Les hôpitaux du Vaucluse déploient une solution mobile de reprise d’activité
Avec sa « clean room », le Groupement hospitalier du Vaucluse est capable de redémarrer rapidement après une cyberattaque. Le système donne satisfaction et devrait être étendu à d’autres établissements de la région PACA.
Il n’aura échappé à personne que les cyberattaques contre les hôpitaux et autres établissements de santé continuent de survenir à un rythme significatif. Le nombre de compromissions et d’attaques avec ransomware apparaît stable, l’an dernier, par rapport à 2023. La situation n’est pas une spécialité française et le monde occidental en particulier connaît depuis plusieurs années une recrudescence sur de tels incidents.
Le numérique, oublié de l’Hôpital ?
« La fragilité des systèmes d’information hospitaliers tient à leur complexité croissante, mesurée en nombre d’applications, sans équivalent dans d’autres secteurs d’activité (jusqu’à 1 000 applications pour les CHU les plus importants) et au sous-investissement chronique dans le numérique (1,7 % du budget d’exploitation en moyenne contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation). Auxquels s’ajoutent l’obsolescence de plus de 20 % des équipements (postes de travail et serveurs ayant un système d’exploitation ne faisant plus l’objet de maintenance, équipements de réseaux et applicatifs “métiers” ne pouvant plus être réparés ou mis à jour) et la prise en compte insuffisante des enjeux de cybersécurité par le personnel hospitalier », relevait la Cour des comptes début janvier.
Après la première attaque massive qui avait touché le CHU de Rouen en 2019, les différentes Agences Régionales de Santé (ARS) ont commencé à prendre en compte des menaces dont les conséquences financières se chiffrent en millions d’euros. Dans la continuité, un budget national de 750 millions d’€ a été alloué jusqu’en 2027 dans le cadre d’un programme baptisé CARE (Cybersécurité Accélération et Résilience des Établissements).
L’ARS PACA prend les devants
L’ARS PACA a lancé en 2020 l’un des premiers Centres de Régionaux de Ressources en Cybersécurité, baptisé CAPSI (Cellule d’appui à la Protection des Systèmes d’Information). Il s’est fixé plusieurs missions comme la prise en compte globale de l’écosystème de santé, la formation et la sensibilisation des utilisateurs, ou encore l’organisation d’exercices de préparation de crise dans la même logique que la préparation aux crises sanitaires, la reconstruction des systèmes et l’entraide au niveau européen.
« Nous avons reconnu la cybersécurité comme un enjeu majeur. »
Géraldine Cornet-GicquelDirectrice des services numériques de l’ARS PACA
« Les attaques sont souvent plus opportunistes que stratégiques sur des endroits mal protégés », précise Michaël de Block, DSI du Groupement Hospitalier de territoire (GHT) du Vaucluse. Il révèle également des intrusions sur l’Active Directory à Carpentras, à cause d’une absence de mise à jour ou une absence de gradation dans l’accès à ce même Active Directory, ou encore des mots de passe mal protégés.
Une autre caractéristique du système hospitalier est la grande diversité de taille des établissements et le nombre très important de logiciels (200 dans le cas du GHT Vaucluse) dont certains sont peu ou pas mis à jour.
« Cette prise de conscience nous a permis de prendre une longueur d’avance dans notre préparation, donnant lieu à des innovations telles qu’une salle de secours mobile dédiée aux hôpitaux victimes de cyberattaques. »
Géraldine Cornet-GicquelDirectrice des services numériques de l’ARS PACA
« Après avoir recensé une cinquantaine d’incidents par an durant les années 2017 et 2018, nous avons reconnu la cybersécurité comme un enjeu majeur. Cette prise de conscience nous a permis de prendre une longueur d’avance dans notre préparation, donnant lieu à des innovations telles qu’une salle de secours mobile dédiée aux hôpitaux victimes de cyberattaques », précise Géraldine Cornet-Gicquel, directrice des services numériques de l’ARS PACA.
C’est ainsi que le GHT du Vaucluse a développé, avec le soutien de l’ARS PACA et en collaboration avec le GIP IESS (Innovation e-Santé Sud), un prototype innovant de « clean room ». Ce dispositif est une salle machine mobile, agile et sécurisée, conçue pour permettre le redémarrage rapide des systèmes d’information essentiels d’un établissement de santé en cas de cyberattaque ou de panne critique.
Un bloc d’ordinateurs sur roulettes
La machine se présente sous la forme d’un bloc sur roulettes d’environ 1 m3 et pesant 200 kg. En cas d’attaque, elle vient s’installer en lieu et place des habituels serveurs et vient les remplacer dans une version réduite.
Selon Michaël de Block, cela permet de redémarrer en 24 heures voire 48 heures et cela peut tenir plusieurs semaines, le temps que l’infrastructure habituelle soit remise en service. Il précise également que cette « clean room » est adaptable à n’importe quel hyperviseur (Vmware, Nutanix, HyperV…) et peut être employée par des informaticiens généralistes.
Cette « clean room » est isolée du reste du réseau et dispose de ses propres sauvegardes, lesquelles permettent de redémarrer. Le coût de la machine est actuellement de 150 k€ et autant pour la préparation avec l’objectif de réduire le prix de 30 %. D’aucuns pourraient trouver ce montant excessif, mais lorsque l’on connaît les coûts de mises à jour de certains systèmes, sans compter les coûts d’un blocage total de l’activité hospitalière ni, bien entendu, les risques que cela peut faire courir aux patients, ce montant peut apparaître dérisoire.
Ce dispositif peut être déployé dans n’importe quel hôpital de la région et le GHT envisage d’en acquérir de nouveaux afin de pouvoir faire face à des attaques simultanées sur les SI hospitaliers. Une vidéo postée par Heliaq (intégrateur Dell Technologies) présente le système. Le dernier mot revient à Michaël de Grock : « nous ne devons pas courir après la performance avant de nous assurer de la robustesse de nos solutions ». La « clean room » a vocation à privilégier cette approche.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)