En novembre 2019, la DSI du CHU de Rouen est parvenue à surmonter une cyberattaque ransomware de grande ampleur, grâce à une restauration réussie. Au-delà du renforcement de la cybersécurité qui en a suivi, le CHU a mis en œuvre une véritable transformation au travers d’un schéma directeur 2020-2024.
Le CHU, premier employeur de la région, compte plus de 10 000 salariés dont 1700 médecins et internes, et accueille chaque année 300 000 patients. L’établissement est aussi le support du GHT (Groupements Hospitaliers de Territoire) Rouen Cœur de Seine, qui regroupe neuf établissements.
La nouvelle Directrice Générale du CHU, nommée en 2018, avait décidé une réorganisation de la DSI. Vétérans du secteur hospitalier, le DSI Sylvain François, et son adjoint Yan Chevrel, sont nommés en 2019 à Rouen. Le DSI endossait un “rôle plus institutionnel” son adjoint plus technique avec une forte compétence en réseaux et infrastructure. L’année de leur arrivée, en novembre 2019, la DSI devait affronter le tsunami d’une cyberattaque.
L’attaque de type ransomware de 2019 était sans précédent. Le cryptolocker avait chiffré les données présentes sur le disque dur, les postes de travail et les serveurs, les rendant inopérants.
Restauration des données après l’attaque ransomware
Afin d’empêcher le virus de se propager, l’équipe informatique avait procédé à un arrêt total du système d’information et déclenché une procédure en mode dégradé. Lorsque les travaux liés au diagnostic et à l’arrêt de la propagation de la cyberattaque ont été réalisés, l’équipe avait pu commencer des opérations de remédiation et de restauration du système d’information.
Certains serveurs ont nécessité une remédiation intégrale, en repartant directement de la sauvegarde de ces serveurs pour retrouver les données saines. La DSI déployait alors la solution Tina d’Atempo, permettant de restaurer les données de l’ensemble des serveurs endommagés et redémarrer les plus critiques à l’aide des dernières versions sauvegardées. (Voir encadré)
Transformer la relation avec les services
La nouvelle DSI avait un plan de route à son arrivée : un schéma directeur 2020-2024, articulé autour de 3 axes : transformer la relation entre la DSI et les utilisateurs, refondre entièrement l’infrastructure, accélérer la mise en œuvre du Dossier Patient Informatisé.
Sur le premier axe, des “visites de services” sont effectuées. Un binôme de l’IT interroge et renseigne les utilisateurs sur les “irritants” de terrain. Au sein de la DSI, 6 managers sont des référents qui se partagent les 13 pôles de l’hôpital.
Avec la crise sanitaire, la télémédecine s’est généralisée : 400 médecins ont été équipés de webcams. Des salles de consultations se sont transformées en salles de téléconsultations avec écran, micro et caméra.
Renforcer la cybersécurité et la sensibilisation
Le traumatisme de la cyberattaque de 2019 a bien sûr accéléré le renforcement de la cybersécurité, explique Yan Chevrel, DSI adjoint, et maître d’œuvre. Deux à trois équivalents temps plein sont impliqués dans la mise en œuvre des actions de la Politique de Sécurité du Système d’Information. Voici un survol du plan vigoureux qui a été déployé :
- une protection “Nord-Sud” et “Est-Ouest” en doublant les firewalls, des Check Point et des Palo-Alto, « au cas où l’un d’eux ne détecterait pas un incident », indique le responsable.
- une micro-segmentation des serveurs avec, à terme, un firewall privatif pour chaque serveur.
- une console d’administration Palo Alto pilote les firewalls des 9 hôpitaux du GHT permettant un panorama global. « Ils sont paramétrés de façon homogène pour tous les établissements » explique ainsi Yan Chevrel. Le seul budget des firewalls s’est élevé à 170 000 euros.
- un EDR Cybereason, « qui a l’avantage d’être encore plus prédictif ».
- la mise en place de systèmes de détection IDS et IPS.
- du côté des utilisateurs, les mots de passe sont “durcis” et renouvelés plus régulièrement.
- un SOC, 24/24H et 7j/7, opéré par Advens, a été mis en place.
- enfin, l’outil Oradad de L’ANSSI permet de faire l’audit de l’Active Directory.
Pour accompagner les employés du CHU, une plateforme de e-learning, Happy Future, a été installée. Elle a pour objectif d’une part, la sensibilisation à la cybersécurité, et d’autre part, la conformité au RGPD, en relation avec le service juridique.
Dossier médical pour 2022
Le troisième axe de la transformation numérique du CHU consiste dans le déploiement, cette année, du Dossier Patient Informatisé. Il s’agit de « remplacer un ensemble de briques logicielles existantes, des développements maisons, par silo, par un outil moderne, standardisé, interopérable », explique le DSI, Sylvain François. Auparavant, chaque département de l’hôpital (urgences, chirurgie, etc.) disposait de son propre logiciel sans réelle communication entre eux, mais « il faut que les informations offrent une vision transverse du dossier patient » complète-t-il. Cet espace partagé représente bien entendu un défi en matière de cybersécurité.
Pour éviter toute intrusion et fuite de données dans les résultats de laboratoire ou à l’imagerie médicale, des serveurs dédiés à chaque unité seront protégés par des firewalls individuels avec micro-segmentation.
Près de 100 personnes,
la force de frappe de la DSI
La DSI du CHU compte près de 100 personnes, employés, et personnel en régie, notamment pour le helpdesk. Les équipes gèrent entre 250 et 300 applications et plus de 150 bases de données, réparties sur 850 serveurs. Le CHU compte 7000 PC et le helpdesk reçoit 40 000 appels par an.
Parmi ces effectifs, figure une quinzaine de “référents Métier”. Des soignants du CHU, non informaticiens, détachés de leur service, effectuent la liaison entre les différentes catégories d’utilisateurs et le service informatique afin de garantir l’expression des besoins Métiers dans le paramétrage des applications.
La sauvegarde avec Tina, au cœur de l’IT
« La sauvegarde est la clé, aussi importante que la sécurisation au plus haut niveau », insiste Sylvain François. Une véritable stratégie de sauvegarde est mise en œuvre au CHU. Les sauvegardes sont quotidiennes et dupliquées. Elles ne vont pas dans le cloud, mais sont stockées localement dans des baies Quantum, récentes.
Elles sont dupliquées hors réseau sur des supports physiques (LTO), une sauvegarde externe stockée dans un coffre sur un lieu distant des salles informatiques. Un robot de sauvegarde a rejoint l’arsenal du stockage du CHU.
Il existe une véritable stratégie de sauvegarde mise en œuvre au CHU, et son “Fil conducteur” est la solution Tina. Pièce maîtresse de l’IT du CHU de Rouen, le logiciel assure tous les types de sauvegarde : quotidienne en ligne, hebdomadaire complète des machines, serveurs de stockage, sites distants, applications et bases de données.
La solution de sauvegarde et de restauration d’Atempo, Tina, était déjà en place lors de la cyberattaque de 2019. « Lors de l’attaque, nous avons pu remonter l’intégralité des données à la suite de la remédiation des serveurs. » explique Sylvain François. « Les experts Atempo nous ont aidés à optimiser la vitesse de restauration de nos serveurs. »
Un expert Atempo est intervenu sur site très rapidement. « En moins de 48h, nous avons réussi à restaurer la quasi-intégralité de nos applications critiques ! » reconnait le DSI.
« Grâce à Tina, l’équipe a pu restaurer les données de l’ensemble des serveurs endommagés et redémarrer les plus critiques à l’aide des dernières versions sauvegardées. »