Le CHwapi, objet d'une cyberattaque, tangue mais ne coule pas

D'après la direction du centre hospitalier de Wallonie picarde, l'établissement a fait l'objet d'une cyberattaque "sans précédent" dimanche dernier à 20h46 précise. Heureusement, elle a été immédiatement repérée et le plan d'urgence hospitalier technique a été immédiatement déclenché. Les serveurs ont été déconnectés du réseau dans l'heure qui a suivi.

...

Ce mardi, certaines applications ne sont toujours pas opérationnelles, avec des conséquences sur le planning des interventions chirurgicales. Les opérations programmées ont été postposées sur les sites Notre-Dame et IMC. Sur le site Union, certaines interventions doivent encore être reportées. Selon la direction, l'activité devait revenir à la normale mercredi. Les consultations sont totalement maintenues depuis mardi matin, certaines ayant été annulées dans la journée de lundi. Seuls 80 serveurs sur les 300 qu'utilise l'hôpital ont été impactés. Il est confirmé que ceux-ci contenaient des données et des programmes importants pour faire fonctionner l'institution, dont notamment tous les systèmes de courriers et de vidéoconférences sur lesquels l'essentiel des échanges de communication sont basés. Ils ne seront réactivés qu'un par un, au fil de leur vérification ou réparation. Des spécialistes en sécurité digitale venus de Lille, toute proche, sont venus en renfort des experts du département informatique du CHwapi, ainsi que des experts de la Computer Crime Unit de la police fédérale. De manière imagée, le directeur Didier Delval explique que "la maison CHwapi" n'a pas été cambriolée. "On ne nous a rien volé, il n'y a rien de cassé. Les hackers ont juste changé la serrure de la maison ; toute la maison. Aucune demande de rançon n'a été demandée et on ne connaît toujours pas l'objectif poursuivi". D'après Sud-Presse, à Tournai, une autre société a été victime de cette attaque et a décidé de payer la rançon. La direction insiste sur le fait que la base de données patients n'a pas été détruite ou modifiée et qu'il n'y a pas eu de vol de données. Par souci de sécurité, elle a néanmoins suspendu les opérations programmées, l'accès aux images médicales passées étant suspendu. Une centaine d'opérations prévues ce lundi ont donc été annulées. Dans le même ordre d'idée, l'hôpital a dû fermer son service d'urgence, "les urgences vitales étant transférées vers d'autres hôpitaux". C'est le service 100 qui assure cette répartition. Pratiquement, les membres du Chwapi doivent travailler sans accès à leurs mails, sans internet et sans réseau d'impression. Ils doivent repasser au vieux mode "papier" pour identifier les patients et tracer les informations des patients traités. Mais le dossier patient, qui contient le "passé" du patient est déjà accessible, même si c'est en mode dégradé et lent. Par contre, la téléphonie fonctionne, ainsi que l'intranet, qui a été préservé. L'hôpital, qui est un Hub de vaccination Covid, continue à dispatcher les doses du vaccin vers les maisons de repos qu'il dessert. Les cyberattaques se font généralement à l'aide d'un "ransomware", une sorte de logiciel malveillant qui bloque l'accès à un site ou un ordinateur jusqu'à ce que la victime envoie une somme d'argent contre une clé pour reprendre le contrôle de la machine. D'après Check Point Research (CPR), un fournisseur de solutions de sécurité informatique, on constaterait une augmentation de 45% du nombre de cyberattaques mondiales contre des organismes de santé au cours des deux derniers mois. "Les hôpitaux semblent être des cibles attrayantes pour les cybercriminels, car ils sont plus disposés à se conformer aux demandes de rançon dans le climat actuel. La pression écrasante due à l'augmentation rapide du nombre de patients et aux récents programmes de vaccination, rend les hôpitaux vulnérables", commente la société. Cette augmentation serait le double de l'augmentation (+22%) des cyberattaques dans tous les autres secteurs. Le nombre moyen d'attaques hebdomadaires dans le secteur des soins de santé a atteint 626 par organisation en novembre, contre 430 en octobre. Pour Omer Dembinsky, Manager Data Intelligence chez Check Point, "Toute interruption des opérations hospitalières serait donc catastrophique à ce stade de la crise sanitaire. Selon ce raisonnement, de nombreux réseaux hospitaliers dans le monde ont déjà été touchés avec succès par des attaques au cours de l'année dernière. Les ransomware permettent aux attaquants de frapper les parties les plus critiques d'une organisation et d'avoir une chance plus grande d'être payés". Pour l'expert, "Les attaques de type Ryuk et autres types d'exploitation de logiciels contre rançon commencent généralement par une infection initiale par un cheval de Troie. Les professionnels de la sécurité doivent donc rechercher les infections Trickbot, Emotet, Dridex et Cobalt Strike au sein de leurs réseaux et les éliminer à l'aide de solutions de chasse aux menaces, car elles peuvent toutes ouvrir la porte à Ryuk". Il insiste: "la plupart des attaques de logiciels contre rançons de l'année dernière ont eu lieu le week-end et pendant les vacances, lorsque le personnel informatique et de sécurité est moins susceptible de travailler".