« Nous sommes encore convalescents » : récit d’une cyberattaque qui a bouleversé un hôpital
Le 11 février 2024, en pleine nuit, un professionnel des urgences du Centre Hospitalier d’Armentières constate des dysfonctionnements inhabituels sur les PC. Il est deux heures du matin lorsqu’il alerte l’équipe informatique d’astreinte. Une heure plus tard, le diagnostic tombe : l’établissement est la cible d’une cyberattaque d’envergure. Ce sera le point de départ d’une crise sans précédent dont l’hôpital n’est pas encore totalement remis à ce jour et qui aura coûté près de deux millions d’euros.
L’enquête menée par la suite permettra de comprendre que les cybercriminels ont pénétré, dès le mois de décembre 2023, le système d’information par un compte VPN compromis. Une fois l’accès obtenu, les attaquants ont déployé des outils de chiffrement qui, in fine, sont parvenus à paralyser 95% du réseau (serveurs et postes de travail). Le 11 février 2024, la cyberattaque se matérialise en outre par les imprimantes de l’établissement qui impriment en boucle un message invitant à se connecter au réseau Tor pour négocier une rançon.
Une gestion de crise en temps réel
Face à l’urgence, la cellule de crise de l’établissement est activée sans délai. Le plan blanc est déclenché, marquant la reconnaissance d’une incapacité à maintenir les activités de soins dans des conditions normales. Le service des urgences doit être temporairement (72 heures) fermé. Les patients sont alors réorientés vers des établissements voisins. « Déclencher le plan blanc, cela signifie rappeler des acteurs de l’hôpital, rappeler des professionnels, mais aussi prévenir tous nos partenaires et mobiliser l’ARS (Agence régionale de santé). C’est forcément un travail réseau, donc une mobilisation majeure, rapide, sur laquelle il faut communiquer très vite », explique Nathalie Borgne, Directrice du Centre Hospitalier d’Armentières, qui s’exprimait lors du Forum INCYBER 2025.
Dans le même temps, le centre hospitalier s’appuie sur les dispositifs nationaux de cybersécurité. Le CERT Santé, contacté dès les premières heures, accompagne les équipes techniques. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est également mobilisée pour orienter les actions et renforcer la communication de crise. Une plainte est déposée dans les 72 heures, conformément aux obligations légales, et le C3N (Centre de lutte contre les criminalités numériques) s’implique dans les investigations.
« Dans notre réponse à incident, deux priorités nous ont guidés. La première était de protéger ce qui était encore protégeable dans le système. Ce fut notamment le cas de l donnée patients, qui est la valeur essentielle dans un établissement de santé. Ensuite, il nous a fallu comprendre ce qui s’était passé pour pouvoir conduire par la suite les actions de reconstruction », déclare Thomas Aubin, RSSI du Centre Hospitalier d’Armentières.
Continuité des soins : un retour aux fondamentaux
Contrairement à d’autres secteurs où l’activité peut être suspendue, l’hôpital ne peut s’arrêter. Durant les premières 72 heures, le personnel s’adapte à une situation dégradée inédite. Les prescriptions se font à la main, les examens biologiques sont transportés physiquement, les échanges entre services se font avec des moyens « papier ». Cette résilience repose en partie sur la capacité des équipes à réactiver des pratiques manuelles, parfois oubliées par les jeunes générations de soignants habituées à la numérisation totale des procédures.
« Une cyberattaque, cela paraît technique, mais c’est surtout un enjeu stratégique majeur, car nous devons maintenir l’activité de soins aux patients. Comme plus rien ne fonctionne sur le terrain, il est nécessaire de toute repenser et faire autrement. Cette période d’activité sous contrainte met en lumière l’importance de l’intergénérationnel au sein des équipes », complète Nathalie Borgne.
Reconstruction : tirer les leçons pour l’avenir
Une fois la phase d’urgence passée, vient le temps de la reconstruction. Le Centre Hospitalier choisit de ne pas rebâtir son système d’information à l’identique. « Quand on reconstruit, on peut soit choisir de reconstruire très vite, mais potentiellement mal, soit prendre son temps et concevoir un SI à l’état de l’art. Il faut alors prendre en compte les vulnérabilités connues et inconnues, donc auditer son système avant d’agir. Il faut ensuite mettre en œuvre les bonnes pratiques en fonction de la menace », précise Thomas Aubin.
L’établissement s’est notamment appuyé sur les guides publiés par l’ANSSI et sur l’aide et l’accompagnement d’un certain nombre de sociétés spécialisées en cybersécurité. « Nous avons également pu bénéficier du programme CaRE qui permet de monter le niveau de sécurité des systèmes d’information dans le secteur hospitalier. Cela nous a permis d’accélérer notre démarche », note Thomas Aubin.
Le processus est long et complexe. Plus d’un an après l’attaque, le Centre Hospitalier d’Armentières n’est toujours pas revenu à une situation complètement « normale ». « Beaucoup de gens pensent que notre établissement est revenu à la normale très rapidement. Il n’en est rien. Nous n’avons pas encore terminé, nous sommes encore convalescents, nous avons encore au moins une béquille. Les conséquences durent longtemps et la cyberattaque a un vrai impact sur les professionnels et sur le management d’une structure », conclut Nathalie Borgne.
Une attaque préparée bien en amont
Décembre 2023 : Accès initial au système d’information du Centre Hospitalier d’Armentières au travers d’un compte VPN
18 Janvier 2024 : Reconnaissance et élévation de privilèges
19 Janvier 2024 : Prise de contrôle du domaine en tant qu’administrateur
23 Janvier 2024 : Mise en œuvre de mécanismes de persistance sur le pare-feu
27 Janvier 2024 : Impacts sauvegarde (arrêt des mécanismes de réplication et chiffrement)
9 Février 2024 : Dépôt de la charge de chiffrement
11 février 2024 : Chiffrement des postes de travail et serveurs