CHU de Rouen : autopsie d’une cyberattaque

Une cellule de crise en place 2 heures après l’incident de sécurité

Ce constat alarmant de l’état du système d’information du CHU entraîne la formation quasi immédiate d’une cellule de crise et le rappel du personnel. En effet, les premières constatations font état d’une attaque de grande ampleur, car le RSSI découvre des fichiers chiffrés tant sur les serveurs de production métier que sur des postes de travail.

« Nous avons rapidement dispatché les équipes sur différents pôles de compétences ».

Le rappel du personnel est alors très rapide. En moins de 2 heures, 20 personnes ont rejoint la cellule de crise. Elles seront 30 au plus fort de l’événement. Il est vendredi 15 novembre, 21h30, Sylvain François, DSI du CHU de Rouen prend la tête de la cellule de crise. Le DSI explique ses premières actions : « nous avons rapidement dispatché les équipes sur différents pôles de compétences, notamment techniques pour endiguer le virus, puis remédier à l’incident. Ma mission a été d’assurer la coordination de la cellule de crise en lien avec les instances internes et externes de l’établissement, Ministère de la Santé et l’ANSSI ».

Le DSI assure le pilotage de la cellule de crise et le RSSI et son adjoint ont une place dans la gouvernance. La coordination technique étant assurée par le DSI adjoint, Yan Chevrel. Le RSSI devait assurer la fluidité de la communication avec le Directeur de la Communication ainsi qu’avec les métiers et les instances FSSI (Fonctionnaire de Sécurité des Systèmes d’Information) et l’ANSSI.

Très rapidement, le HFDS (Haut Fonctionnaire de Défense et de Sécurité) est prévenu, de même que le CERT de l’ANSSI sur lequel le RSSI va pouvoir s’appuyer, notamment dans la phase d’identification puis de remédiation. Le DSI ajoute : « nous avons rapidement déclaré un événement grave de sécurité sur le portail national, ce qui nous a permis d’être mis en relation très rapidement avec les équipes de l’ANSSI notamment. Le ministère a aussi rapidement réagi de même que des personnes de l’Agence Régionale de Santé qui sont venues nous apporter leur aide ».

« Nous avons rapidement déclaré un événement grave de sécurité sur le portail national, ce qui nous a permis d’être mis en relation très rapidement avec les équipes de l’ANSSI notamment. »

Dans cette phase, il est important de définir une bonne gouvernance afin de coordonner le travail des différentes équipes, mais aussi mesurer l’effort, car l’éradication de la menace puis la remédiation imposent un travail sur plusieurs jours et donc organiser un roulement des équipes. « Il faut aussi bien dispatcher les compétences aux bons endroits et au bon moment pour pouvoir avancer le plus rapidement possible sur les différentes opérations. Il faut aussi ne pas négliger la phase communication qui est très importante lors de ce type d’événement ».

La phase d’identification de la menace réserve une surprise au RSSI

La première action de la cellule de crise est bien évidemment de se livrer à un état des lieux de l’attaque et identifier plus précisément de quel type d’attaque il s’agit. Très vite il apparaît qu’il s’agit d’un ransomware fonctionnant avec un service Windows et un exécutable permettant de chiffrer les documents sur les serveurs et postes de travail. « Nous avons réussi très rapidement à rendre l’attaque inopérante, mais cette phase d’identification nous a permis de constater qu’un attaquant s’était emparé d’un contrôleur de domaine et était en train de propager son ransomware de manière manuelle et effectuant une élévation de privilège via des comptes de notre Active Directory ».

Cette phase d’identification est menée entre 21 h 45 et 22 h 30 et, en parallèle, le RSSI organise le cloisonnement du système d’information pour contenir la menace. Le DSI doit prendre la décision de couper tous les flux Internet pour isoler le système d’information de l’extérieur, puis vers minuit la décision est prise de couper tous les flux internes pour éviter tout risque de propagation du malware sur des serveurs encore sains.

« Dès le mardi suivant l’incident, nous avions de 60 à 70 % des applications touchées qui avaient été restaurées. »

Enfin, toutes les sauvegardes sont arrêtées afin de préserver les sauvegardes le plus longtemps possible. Dès les phases initiales de traitement de l’attaque, il faut penser à la remédiation et la restauration des données afin de pouvoir remettre en ligne les applications le plus vite possible. L’objectif fixé était de restaurer les services critiques a minima dès le dimanche soir, puis s’attacher à restaurer les applications relatives à l’administration du CHR le lundi. « Dès le mardi suivant l’incident, nous avions de 60 à 70 % des applications touchées qui avaient été restaurées », ajoute le RSSI adjoint Cédric Hamelin.

Des machines Linux épargnées par l’attaque

Heureusement pour la DSI, seuls les systèmes Windows ont été affectés, bien que ceux-ci soient à jour en termes de patchs de sécurité et tous dotés d’antivirus. « Cela n’a pas empêché l’attaquant de propager son ransomware », déplore Cédric Hamelin qui a néanmoins bénéficié du fait que les serveurs Linux n’ont pas été affectés par l’attaque, ce qui a mis à l’abri toutes les bases de données Oracle du CHU.

« Nous avions comme stratégie de ne pas concentrer toutes nos applications sur un seul type de serveur. Un cloisonnement réseau était en place ainsi qu’une séparation entre applications métiers sous Microsoft Windows et des bases de données Oracle sous Linux. Cette stratégie de ne pas faire tourner l’intégralité du système d’information sur une seule technologie a permis d’éviter que le système d’information ne soit impacté par l’attaque dans sa totalité ».

Autre choix pertinent du CHU de Rouen, isoler son réseau de téléphonique IP (ToIP) de son réseau IT. Celui-ci n’a pas été affecté par l’attaque, ce qui n’a rien d’un détail, car la communication va rapidement s’imposer comme un problème important à gérer par la cellule de crise.

« Notre messagerie était rendue inopérante, donc nous n’avons pas pu envoyer un email pour informer le personnel de la situation. »

« Notre messagerie était rendue inopérante, donc nous n’avons pas pu envoyer un email pour informer le personnel de la situation », explique Cédric Hamelin. « Le pilote de la cellule de crise a alors décidé d’être parfaitement transparent et d’envoyer du personnel sur le terrain auprès des services critiques, notamment les urgences, la stabilisation, les plateaux techniques, les groupes opératoires pour leur expliquer la situation et accompagner les métiers sur ce qui fonctionne et ce qui ne fonctionne pas ».

Ces personnes ont alors joué le rôle de relais entre la cellule de crise et les métiers, une démarche qui a été très appréciée, car les personnels soignants ont vu des personnes sur le terrain et ont pu constater la réactivité. Une dizaine de personnes venues en renfort à partir de minuit ont ainsi été déployées sur le terrain pour améliorer la communication qui se faisait alors par téléphone.

La communication de crise, un exercice difficile à gérer

Si la cellule de crise a rapidement pris des mesures fortes pour tenir le personnel du CHU au courant de la situation et rassurer les soignants sur l’implication de la DSI pendant tout le Week-end, la communication externe va être bien plus complexe à gérer.

« Nous avons mis la communication externe un peu de côté lors du week-end, car nous n’avions pas de messagerie », reconnaît le RSSI. « Nous avons accordé la priorité à la communication interne, mais rapidement nous avons vu des communications sur les réseaux sociaux de personnels qui ont divulgué des informations sur cette attaque, puis des articles publiés dans la presse. Parfois des informations qui étaient vraies, parfois des informations qui étaient préjudiciables pour l’établissement ».

Tout le week-end, la cellule de crise s’est attachée à restaurer les applications critiques nécessaires à la prise en charge les patients dans les meilleures conditions, mais dès le lundi matin celle-ci organise sa communication auprès de la presse. « J’ai accompagné notre Directeur de la Communication pour qu’il publie un premier communiqué de presse sur notre site internet et les réseaux sociaux. Enfin, j’ai fourni des éléments de réponse pour les journalistes afin de rassurer le public vis-à-vis de la réalité du terrain ».

Après deux journées très compliquées pour le personnel de l’établissement, la DSI est parvenue à rétablir une activité quasi normale dès la semaine suivante. La communication a pu prendre le relais pour adopter un discours positif, expliquer ce qui a été fait et montrer la dynamique qui a pu être mise en place pour faire face à cette crise.

« Avec le recul, je dirais que cette crise a été bénéfique sur plusieurs plans. »

Dressant un bilan de cette crise, Cédric Hamelin en retire quelques points positifs : « avec le recul, je dirais que cette crise a été bénéfique sur plusieurs plans. Celle-ci a ressoudé la communication entre les équipes de la DSI et démontré que chacun avait un rôle à jouer dans une attaque de cette ampleur. Le lundi une centaine de personnes ont accompagné les équipes qui étaient là depuis le début du Week-end. De même, suite à cette crise nous avons un lien plus fort avec le DSI adjoint, une écoute qui continue aujourd’hui et s’est améliorée au fil du temps ».