En 2025, les cyberattaques contre les hôpitaux et cliniques français atteignent un niveau sans précédent, forçant les Groupements Hospitaliers de Territoire (GHT) à revoir leur stratégie de récupération et de cybersécurité.
Le secteur de la santé est une cible privilégiée des cyberattaques, et la France n’est pas épargnée. Les incidents récents touchant des hôpitaux et cliniques, des grands centres hospitaliers comme l’AP-HP ou le CHSF aux attaques par chaîne d’approvisionnement comme Viamedis et Almerys, ont mis en lumière la vulnérabilité de nos systèmes de santé et la nécessité impérieuse de repenser la récupération après un événement majeur. Pour les GHT, dont l’interconnexion est à la fois une force et une faiblesse, la gestion d’une cyberattaque par logiciel malveillant ne peut plus être improvisée. Elle exige un Plan de Reprise d’Activité (PRA) robuste, mais surtout, une feuille de route opérationnelle claire pour naviguer dans le chaos.
Cet article se veut un guide pratique pour les DSI et RSSI des établissements de santé au sein des GHT. Il détaille les étapes prioritaires pour une récupération efficace, en s’appuyant sur les retours d’expérience et les meilleures pratiques.
Le Contexte Spécifique des GHT : Une Vulnérabilité Accrue
La structure des GHT, conçue pour optimiser les ressources et harmoniser les soins, crée également des points de vulnérabilité critiques. Une attaque cyber sur un centre hospitalier membre peut rapidement se propager à l’ensemble du réseau, paralysant potentiellement des dizaines d’établissements de santé. La dépendance mutuelle vis-à-vis de systèmes d’information partagés (Dossier Patient Informatisé, plateformes d’imagerie, laboratoires) signifie qu’un PRA doit être pensé à l’échelle du GHT, et non plus uniquement par entité.
Les attaques récentes ont révélé plusieurs lacunes :
- Manque de coordination préalable : Des rôles flous en cas de crise au niveau du GHT.
- PRA obsolètes ou non testés : Des plans qui ne reflètent pas la réalité des menaces actuelles.
- Priorisation inadaptée : Une difficulté à définir rapidement quels systèmes sont absolument critiques pour la continuité des soins.
Face à ces constats, une organisation rigoureuse s’impose : la réponse à la crise doit être décomposée en phases claires, où chaque minute compte.
Phase 1 : Détection et Endiguement – Le Temps est une Ressource Critique
Dès la détection d’un logiciel malveillant (ransomware, wiper, etc.), la première urgence est d’isoler les systèmes affectés.
- Activation de la Cellule de Crise GHT : Mise en place immédiate d’une cellule pluridisciplinaire (DSI, RSSI, Direction, Communication, Responsables Métiers, Référents Médicaux) au niveau du GHT.
- Identification de la Source et de la Propagation : Utilisation des outils EDR/XDR, SIEM pour comprendre l’étendue de la cyberattaque.
- Isolation Réseau : Déconnexion physique ou logique des systèmes compromis pour éviter une propagation horizontale. Cette étape doit être rapide et parfois radicale.
- Sauvegarde des Journaux (Logs) : Collecte immédiate de toutes les données de log pertinentes avant qu’elles ne soient altérées ou supprimées.
Phase 2 : Priorisation de la Récupération – La Continuité des Soins avant Tout
Dans un établissement de santé, tous les systèmes sont importants, mais certains sont vitaux. La priorisation est la clé d’une récupération efficace. Voici une hiérarchie typique, mais qui doit être adaptée à chaque GHT :
- Systèmes de Dossier Patient Informatisé (DPI) :
- Pourquoi : Cœur de l’activité clinique, accès aux antécédents médicaux, prescriptions, allergies. Sans le DPI, la sécurité des patients est directement compromise.
- Objectif RTO (Recovery Time Objective) : Le plus court possible, idéalement quelques heures via des plans de continuité dégradés et une récupération rapide des données essentielles.
- Stratégie : Récupération des versions les plus récentes et intègres, avec des données immuables ou air-gapped. Prévoir un mode dégradé manuel si la reprise est longue.
- Systèmes de Laboratoire (SIL) et d’Imagerie Médicale (PACS) :
- Pourquoi : Indispensables pour le diagnostic et le suivi des patients. L’absence de résultats d’analyse ou d’accès aux images retarde gravement les décisions médicales.
- Objectif RTO : Quelques heures à une journée.
- Stratégie : Récupération des bases de données et des applications critiques. Mettre en place des procédures manuelles temporaires si nécessaire (par exemple, impression papier des résultats).
- Systèmes de Gestion des Urgences et des Flux Patients :
- Pourquoi : Gestion des admissions, transferts, lits disponibles. Essentiels pour maintenir un flux de patients sûr et efficient.
- Objectif RTO : Moins d’une journée.
- Stratégie : Récupération des applications et bases de données permettant la coordination des équipes et des patients.
- Applications de Support aux Soins (blocs opératoires, réanimation) :
- Pourquoi : Applications spécifiques aux services critiques qui dépendent souvent d’interfaces avec le DPI ou d’autres systèmes.
- Objectif RTO : Une à deux journées.
- Stratégie : Récupération ciblée, en s’assurant de la compatibilité avec les systèmes précédemment restaurés.
- Systèmes Administratifs et de Facturation (RH, Finances) :
- Pourquoi : Essentiels pour le fonctionnement de l’établissement de santé à moyen terme, mais ne compromettent pas directement la vie des patients.
- Objectif RTO : Plusieurs jours à une semaine.
- Stratégie : Récupération après les systèmes cliniques, en privilégiant l’intégrité des données financières et RH.
Phase 3 : Reconstruction Saine et Renforcement de la Cyber-Résilience
La récupération ne consiste pas seulement à restaurer les données, mais à reconstruire un environnement sain et plus résilient.
- Nettoyage Approfondi : Avant toute récupération, s’assurer que les systèmes sont entièrement débarrassés de tout logiciel malveillant résiduel. Cela peut impliquer une réinstallation complète des systèmes d’exploitation.
- Validation de l’Intégrité des Données : Vérifier que les données restaurées sont cohérentes et n’ont pas été corrompues ou altérées par la cyberattaque.
- Renforcement de la Sécurité : Appliquer tous les correctifs de sécurité en attente, renforcer les politiques d’accès (authentification multifacteur), segmenter davantage les réseaux.
- Retour d’Expérience (RETEX) : Organiser un RETEX détaillé au niveau du GHT pour analyser ce qui a fonctionné, ce qui a échoué et mettre à jour le PRA.
- Investir dans le Cyber-Résilience Act : Il est impératif d’anticiper les exigences du futur Cyber Resilience Act européen, dont la majorité des obligations s’appliqueront à partir de décembre 2027. Cet acte, visant à renforcer la cybersécurité des produits numériques, impactera directement les dispositifs médicaux et les logiciels utilisés dans les établissements de santé, nécessitant une planification budgétaire proactive dès aujourd’hui.
Le Rôle Crucial des Solutions de Sauvegarde Immuables
Dans ce contexte, les solutions de sauvegarde jouent un rôle central. Une récupération rapide et fiable dépend de la qualité des sauvegardes. Les sauvegardes immuables, c’est-à-dire qui ne peuvent être ni modifiées ni supprimées, même par un attaquant, représentent une nécessité incontournable. Elles garantissent une source fiable pour la récupération, même en cas de cyberattaque sophistiquée.
Conclusion
La cybersécurité des GHT est un enjeu de santé publique. Une cyberattaque par logiciel malveillant n’est plus une question de « si », mais de « quand ». En adoptant une approche proactive, en priorisant la récupération des systèmes critiques pour la continuité des soins et en investissant dans une cyber résilience durable, les hôpitaux et cliniques des GHT français peuvent non seulement survivre à une attaque, mais en sortir renforcés. Le PRA doit être un document vivant, régulièrement testé via des exercices de « table top », et adapté aux menaces de l’industrie 4.0 et aux exigences réglementaires comme le Cyber Resilience Act. La résilience opérationnelle est la clé pour protéger les patients et l’intégrité de notre système de santé.