Le 5 mars, le groupe Rainbow Guyane a découvert que tous ses fichiers informatiques avaient été cryptés par des hackers. Grâce à de bonnes pratiques – sauvegarde quotidienne des fichiers et rédaction d’une procédure dégradée notamment – le travail a repris quasiment normalement au bout de vingt-quatre heures. La rançon n’a pas été payée. Les cyberattaques contre les établissements de santé se sont multipliées durant cette épidémie de Covid-19 où ils étaient particulièrement sous tension.
Le 5 mars 2021 restera longtemps gravé dans la mémoire de Julien Fouquet. Embauché depuis moins de deux ans par le groupe Rainbow Guyane, le responsable des systèmes d’information (SI) a subi une cyberattaque au rançongiciel (ransomware en anglais). Ces logiciels malveillants prennent en otage les données informatiques d’une structure, les cryptent et réclament une rançon à la victime pour les lui rendre. Mais Rainbow Santé n’a pas payé de rançon et a réussi à récupérer ses données.
C’est l’une des conséquences inattendues de cette épidémie de Covid-19 : les cyberattaques se sont multipliées contre les établissements de santé. Dans l’Hexagone, les hôpitaux de Dax (Landes) et Villefranche (Rhône) sont les victimes les plus connues. A Düsseldorf (Allemagne), ces attaques ont coûté la vie à une patiente. Les hackers ont vite compris que les établissements de santé, mis sous pression par l’épidémie, seraient des victimes plus enclines à répondre à leurs desiderata. Les petits établissements, qui ont souvent moins les moyens financiers et humains d’investir dans la sécurité de leurs systèmes d’information, sont des proies d’autant plus tentantes.
Ce 5 mars au matin, plusieurs professionnels du groupe Rainbow Guyane signalent des difficultés informatiques à Julien Fouquet. L’un d’eux n’arrive plus à accéder au dossier patient informatisé (DPI) Osiris. Un autre a des problèmes avec Géocom, l’outil de gestion des plannings. Le fichier des ressources humaines n’est plus du tout exploitable. « Cet empilement de problèmes m’a interpellé, se souvient l’informaticien. J’ai été regarder le dossier système et j’ai eu une vision d’horreur, comme on en voit dans les documentaires. » Sa vision d’horreur ? Tous les fichiers informatiques du groupe se terminaient par la même extension : .barak. « J’ai compris qu’on était victime d’une cyberattaque. »
Son premier réflexe ? Isoler le serveur en le coupant de l’extérieur. Il n’est donc plus accessible que lorsque l’on est sur le réseau de l’entreprise. « Quand j’ai vu que l’attaque s’arrêtait, j’ai compris que ça venait de l’extérieur. » L’agresseur est identifié et Julien Fouquet lui bloque sa porte d’entrée au niveau du pare-feu. L’attaque est stoppée mais les données ont été cryptées. Impossible de les récupérer sauf à payer une rançon généralement équivalente à 1 dollar américain par fichier. La demande, Rainbow Guyane l’a reçue mais Julien Fouquet ne l’a pas ouverte. « Je ne suis pas joueur au point d’aller voir un fichier crypté par un hacker, mais en général, c’est la règle. Et le hacker propose de payer en bitcoin (cryptomonnaie) pour être tranquille. » Le tout, sans garantie de récupérer ses fichiers.
Le groupe Rainbow a aussi immédiatement alerté l’ARS. C’est très important car l’ARS guide les établissements et professionnels de santé touchés par un tel événement et s’assure que la sécurité des patients reste garantie.
Comment reprendre un fonctionnement normal dans ces circonstances ? C’est là que Rainbow Guyane peut se féliciter des bonnes pratiques instaurées par son responsable des systèmes d’information. « Nous effectuons des sauvegardes tous les jours. » Il lui faudra vingt-quatre heures pour restaurer le système. « Plus quelques heures pour vérifier si toutes les données étaient là puis tout reconfigurer. » Une procédure dégradée avait également été rédigée en cas d’attaque. « Au bout de vingt-quatre heures, en interne, tout fonctionnait », salue Estelle Richard, directrice générale de Rainbow Guyane.
Reste la dernière étape : le serveur ayant été isolé, il faut rétablir un accès à tous les professionnels, soignants ou administratifs, qui travaillent depuis l’extérieur. « En hospitalisation à domicile (HAD), on n’a pas le choix. Nous travaillons sur plusieurs sites et les médecins doivent pouvoir se connecter depuis chez eux », souligne-t-elle. Il faudra deux semaines et demie à Julien Fouquet pour mener ce chantier, grâce à la mise en place d’un VPN. « Sa mise en place faisait partie des points à améliorer dans l’analyse du risque que nous avions réalisée », reconnaît Julien Fouquet.
« Il a géré cela de main de maître, se satisfait sa patronne. Quand on est un établissement de santé, le système d’information n’est pas forcément notre préoccupation principale. On a avancé sur ce sujet. Si nous ne l’avions pas embauché, nous aurions tout perdu. Depuis notre petit établissement de santé en Guyane, j’étais loin d’imaginer que l’on puisse être attaqué ! » Et pourtant… Rainbow Guyane n’aura pas été la seule victime. Un pharmacien de l’Île-de-Cayenne, par exemple, a subi une attaque similaire.
Estelle Richard retient trois règles de cet événement : « Travailler sur son système d’information, se dire que ça n’arrive pas qu’aux autres et vérifier que l’on est assuré pour ces choses-là. »
- Comment les trois centres hospitaliers se protègent
Les trois centres hospitaliers du territoire avancent eux aussi pour se prémunir des pirates informatiques. « En tant qu’opérateurs d’importance vitale, les trois centres hospitaliers de Guyane sont soumis à la directive européenne NIS », explique Jean-Michel Valier, responsable de la sécurité des systèmes d’information au centre hospitalier de Cayenne. Vendredi, il a justement remis, à la demande de l’ARS, un audit sur la sécurité des systèmes d’information des trois établissements du Groupement Hospitalier de Territoire. Régulièrement, il rend compte à l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi) de leurs avancées sur ce sujet.
« Nos systèmes sont protégés à un certain niveau. Nous ne sommes pas à la rue. Mais nous continuons de renforcer nos systèmes. Dès 2018, nous avons fait l’acquisition de pare-feu intelligents. Dès qu’ils repèrent quelque chose de suspect, ils vont le bloquer. Le mois dernier, nous étions encore en formation sur ce sujet. »
Les attaques contre les serveurs des hôpitaux sont quotidiennes. « Il y en a entre 30 et 100 par jour, témoigne Jean-Michel Valier. Ce sont des attaques qui sont automatisées. Dès qu’il y a une adresse qui est exposée, il y a des scripts qui vont la scanner. » En moyenne, pour débusquer une attaque, il faut 90 jours. « Cela signifie que quand on en repère une, le hacker est dans votre système depuis trois mois. » Des outils permettent de repérer ces invités indésirables et de les rediriger vers une copie du système d’information de l’établissement, mais coupée du cœur du réacteur.
Les éléments les plus fragiles sont connus. Sans surprise, ce sont les serveurs de messagerie, d’accès à internet et d’accès à distance au serveur des hôpitaux. C’est par ce dernier que les hackers se sont introduits dans le réseau de Rainbow Guyane. Autres difficultés des établissements de santé : ils comptent beaucoup d’utilisateurs, énormément d’équipements connectés qui sont autant de failles potentielles. Et beaucoup d’intervenants extérieurs qui se connectent à l’informatique de l’hôpital. « Nous avons une sécurisation pour cibler toutes les connexions externes et avoir un retour sur ce qui s’est passé, poursuit Jean-Michel Valier. Les audits ont révélé que plusieurs serveurs et protocoles n’étaient pas à jour, que certaines adresses n’étaient pas assez protégées. Cela nous a donné une feuille de route pour améliorer la sécurité. »
On March 5, the Rainbow Guyana group discovered that all of its computer files had been encrypted by hackers. Thanks to good practices - daily backup of files and writing of a degraded procedure in particular - work resumed almost normally after twenty-four hours. The ransom has not been paid. Cyber attacks against health establishments have multiplied during this Covid-19 epidemic where they were particularly under pressure.
March 5, 2021 will remain etched in the memory of Julien Fouquet for a long time. Hired for less than two years by the Rainbow Guyane group, the information systems (IS) manager suffered a ransomware cyberattack. This malware takes computer data in a structure hostage, encrypts it and demands a ransom from the victim to return it. But Rainbow Health did not pay a ransom and managed to recover its data.
This is one of the unintended consequences of this Covid-19 epidemic: cyber attacks have multiplied against healthcare establishments. In France, the hospitals of Dax (Landes) and Villefranche (Rhône) are the best known victims. In Düsseldorf (Germany), these attacks claimed the life of a patient. Hackers quickly realized that healthcare establishments, put under pressure by the epidemic, would be victims more inclined to respond to their wishes. Small establishments, which often have less the financial and human resources to invest in the security of their information systems, are all the more tempting prey.
On the morning of March 5, several professionals from the Rainbow Guyane group reported IT difficulties to Julien Fouquet. One of them can no longer access the Osiris electronic patient record (DPI). Another has problems with Géocom, the schedule management tool. The human resources file is no longer usable at all. "This pile of problems struck me," recalls the computer scientist. I went looking at the system folder and had a horror sight, like you see in documentaries. "His horror sight? All of the group's computer files ended with the same extension: .barak. “I understood that we were the victim of a cyber attack. "
His first instinct? Insulate the server by cutting it off from the outside. It is therefore only accessible when you are on the company network. “When I saw that the attack was halting, I knew it was coming from outside." The attacker is identified and Julien Fouquet blocks his front door at the firewall. The attack is stopped, but the data has been encrypted. Unable to recover them unless you pay a ransom usually equivalent to US $ 1 per file. Rainbow Guyane received the request but Julien Fouquet did not open it. "I'm not so much of a gamer that I go and see a file that has been encrypted by a hacker, but in general, that's the rule. And the hacker offers to pay in bitcoin (cryptocurrency) to be quiet." All without any guarantee of recovering its files.
The Rainbow group also immediately alerted the ARS. This is very important because the ARS guides the establishments and healthcare professionals affected by such an event and ensures that patient safety remains guaranteed.
How to resume normal operation under these circumstances? This is where Rainbow Guyane can congratulate itself on the good practices established by its information systems manager. “We do backups every day. It will take him twenty-four hours to restore the system. Plus a few hours to check if all the data was there and then reconfigure everything." A degraded procedure had also been drafted in the event of an attack. "After twenty-four hours, internally, everything was working", greets Estelle Richard, general manager of Rainbow Guyane.
The last step remains: the server having been isolated, access must be restored to all professionals, carers or administrators, who work from outside. "In home hospitalization (HAD), we have no choice. We are working on several sites and doctors must be able to connect from home, ”she emphasizes. It will take two and a half weeks for Julien Fouquet to complete this project, thanks to the establishment of a VPN. "Its implementation was one of the areas for improvement in the risk analysis that we carried out", recognizes Julien Fouquet.
"He managed this with a masterful hand," his boss is satisfied. "When you are a health establishment, the information system is not necessarily our main concern. We have made progress on this subject. If we had not hired him, we would have lost everything. From our small health establishment in French Guiana, I was far from imagining that we could be attacked! ” And yet ... Rainbow Guyane was not the only victim - a pharmacist in Cayenne, for example, suffered a similar attack.
Estelle Richard retains three rules for this event: "Work on your information system, tell yourself that it doesn't only happen to others and check that you are insured for these things. "
- How the three hospitals protect themselves
The three hospitals in the territory are also making progress to protect themselves from hackers. "As operators of vital importance, the three hospitals in French Guiana are subject to the European NIS directive," explains Jean-Michel Valier, head of information systems security at the Cayenne hospital center. On Friday, he submitted, at the request of the ARS, an audit on the security of the information systems of the three establishments of the Groupement Hospitalier de Territoire. It regularly reports to the National Information Systems Security Agency (ANSSI) on their progress on this subject.
“Our systems are protected at some level. We are not on the street. But we continue to strengthen our systems. As early as 2018, we acquired smart firewalls. As soon as they spot something suspicious, they'll block it. Last month, we were still in training on this subject. "
Attacks against hospital servers are daily. “There are between 30 and 100 a day,” says Jean-Michel Valier. These are attacks that are automated. As soon as there is an address that is exposed, there are scripts that will scan it. On average, it takes 90 days to flush out an attack. “This means that when you spot one, the hacker has been in your system for three months. Tools are used to identify these unwanted guests and redirect them to a copy of the facility's information system, but cut off from the reactor core."
The most fragile elements are known. Unsurprisingly, these are the mail servers, Internet access and remote server access in hospitals. It was through the latter that hackers entered Rainbow Guyane's network. Other difficulties for healthcare establishments: they have a lot of users, a lot of connected equipment which are all potential flaws. And a lot of outside workers who connect to the hospital's IT. "We have security to target all external connections and have feedback on what happened," continues Jean-Michel Valier. " The audits revealed that several servers and protocols were not up to date, that some addresses were not sufficiently protected. It gave us a roadmap to improve safety. "
passer une petite annonce
passer une annonce de covoiturage
passer une annonce d’emploi
associations, postez vos actualités
participez au courrier des lecteurs
Lancements 2022
Vol 259 Ariane 5