En 2022, plus d’une dizaine d’hôpitaux ont été la cible de hackers. C’est le cas du centre hospitalier de Corbeil-Essonnes, paralysé durant 2 mois ou encore plus récemment, l’hôpital André-Mignot à Versailles.
L’État a lancé un programme de préparation des établissements de santé aux cyber-crises
À chaque fois que cela se produit, une rançon est demandée. La politique est de ne jamais payer. Pour contrer ce type d’attaque, les structures hospitalières renforcent leurs systèmes de sécurité informatique. En parallèle, l’État a lancé un programme de préparation des établissements de santé aux cyber-crises. Au Centre d’Accueil et de Soins Hospitalier de Nanterre, il est 9h quand l’exercice commence. La première alerte est lancée par des professionnels de santé de l’hôpital réunis et dirigés par un cabinet de conseil spécialisé dans la gestion de crise. Toute la matinée, ils distilleront par téléphone le scénario de la cyber-crise à leurs responsables. « Je n’arrive plus à voir les résultats du laboratoire. Le logiciel ne fonctionne pas et je ne peux pas joindre ce laboratoire, même par téléphone » déclare l’un des soignants. À quelques pas seulement, une cellule de crise a été convoquée. Prévenus qu’il s’agissait d’un exercice, ses membres chapeautés par la directrice vont devoir appréhender chaque nouveau problème. « J’ai actionné la cellule de crise, il semble qu’on ait des difficultés d’accès à certains logiciels. Je viens de recevoir une demande de rançon, il est donc important de prévenir les autorités » explique une professionnelle de santé.
A lire aussi
« Lorsque l’on arrive sur une vraie crise, on est doublement préparés »
À midi, c’est la fin de l’exercice. Le coach est satisfait, la communication au sein de la cellule a fonctionné. Des décisions ont été prises rapidement. Mais quelques erreurs devront être corrigées, c’était l’intérêt de cette préparation, reconnait Halima, du service informatique : « Une fois qu’on est devant le fait accompli, on fait des erreurs comme éteindre les PC alors qu’il ne fallait pas. Sur le coup, on pense à protéger le site, protéger l’extérieur, protéger aussi les autres établissements avec qui on a des liaisons, mais on ne pense pas aux preuves. Or, il faut des preuves ». Ces cyberattaques sont un véritable défi pour les hôpitaux, les éviter est impossible. Il faut donc être paré à toute éventualité, nous rappelle la directrice Luce Legendre : « On répond mieux aux crises quand on fait des exercices. Cela apprend à connaître les réflexes de ses collaborateurs, les réflexes du corps médical. Lorsque l’on arrive sur une vraie crise, on est doublement préparé ». Pour autant, l’hôpital de Versailles avait, lui aussi, organisé cette formation avant d’être victime d’une cyberattaque en décembre, et les personnels avaient dû se passer de leurs ordinateurs pendant de longues semaines. L’objectif du gouvernement est que 100 % des établissements de santé prioritaires aient réalisé de nouveaux exercices d’ici à mai 2023.
Julie Droin
Ecoutez le reportage de Julie Droin :
