Acteur majeur des soins de santé en province de Liège (Belgique), le Groupe santé CHC regroupe des cliniques, des centres médicaux, des résidences pour personnes âgées, une structure d’accueil pour personnes en situation de handicap ainsi qu’une crèche. Le groupe emploie près de 5.900 personnes dont 4.747 salariés et 1.117 médecins et prestataires indépendants.
C’est sur le site du CHC MontLégia que les membres du Cercle du Numérique se sont réunis, le 20 mai ’26, pour une soirée consacrée à la cybersécurité dans le secteur hospitalier.
A travers un use case réel, les orateurs, Frédéric Pampalone, CISO, et sa collègue Ludivine Carels, Responsable DPO au Groupe Santé CHC ont proposé une immersion dans la réalité opérationnelle d’une organisation hospitalière confrontée à une tentative de cyberattaque[1].
Le paradoxe hospitalier
« L’hôpital, dans son ensemble, est extrêmement dépendant de l’informatique : des robots gèrent la pharmacie, des automates réalisent les analyses sanguines, … Notre activité est globalement hyper dépendante de l’informatique et nous avons pour mission d’assurer la continuité des soins 24h/24 et 7j/7 ! » Frédéric Pampalone.
Concernant les données de santé, force est de constater que leur valeur marchande reste relativement limitée. En revanche, leur valeur opérationnelle est inestimable ! Car sans accès à ces données médicales, le Groupe santé CHC est dans l’incapacité de prendre en charge et de soigner des patients.
Une cyberattaque : bien plus qu’un incident ICT !
« Pendant longtemps, les cyberattaques ont été considérées comme de simples incidents ICT traités essentiellement sous un angle technique. Aujourd’hui, nous prenons en compte les impacts opérationnels – notamment sur la continuité des appareillages et des soins -, les impacts réglementaires liés au RGPD et à NIS2, ainsi que les impacts humains, en particulier sur la confiance des patients, des collaborateurs et des partenaires externes » Frédéric Pampalone.
18 novembre 14h27
C’est à cet instant précis que les équipes du CHC ont été alertées de la présence d’un virus sur un serveur AD.
« Très rapidement, une alerte de ransomware est apparue. Après vérification, nous avons constaté que les antivirus d’autres serveurs avaient aussi été désactivés. Il ne s’agissait pas d’une alerte automatique massive mais d’une une intrusion. Il fallait agir vite ! » Frédéric Pampalone.
Partant de là, le CHC a mis sur pied un comité de gestion de crise et a décidé de couper l’ accès de son réseau informatique à l’ensemble du monde extérieur. L’hôpital s’est ainsi retrouvé en autarcie ce qui a permis d’interrompre les connexions avec les serveurs et d’éviter l’exfiltration de données.
Le choc opérationnel
L’arrêt d’internet a eu divers impacts pour le CHC dont l’augmentation des appels téléphoniques, l’arrêt de la télétransmission des résultats de laboratoire et de la transmission via le réseau santé wallon des résultats vers les autres hôpitaux. Plus aucune information médicale ne pouvait être communiquée au monde extérieur.
Gérer la crise
« Nous n’avons pas subi de pression de la part des prestataires de soins ni de la Direction, grâce au rôle d’intermédiaire assuré par notre collègue, Laurence Delcomminette, la responsable des plans d’urgence. » Toutes les quatre heures, un point de situation était organisé entre le département IT, la Direction et les professionnels de santé. « Comme l’ensemble des activités n’était pas totalement à l’arrêt, nous avons pu recueillir progressivement les retours des utilisateurs, ce qui a permis d’identifier au fur et à mesure les dysfonctionnements impactant leurs activités » Frédéric Pampalone.
Le rôle du DPO durant la crise
Il importe de souligner que, dans ce cas précis, le DPO ne pilote pas l’incident technique, il évalue l’impact de l’incident sur les droits et les libertés des personnes, il apporte une lecture sous l’angle « risque humain ». Il aide la cellule de crise à activer les obligations légales (RGPD), il notifie l’incident à l’autorité de protection des données dans les 72 heures, il communique avec les sous-traitants et il formule des recommandations en vue de renforcer ou d’adapter les procédures existantes.
L’investigation : éradication active
« Nous avons procédé à l’audit de nos 800 serveurs et réalisé une réinitialisation complète des secrets, en révoquant les anciens accès et en générant de nouveaux. Cette opération a représenté un travail considérable. Des bureaux temporaires ont notamment été installés au sein de l’hôpital afin de permettre au personnel de modifier rapidement les mots de passe » Frédéric Pampalone « En parallèle, nous avons pris la décision de changer d’antivirus en pleine gestion de crise et de déployer une nouvelle solution de sécurité. Une fois ces mesures mises en place, les serveurs ont été redémarrés après vérification afin de garantir qu’ils n’étaient plus compromis. »
Communication de crise
Les responsables IT du CHC ont dû apprendre à vulgariser l’information et à adapter leur communication à des interlocuteurs très variés : la Direction, les équipes informatiques, les fournisseurs ainsi que le grand public, à travers un canal de communication unique destiné aux médias.
Le maître-mot, tout au long de la crise, a été de rassurer tout en faisant preuve de transparence.
Le chemin du retour
« Une fois que nous avons constaté que notre infrastructure était à nouveau opérationnelle et non infectée, nous avons installé de nouveaux outils, procédé à un audit d’intégrité et réalisé des analyses proactives » Frédéric Pampalone « À la suite de cet événement, la collaboration entre le DPO et l’équipe Cybersécurité s’est renforcée. Le DPO est aujourd’hui directement impliqué dans la cellule de crise et participe aux analyses de risques. »
« La cybersécurité protège les systèmes, la protection des données protège les personnes et, dans le secteur hospitalier, l’IT et les besoins des patients sont indissociables ! » – Ludivine Carels
La tentative de cyberattaque fut une crise de l’inconfort : le CHC a pu poursuivre ses activités et recevoir des patients, même si les conditions étaient inconfortables pour les soignants.
« Avoir une culture de la cybersécurité forte, disposer d’un plan de gestion de crise et être prêt à gérer une crise sont des éléments déterminants qui permettent de gagner un temps précieux en cas d’incident ! » – Frédéric Pampalone.
[1] Tentative de cyberattaque de Novembre ‘22 à Juin’23.
