BDI lance ses podcasts. À l’occasion de l’European Cyber Week 2022, nous avons ainsi réuni trois acteurs de la cybersécurité pour revenir sur l’attaque subie par le centre hospitalier de Dax en février 2021. Nicolas Terrade, Responsable de la Sécurité des Systèmes d’Informations (RSSI) de l’établissement, Arnaud Meunier, RSSI du centre hospitalier de Quimper-Cornouaille, et Gilles Larroche, chef de projet au sein du GCS e-Santé Bretagne, nous ont partagé leur éclairage sur cette attaque, mais également sur les apports des écosystèmes régionaux pour prévenir et lutter contre ce type d’attaque. Morceaux choisis de ce dialogue à trois voix, qui porte encore plus avec l’actualité récente des attaques subies par les hôpitaux de Corbeil-Essonnes et Versailles.
La réaction : entre marathon et solidarité
Invité de l’European Cyber Week 2022 pour partager son retour d’expérience sur l’attaque subie en février 2021 par l’hôpital de Dax, Nicolas Terrade, RSSI de l’établissement, a plusieurs fois mentionné le mot “marathon” lors de sa présentation.
Un terme retenu par son homologue de Quimper-Cornouaille, Arnaud Meunier : “Le diagnostic, la remédiation et le retour à la normale du système d’informations, ce n’est pas un sprint. Lorsque des professionnels de santé sont touchés, RSSI comme médecins, il y a énormément de fatigue physique et psychologique.” Nicolas Terrade complète son propos : “Le retour à la normale, c’est un travail de longue haleine. Il ne faut pas aller trop vite ou vouloir brûler les étapes car finalement, c’est là que l’on s’épuise.”
Le deuxième mot fort souligné par Nicolas Terrade : résilience et solidarité. “Les agents du centre hospitalier ont continué leur activité. Ils ont su s’adapter, prodiguer des soins sans forcément avoir les antécédents des patients. L’ensemble des agents, des secteurs administratif et médical, nous ont fourni un appui considérable lors de la remise en état des systèmes.”
Enfin, Gilles Larroche, chef de projet au sein du GCS (Groupement de coopération sanitaire) e-Santé Bretagne retient “le temps long et les impacts à court et moyen termes sur les systèmes d’information et sur certains services comme celui de la radiothérapie pour lesquels les médecins de Dax ont été contraints d’accompagner les patients dans d’autres établissements.”
Ecoutez le podcast sur votre plateforme habituelle.
L’impact sur le métier de RSSI
La cyberattaque a eu des impacts sur l’activité du centre hospitalier de Dax, mais aussi sur la vision du métier de RSSI. “Dans le cadre de projets, nouveaux comme anciens, nous embarquons cet aspect sécurité dès le départ, explique Nicolas Terrade. Cela implique forcément une latence dans le cadre de la gestion du projet. Mais ce n’est pas une latence négative. C’est une latence plutôt positive qui permet d’implémenter une couche de sécurité. Désormais, nous avons un poids plus fort dans la prise de décision. Un éditeur de solutions n’avait, par exemple, pas répondu aux prérequis que nous avons fixés depuis. Nous avons donc changé de solution.”
Arnaud Meunier n’a, lui, pas été touché, la cyberattaque de Dax a tout de même eu un effet sur son métier et la vision qu’il s’en fait. “Prochainement, je vais me rendre à Dax pour échanger pour comprendre ce qui est arrivé et ce qui arrivera peut-être. Si on ne comprend pas, on ne pourra pas faire notre métier qui est de protéger la continuité des soins au sein de l’hôpital.”
La perception de la cybersécurité
En février 2021, la cyberattaque a fait l’effet d’une bombe. Médiatiquement et politiquement, le pays a compris que même les établissements de santé, malgré leur rôle bienveillant, pouvaient eux aussi être victimes de hackers. Les membres du centre hospitalier de Dax ont été sollicités dans les médias, mais aussi auprès du président de la République. Lumière a donc été faite sur les besoins en cybersécurité et les moyens à mettre en œuvre pour protéger les établissements publics. “Désormais, les agents de santé de Dax sont très sensibilisés, souligne Nicolas Terrade. De plus, la direction de l’hôpital a intégré dans son budget le coût du nouveau système de sécurité. Ce qui n’était pas le cas avant.” Arnaud Meunier abonde : “Il y a eu un avant et un après. Les médias ont travaillé pour nous afin de sensibiliser en relayant l’attaque. En termes de besoin, ce sont des ressources humaines et moins financières qui sont nécessaires. Des gens de maîtrise de sécurité des systèmes d’information qui vont installer, paramétrer et exploiter les solutions de cybersécurité.”
Les moyens mis en place en Bretagne pour la cybersécurité
En Bretagne, les établissements peuvent compter sur le GCS e-Santé Bretagne ou Biotech Santé Bretagne pour consolider les acquis en matière de cybersécurité. “Nous travaillons sur la mise en relation des RSSI afin qu’ils échangent, avance Gilles Larroche. Nous tâchons également de sensibiliser les professionnels. En lançant des campagnes de faux mails par exemple. Enfin, la Région Bretagne a une priorité : c’est d’avoir un partenaire de réponse aux incidents de sécurité et d’avoir des prestataires pour préparer et accompagner les établissements de santé pour gérer ces crises.”
La présence future ou actuelle des écosystèmes régionaux
En Bretagne, les établissements de santé peuvent actuellement compter sur un écosystème solide et en continuelle croissance. La présence de l’armée, à travers la DGA, d’écoles dédiées et, à l’avenir, de l’ANSSI fait de la région un moteur pour le pays en matière de cybersécurité. “Pour le côté académique, cela permet aux entreprises ou aux établissements d’intégrer des alternants dans leurs équipes, comme c’est le cas au GCS e-Santé Bretagne, indique Gilles Larroche. Au niveau des armées, je pense que nous aurons tout intérêt à nous rapprocher d’eux pour bénéficier de leur expertise.” Pour Arnaud Meunier, cette richesse en termes de structures est un soutien de poids au quotidien : “Le GCS e-Santé Bretagne fait un travail formidable pour animer le réseau de RSSI. La Bretagne est une terre de cybersécurité qui permet de fédérer les écoles, la recherche et les entreprises. Je suis ravi d’y exercer.”
Prochainement, la Bretagne sera, comme les autres régions françaises, dotée d’un CSIRT (centre de réponse à incident de cybersécurité) et d’un campus cyber. Pour Nicolas Terrade, le CSIRT de Nouvelle Aquitaine “aurait pu apporter un soutien supplémentaire de proximité. À l’avenir le campus cyber et le CSIRT vont amener de nouvelles solutions déployées sur du court terme avec la garantie d’avoir un retour beaucoup plus rapide. L’intérêt réside dans la mise à disposition de solutions, de se sentir épaulé car c’est important de ne pas se sentir seul dans ces situations.”
