Alliancy

Cybersécurité : les 35 jours de vérité du Centre hospitalier de Brest

DR chu-brest.fr

DR chu-brest.fr

Début 2023 le CHRU de Brest a subi une cyberattaque majeure. Son responsable de la sécurité des systèmes d’information est revenu récemment sur cet épisode et les leçons à en tirer.

Le 9 mars 2023, Jean-Sylvain Chavanne est chez lui et regarde la télévision. Il est 20h49 quand le responsable de la sécurité des systèmes d’information (RSSI) du Centre hospitalier régional universitaire de Brest reçoit un appel de l’Anssi, l’agence nationale en charge de la cybersécurité dans l’Hexagone : un coup de fil qui marque le début de 35 jours intenses alors que le CHRU, dont il a la responsabilité, est victime d’une cyberattaque.

Le 22 janvier dernier, le RSSI est revenu sur cette expérience à l’occasion de l’édition 2024 du Panocrim du Clusif. Chaque début d’année, l’association de spécialistes de la cybersécurité partage pendant plusieurs heures les résultats et observations de ses groupes de travail. Et finit la journée avec un témoignage de premier plan. L’année passée, Franz Regul, le RSSI des Jeux olympiques Paris 2024, était venu partager les préparatifs en cours pour que le grand événement sportif puisse se dérouler sans accroc. Cette année, c’est au tour de Jean-Sylvain Chavanne, et son récit s’avère tout aussi captivant.

A lire aussi : Le Panocrim du Clusif livre une analyse détaillée des conflits cyber provoqués par la guerre en Ukraine

Les centres hospitaliers, très exposés

« Les CHU sont une mini-ville dans la ville », détaille-t-il. « Il y a une grande hétérogénéité des systèmes d’information, car nous devons gérer à la fois des services médicaux, des services de restauration, de l’IoT (Internet des objets)… ». En tout, les 10 000 salariés de l’hôpital s’appuient sur 200 applications métiers, 700 serveurs et 160 bases de données différentes pour exercer leurs activités. Ces dernières regroupent plus de trois pétaoctets de données.

Sur le fond, l’attaque du CHRU ne le surprend pas. La tendance est clairement ces dernières années à une menace accrue sur le secteur public et celui de la santé. « Nous sommes aussi très exposés du fait des activités de recherches d’une partie de nos praticiens hospitaliers. Par exemple, pour faciliter les échanges, leurs coordonnées sont facilement disponibles », illustre le RSSI.

Celui-ci a d’ailleurs les chiffres qui l’attestent. En 2022, le CHRU a subi une tentative de phishing toutes les 50 secondes et a reçu un e-mail avec une charge active malveillante toutes les minutes.

« Quand l’Anssi m’appelle pour me dire que notre adresse IP a potentiellement des connexions frauduleuses avec un serveur malveillant, la question est très vite devenue : est-ce qu’on déclenche l’alerte générale ? ». Conscient des enjeux, Jean-Sylvain Chavanne choisit rapidement d’activer le dispositif de crise. Coup de chance, le directeur de garde ce soir-là s’avère être le directeur des systèmes d’information de l’hôpital, qui comprend aisément les risques et l’intérêt d’une réaction rapide et déterminée. Samu, urgences, service de biologie, imagerie médicale… toutes ces fonctions du CHRU sont à la fois « très numérisées et hypercritiques » pour le quotidien et les patients. La décision de couper internet pour éviter une propagation de la menace n’est donc pas prise à la légère. « L’alerte était bien réelle et qualifiée, mais les effets de bord d’une coupure internet ne sont pas négligeables non plus : par exemple, nous n’avions plus de capacité à géolocaliser les ambulances pour les interventions du Samu », souligne le RSSI.

Cellules de crise et investigations croisées

L’expert en cybersécurité appuie pour que les bonnes pratiques soient mises en œuvre au plus vite. Dès une heure du matin, toutes les équipes de nuit en interne sont ainsi notifiées qu’il ne s’agit pas d’un incident technique, mais bel et bien d’une cyberattaque partie pour durer. Il faut ensuite utiliser la nuit à bon escient pour mettre en œuvre des processus dégradés pour les professionnels médicaux.

« À ce stade, j’avais énormément de questions. Est-ce que l’attaquant a vraiment pris le contrôle du système d’information ? A-t-il atteint l’Active Directory (l’annuaire central du système d’information permettant entre autres de gérer les authentifications et autorisations, NDLR) ? Est-ce que nous faisons face à un rançongiciel, à de l’exfiltration de données ? » se remémore Jean-Sylvain Chavanne.

Des investigations croisées entre les équipes du CHRU, de l’Anssi et du CSIRT (computer security incident response team) permettront dès le 10 mars d’avoir des débuts de réponses. L’attaquant a compromis l’ordinateur personnel d’une interne de l’hôpital, subtilisant les identifiants et mots de passe pour accéder à distance au système d’information de l’hôpital. Il s’y connecte à partir d’un « serveur rebond » basé aux États-Unis, un pays qui n’est pas sur la liste noire des services informatiques du CHRU, pour ne pas attirer l’attention. Puis, il va explorer et tester la solidité du système.

« Nous nous sommes rendu compte que ces premiers accès dataient au moins du 21 février. Longtemps avant l’attaque du 9 mars, un premier groupe d’attaquants a fait de la reconnaissance, en utilisant des outils plutôt légitimes, pas des programmes d’attaque », décrit le RSSI brestois. Ce groupe teste des vulnérabilités connues mais échoue car les équipes du CHRU avaient bien appliqué tous les correctifs nécessaires dans les temps. « Le 9 mars, ils sont arrivés avec un tout autre attirail, pour faire une meilleure cartographie et s’en prendre à des vulnérabilités bien moins connues ». C’est ce qui déclenche l’alerte de l’ANSSI. Il est d’ailleurs fort probable que dans le monde devenu très professionnel des cyberattaquants, ce soit un groupe différent qui ait pris le relais après l’échec des éclaireurs.

Bonne nouvelle pour l’hôpital, les pirates ne parviennent pas à élever leurs privilèges dans le système et à atteindre l’Active Directory avant que la décision de couper internet ne soit prise. À partir de là, même si le feu couve et le doute persiste, les équipes du CHRU pourront progressivement travailler à la remédiation.

Profiter au maximum de la coupure d’Internet

« Notre gestion de crise a fonctionné car tout le monde a été à l’écoute de la problématique de cybersécurité dès la soirée du 9 mars. L’engagement des responsables métiers et des médecins eux-mêmes est décisif pour agir vite », commente Jean-Sylvain Chavanne, qui salue l’alignement autour de la cause commune, malgré les impacts sur le quotidien du « mode dégradé » de fonctionnement de l’hôpital, dû à l’absence d’internet. « Cela a également fonctionné parce que nous avons fait le choix d’avoir une double cellule de crise. Une première, institutionnelle, qui a fait les choix et pris les décisions difficiles à partir des impératifs et des questions remontées par les professionnels de santé. Une seconde, opérationnelle, à partir de là, a mis en place les mesures de remédiation et de contournement ». Un canal de discussion commun permanent est créé et deux points de contact par jour permettent de coordonner avec succès l’ensemble.

C’est une des principales leçons que retient Jean-Sylvain Chavanne. « En regardant en arrière, je dois dire que la réaction rapide est très valorisante. Cela nous a permis de couper l’herbe sous le pied des attaquants. L’important dans cette situation est de ne pas chercher à sectoriser : il faut au contraire tout faire pour désiloter, échanger l’information, être transparent ». Selon lui, s’entraîner à la réponse à incident en ce sens change tout, notamment pour les équipes IT.

Les dirigeants du Centre hospitalier de Brest prennent alors une autre décision qu’ils ne regretteront pas : ne pas se précipiter dans la réouverture de leurs services et des systèmes sur Internet. « Cela a été une volonté très claire de notre direction générale : n’ouvrir de nouveau sur Internet que des systèmes sûrs et de confiance. Nous avons donc au maximum profité d’être coupés des réseaux pour réaliser de nombreuses actions que nous ne pouvions jamais faire par le passé et ainsi durcir considérablement notre système d’information », reconnaît le RSSI de l’hôpital.

Le professionnel souligne ainsi l’importance de garder son sang-froid dans un contexte aussi critique, pour ne pas prendre des décisions dommageables. Mais surtout, il appelle à être vigilant sur l’état d’esprit et de santé des collaborateurs : « Au final, la séquence a duré plus de 35 jours. Sur cette période, il faut faire attention à la surcharge et à la sur-implication de certaines personnes. Un administrateur système peut vite aller au burn-out en étant engagé « H24 » ».

Les partages d’expériences comme celui du CHRU de Brest sont amenés à se multiplier, alors que les organisations attaquées gagnent en maturité et peuvent de plus en plus se féliciter lorsque les cyberattaques font beaucoup moins de dégâts que celles qu’elles auraient pu, grâce à une bonne préparation et une réaction rapide. Ceux qui ont vécu ces épisodes ont alors tout intérêt à en faire profiter le reste de l’écosystème. Le Clusif en est persuadé : en janvier 2025, l’association accueillera de nouveaux les responsables cyber des Jeux olympiques pour débriefer publiquement de ce qu’ils auront vécu pendant l’événement majeur de l’été prochain.

Quitter la version mobile