_medium=banner&utm_campaign=20-years-fr

Le centre hospitalier de La Bassée (Nord) perturbé par un rançongiciel

Crédit: Adobe Stock
Crédit: Adobe Stock

LA BASSÉE, LENS (Nord), 28 janvier 2020 (TecHopital) - Victime d'une cyberattaque en octobre 2019, le centre hospitalier de La Bassée (CHLB) a fonctionné en mode dégradé pendant plusieurs semaines et n'a toujours pas remis en place son intranet, ont expliqué le 22 janvier Dominique Deschildre, directeur délégué de l'hôpital, et Jalal Soujad, directeur des systèmes d'information (DSI) du groupement hospitalier de territoire (GHT) de l'Artois dont fait partie le CHLB.

Les deux responsables ont été sollicités par APMnews (site du groupe APM International dont fait partie TecHopital) à la suite de l'annonce de cette attaque lors des voeux d'Edmond Mackowiak, alors directeur du centre hospitalier (CH) de Lens et des CH associés au sein du GHT de l'Artois, relayés dans un article paru le 17 janvier dans la Voix du Nord.

"Le 24 octobre à 14h, un agent du CHLB a ouvert un mail de l'agence régionale de santé [ARS] qui contenait une pièce jointe infectée", a raconté Jalal Soujad. "Le même jour à 17h, l'ARS nous a prévenus qu'une de ses boîtes mail avait été piratée. C'était trop tard, le système d'information (SI) était déjà infecté et le virus avait commencé à se propager."

Ce "faux mail d'alerte de l'ARS" ne ciblait pas de destinataire particulier, a précisé Dominique Deschildre. "Il a été envoyé sur la boîte d'alerte du CH, qui est utilisée par plusieurs agents. Une dizaine de postes sur 80 ont été infectés, on voyait un écran noir."

Le service informatique du GHT a réagi le jour-même: "on arrête les PC, on les débranche du réseau et on passe l'antivirus. Le rançongiciel Emotet a bien été détecté, les PC ont été nettoyés mais dès qu'on les rebranche sur le réseau, le virus revient et recommence à se propager", a poursuivi Jalal Soujad.

Le virus contenait une demande de rançon de 8.000 euros par poste infecté, ont précisé les dirigeants hospitaliers à APMnews.

Face à la menace, le CH a alerté l'ARS et demandé l'aide de l'Agence du numérique en santé (ANS, ex-Asip santé) et de l'Agence nationale de sécurité des systèmes d'information (Anssi). L'Anssi lui a apporté "un soutien méthodique, presque journalier, par téléphone".

Parallèlement, le CH a fait appel à trois prestataires: Palo Alto, Orange cyberdéfense et Sophos.

Le 28 octobre 2019, "l'Anssi et les prestataires nous disent que c'est trop tard", a relaté Jalal Soujad. "Ils nous expliquent qu'il faut tout formater car le virus s'est propagé dans tout le SI et que les machines sont obsolètes. Elles tournaient sous Windows XP." Il n'y a plus d'antivirus qui permette un nettoyage car ce système d'exploitation est trop vieux, a-t-il indiqué.

Le CHLB est alors passé "en mode dégradé". Chaque unité de soins a été dotée d'un seul ordinateur neuf, connecté au réseau externe grâce une connexion internet normalement dédiée aux patients.

Le 8 novembre, la décision est prise de réinitialiser tout le SI du CHLB. "Une dizaine d'informaticiens" étaient présents pour "formater tous les postes existants et installer de nouveaux postes", a indiqué le DSI. Le CH a fait l'acquisition de l'anti-spam
Mailinblack, d'un antivirus Sophos et d'un pare-feu produit par Palo Alto, a-t-il ajouté.

Les applications métiers, dont le dossier patient informatisé (DPI), ont commencé à être remises en place le 18 novembre, soit plus de trois semaines après l'ouverture du mail piégé.

Un coût de 100.000 euros pour le CH

Le remplacement du parc informatique du CHLB, qui était prévu pour permettre l'installation de Millenium*, nouveau DPI du GHT édité par Cerner, a été accéléré.

"On est en train de remettre à plat l'infrastructure de notre réseau, certaines commandes ne sont pas encore arrivées", a expliqué Dominique Deschildre. La situation est désormais "revenue à la normale" pour le DPI et les services administratifs du CH. Seul l'intranet n'est toujours pas accessible.

Le coût total de l'attaque et de ses conséquences a été estimé à 100.000 euros. "Nous allons demander une aide ponctuelle de l'ARS", a indiqué le directeur délégué de l'établissement.

Il n'y a pas eu de fuite ou de perte de données. "Le DPI est hébergé à l'extérieur et les données bureautiques ont été nettoyées avec Sophos et Palo Alto", a confié Jalal Soujad.

lc/ab

Partagez cet article

Les dépêches liées à cette information

Il n'y a pas encore de commentaire sur cette publication.
Soyez le premier à réagir

Pour commenter cet article identifiez-vous ou enregistrez-vous si vous ne l'avez pas encore fait
Les offres
Agenda