Suggested:
Jean-Sylvain CHAVANNE Responsable de la sécurité des systèmes d’information (RSSI) CHU de Brest et du GHT de Bretagne Occidentale
Le 9 mars 2023, il est 20h48 quand Jean-Sebastien Chavanne (RSSI au CHU de Brest) reçoit un appel de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) : des communications frauduleuses ont été détectées dans un serveur du CHU de Brest. Après vérification, il confirme : le CHU est victime d’une cyberattaque majeure qui marquera le début de 35 jours intenses. Un an et demi plus tard, J-S Chavanne revient sur la façon dont les équipes ont réussi à éviter le pire et quelles leçons ils ont tiré de cet événement.
Action, réaction !
Une cellule de crise dédiée est rapidement constituée pour tenter de retrouver des traces de l’attaquant dans l’Active Directory (AD qui centralise les droits d’accès, les informations sur les utilisateurs, les ordinateurs, etc.), ou d’autres indices. Mais face à l’urgence et sur le conseil de l’ANSSI, une décision radicale est prise pour empêcher la progression de l’attaque : désactiver internet. “ À 22h30, nous étions en vase clos ” raconte J-S Chavanne. Plus de messagerie électronique, plus de logiciels pour commander les ambulances, plus de fond de cartes Google pour les localiser avant interventions… mais heureusement, quelques logiciels fonctionnent en local et le CHU peut continuer à “tourner” tant bien que mal.
Des investigations profondes
Le CHU mène en parallèle deux actions d’investigations prioritaires : d’abord identifier la profondeur de l’attaque, puis les dommages collatéraux de la coupure d’Internet. Un travail réussi car “finalement, nous avons pu éviter le plan blanc et continuer à prendre en charge les consultations et les patients” ajoute Jean-Sebastien Chavanne.
Au bout d’une semaine, les équipes informatiques ont découvert que l’attaquant avait pénétré le système par la ferme RDS (applications internet utilisées par les médecins hors site pour se connecter au système), et que des virus avaient été installés sans pouvoir aller au-delà de l’AD et compromettre ainsi l’ensemble du système informatique. “En réagissant très rapidement, nous leur avons coupé l’herbe sous le pied” se réjouit le RSSI.
Des évolutions structurelles importantes pour se prémunir des attaques
“Il nous était impossible de relancer le flux internet sur des applications vulnérables ” précise-t-il. Il aura fallu un mois et un investissement de 2 millions d’euros pour remettre en place des applications sûres, modifier l’ensemble de 8500 mots de passe utilisateurs, imposer une double authentification, demander aux prestataires une migration sur de nouveaux serveurs et simplifier le flux internet pour le maîtriser uniquement via le pare-feu. “ On savait que notre vulnérabilité venait des logins. Cette attaque nous a permis de gagner 2 ans en 3 mois, avec de gros changements structurels sur notre architecture” explique-t-il. Un travail conjoint de l’équipe technique, DSI système et DSI réseau sur le pont quasiment 70h/ semaine. “Et un gros effort de pédagogie pour éviter que la Tour d’Ivoire ne gère la crise de son côté, en laissant les professionnels de santé livré à eux-mêmes.”, se souvient-il. Aujourd’hui, le CHU semble paré à ce genre d’attaque via de récentes initiatives, comme le clausier informatique initié par le Club RSSI santé, qui permettront aux autres CHU de suivre l’exemple de Brest pour maintenir leur protection.
Diane Dioubate
Français
