Cyberattaque à l'hôpital : plan de reprise d'activité et obligations ANSSI

Cyberattaque à l'hôpital : pourquoi chaque établissement doit anticiper

La question n'est plus de savoir si votre établissement subira une cyberattaque, mais quand. Les chiffres du CERT Santé confirment cette réalité : plus de 580 incidents déclarés en 2024, une tendance structurelle qui ne faiblit pas. Le plan de reprise d'activité (PRA) est devenu un impératif pour chaque hôpital français, pas un luxe réservé aux CHU.

Nous avons détaillé dans un article dédié les menaces et mesures préventives qui s'imposent aux établissements de santé. Mais la prévention, aussi rigoureuse soit-elle, ne garantit pas l'immunité. Le présent guide se concentre sur ce qui se passe pendant et après l'attaque : les obligations réglementaires, les étapes concrètes de la reprise et les enseignements tirés des incidents majeurs survenus en France.

Le bilan des cyberattaques contre les hôpitaux français montre que les établissements les mieux préparés ne sont pas ceux qui n'ont jamais été attaqués, mais ceux qui ont su reprendre leurs activités rapidement grâce à un PRA testé et opérationnel.

Les obligations réglementaires : ANSSI, NIS 2, CNIL et CERT Santé

Le cadre de signalement obligatoire

Lorsqu'une cyberattaque frappe un établissement de santé, le temps presse et les obligations légales sont strictes. Plusieurs signalements doivent être déclenchés simultanément :

• CERT Santé (ANS) : signalement sans délai de tout incident de sécurité affectant le fonctionnement normal de l'établissement. Le CERT Santé intervient en appui technique et coordonne la réponse avec l'ANSSI si nécessaire.
• ARS (Agence Régionale de Santé) : notification immédiate, car l'attaque peut impacter la continuité des soins sur le territoire.
• CNIL : notification obligatoire dans les 72 heures en cas de violation de données personnelles de santé, c'est-à-dire dans la quasi-totalité des cas impliquant un rançongiciel.
• ANSSI : pour les établissements désignés OSE (Opérateurs de Services Essentiels) ou relevant du périmètre NIS 2, notification formelle selon les délais réglementaires.

Le non-respect de ces délais expose l'établissement à des sanctions administratives et, dans le cas de la CNIL, à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires.

La directive NIS 2 et ses implications pour les hôpitaux

La transposition de la directive NIS 2 en droit français a élargi considérablement le périmètre des entités concernées. Là ou la directive NIS 1 ne visait que les OSE désignés individuellement, NIS 2 inclut l'ensemble du secteur de la santé dans les "entités essentielles" ou "entités importantes". Concrètement, cela signifie :

• L'obligation de mettre en place des mesures de gestion des risques cyber, incluant un PRA formalisé
• Un régime de notification des incidents en trois temps : alerte précoce sous 24 heures, notification détaillée sous 72 heures, rapport final sous un mois
• Des audits de conformité possibles de la part de l'ANSSI
• Des sanctions financières significatives en cas de manquement

Pour les DSI hospitaliers, NIS 2 fait passer le PRA du statut de "bonne pratique recommandée" à celui d'obligation légale. Les établissements qui n'en disposent pas s'exposent à une double peine : les conséquences de l'attaque et les sanctions pour non-conformité.

Le programme CaRE comme levier de financement

Le programme CaRE (Cybersécurité accélération et Résilience des Établissements), doté de 750 millions d'euros, finance directement les exercices de crise et la rédaction de PRA/PCA. Les établissements peuvent candidater via les appels à projets de l'ANS et des ARS. C'est une opportunité concrète de structurer sa réponse aux incidents avec un soutien financier de l'État, dans le cadre d'une transformation numérique maîtrisée.

Les quatre phases d'un PRA efficace

Un PRA hospitalier ne se résume pas à un document classé dans une armoire. C'est un processus opérationnel en quatre phases, chacune avec des actions précises et des responsabilités identifiées.

Phase 1 : Détection et qualification

Les premières heures sont déterminantes. L'objectif est d'identifier la nature de l'attaque, son périmètre et sa gravité. Concrètement :

• Activation de la cellule de crise : le RSSI (ou la DSI si pas de RSSI dédié) déclenche le protocole de crise et réunit les acteurs clés : direction générale, DSI, direction des soins, direction de la communication.
• Qualification de l'incident : s'agit-il d'un rançongiciel, d'une exfiltration de données, d'un déni de service ? Le type d'attaque conditionne la stratégie de réponse.
• Cartographie du périmètre touché : quels systèmes sont compromis ? Le DPI est-il affecté ? Les équipements biomédicaux sont-ils accessibles ? Les sauvegardes sont-elles intactes ?
• Signalements réglementaires : déclencher immédiatement les notifications CERT Santé, ARS, et préparer la notification CNIL.

Le piège à cette phase est la précipitation. Tenter de restaurer les systèmes avant d'avoir compris l'attaque risque de réactiver le vecteur de compromission ou de détruire des preuves numériques essentielles pour l'investigation.

Phase 2 : Confinement et préservation

Une fois l'attaque qualifiée, la priorité est de limiter sa propagation tout en préservant les preuves pour l'investigation forensique :

• Isolation réseau : déconnecter les segments compromis sans éteindre les machines (les éteindre détruit la mémoire vive, qui contient des traces exploitables par les enquêteurs).
• Basculement en mode dégradé : activer les procédures papier pour la prescription, la dispensation des médicaments, la planification des blocs opératoires. Les équipes soignantes doivent avoir été formées à ces procédures avant la crise.
• Préservation des preuves : créer des images forensiques des systèmes compromis avant toute tentative de nettoyage. Ces éléments seront indispensables pour l'enquête judiciaire et pour comprendre le vecteur d'attaque initial.
• Communication de crise : informer les équipes internes (sans créer de panique), les patients concernés et, si nécessaire, les médias. Un message préparé à l'avance évite les déclarations improvisées.

Le mode dégradé peut durer des semaines. Les procédures papier doivent couvrir l'ensemble de la chaîne de soins : admission, prescriptions, résultats de biologie, compte rendus opératoires, sortie des patients.

Phase 3 : Reprise et reconstruction

C'est la phase la plus longue et la plus coûteuse. La reconstruction du SI doit suivre un ordre de priorité strict, dicté par l'impact sur la continuité des soins :

• Restauration de l'annuaire (Active Directory) : c'est le socle de tout le SI. Sans AD fonctionnel, aucune application ne peut redémarrer. La reconstruction de l'AD est souvent le chantier le plus complexe, car c'est précisément la cible privilégiée des attaquants.
• Restauration des services vitaux : messagerie sécurisée, accès au DPI, résultats de biologie, pharmacie, imagerie. L'ordre dépend de l'établissement et doit être défini dans le PRA, avec des objectifs RTO (Recovery Time Objective) précis.
• Reconstruction de l'infrastructure : serveurs, postes de travail, équipements réseau. Chaque machine restaurée doit être vérifiée et durcie avant reconnexion au réseau. Il est souvent plus sûr de reconstruire à partir d'images propres que de tenter de nettoyer des systèmes compromis.
• Validation par paliers : chaque service restauré fait l'objet d'un test avant mise en production. La reconnexion se fait segment par segment, avec une surveillance renforcée.

Le RTO et le RPO (Recovery Point Objective) définis dans le PRA conditionnent les investissements nécessaires. Un RTO de 4 heures pour le DPI exige des sauvegardes à chaud sur un hébergement certifié HDS et des procédures de restauration testées trimestriellement. Un RPO de 24 heures signifie accepter la perte d'une journée de données, ce qui peut être critique pour un service de réanimation.

Phase 4 : Analyse post-incident et amélioration

La crise passée, la tentation est de tourner la page rapidement. C'est une erreur. L'analyse post-incident (ou retour d'expérience, RETEX) est indispensable :

• Reconstitution de la chronologie : de l'intrusion initiale au déclenchement du rançongiciel, en passant par les mouvements latéraux. L'investigation forensique révèle souvent que les attaquants étaient présents dans le réseau depuis plusieurs semaines.
• Identification des failles exploitées : accès VPN sans MFA, serveur non mis à jour, compte de service avec des privilèges excessifs, absence de segmentation réseau.
• Mise à jour du PRA : intégrer les leçons apprises, corriger les procédures qui n'ont pas fonctionné, ajuster les RTO/RPO en fonction de la réalité observée.
• Partage avec la communauté : le CERT Santé encourage les établissements à partager leurs retours d'expérience (de manière anonymisée) pour renforcer la résilience collective du secteur.

Ce que les établissements attaqués auraient du avoir en place

Les cyberattaques majeures qui ont frappé les hôpitaux français ces dernières années offrent des enseignements concrets. Sans revenir sur le détail de chaque incident (traité dans notre bilan des cyberattaques), trois cas illustrent les lacunes récurrentes.

Corbeil-Essonnes : des sauvegardes accessibles depuis le réseau compromis

Lors de l'attaque du CHSF en aout 2022, le rançongiciel LockBit 3.0 a chiffré les sauvegardes en même temps que les systèmes de production. L'absence de sauvegardes déconnectées (air-gapped) a transformé un incident grave en catastrophe de plusieurs mois. L'établissement a du fonctionner en mode dégradé pendant plus de six mois, avec des dossiers papier, des fax et des téléphones personnels.

La lecon : la règle 3-2-1 (trois copies, deux supports, une copie hors ligne) n'est pas une recommandation théorique. C'est la condition minimale de survie. Les sauvegardes doivent être hébergées sur une infrastructure distincte, idéalement sur un cloud souverain isolé du SI principal.

Versailles : un SI insuffisamment segmenté

En décembre 2022, le CH de Versailles a vu l'intégralité de son SI chiffré en quelques heures. L'absence de segmentation réseau a permis au rançongiciel de se propager du point d'entrée initial à l'ensemble des systèmes, y compris les serveurs de production critiques. Des patients ont du être transférés vers d'autres établissements.

La lecon : la segmentation n'est pas un projet "nice to have". C'est ce qui fait la différence entre un incident contenu sur un segment et une paralysie totale. Les équipements biomédicaux, le réseau administratif, le DPI et les sauvegardes doivent vivre dans des zones réseau distinctes, avec des flux strictement contrôlés.

Rennes : l'exfiltration avant le chiffrement

Le CHU de Rennes a subi en juin 2023 une attaque du groupe BianLian qui a combiné exfiltration de données et menace de publication. Ce schéma de double extorsion complique considérablement la réponse, car même si les sauvegardes permettent de restaurer les systèmes, les données exfiltrées restent entre les mains des attaquants.

La lecon : la détection précoce est essentielle. Les attaquants étaient présents dans le réseau avant le déclenchement visible de l'attaque. Un SOC (Security Operations Center) ou un service de détection mutualisé, couplé à un EDR sur les postes et serveurs, aurait pu identifier les mouvements latéraux et l'exfiltration avant que le chiffrement ne soit déclenché. La sécurité opérationnelle doit inclure une capacité de détection continue.

Checklist de préparation préventive

Au-dela de la prévention technique (détaillée dans notre guide cybersécurité), la préparation au PRA repose sur des actions organisationnelles concrètes. Voici une liste de vérification pour les DSI et DG d'établissements :

Gouvernance et documentation :

• PRA formalisé, validé par la direction générale, mis à jour annuellement
• PCA décrivant les procédures de fonctionnement en mode dégradé pour chaque service de soins
• Fiches réflexes distribuées aux responsables de service (qui appeler, quoi faire dans les 15 premières minutes)
• Convention avec un prestataire de réponse à incident (PRIS qualifié ANSSI) signée avant la crise, pas pendant
• Annuaire de crise imprimé et distribué (les annuaires numériques sont inaccessibles pendant l'attaque)

Sauvegardes et restauration :

• Sauvegardes déconnectées (air-gapped) ou immuables, testées par un exercice de restauration au moins trimestriel
• RTO et RPO définis pour chaque application critique : DPI, biologie, pharmacie, imagerie, GAM
• Procédure de reconstruction de l'Active Directory documentée et testée
• Hébergement des sauvegardes externalisées sur une infrastructure certifiée HDS et physiquement séparée, idéalement qualifiée SecNumCloud

Exercices et formation :

• Exercice de crise cyber réalisé au moins une fois par an, impliquant la direction générale et les équipes soignantes
• Formation du personnel soignant au fonctionnement en mode dégradé (prescriptions papier, transmission orale structurée)
• Campagne de sensibilisation régulière au phishing et aux signaux d'alerte
• Test de restauration des sauvegardes documenté avec mesure du temps réel de reprise

Architecture et détection :

• Segmentation réseau effective (VLANs, pare-feux internes), vérifiée par un audit indépendant
• EDR déployé sur l'ensemble du parc (postes et serveurs)
• Journalisation centralisée (SIEM) avec rétention suffisante pour l'investigation forensique
• MFA activé sur tous les accès critiques (VPN, consoles d'administration, messagerie)

Cette préparation n'est pas un projet ponctuel. C'est un processus d'accompagnement continu qui s'inscrit dans la durée et nécessite des revues régulières, a minima à chaque évolution majeure du SI.

Ce qu'il faut retenir

Le plan de reprise d'activité n'est plus une option pour les établissements de santé. La directive NIS 2 en fait une obligation légale. Les retours d'expérience de Corbeil-Essonnes, Versailles et Rennes montrent ce qui se passe quand un hôpital est frappé sans PRA opérationnel : des mois de fonctionnement dégradé, des transferts de patients, des données publiées sur le dark web.

Les quatre phases de la réponse (détection, confinement, reprise, analyse) doivent être documentées, testées et mises à jour régulièrement. Les obligations de signalement envers le CERT Santé, la CNIL et l'ANSSI imposent des délais stricts qui ne laissent pas de place à l'improvisation.

Le programme CaRE offre les financements nécessaires. Les référentiels ANSSI fournissent le cadre méthodologique. Les solutions d'hébergement souverain et les outils open source audités permettent de construire une infrastructure résiliente. Il ne manque qu'une chose : la décision de commencer. Et cette décision relève de la direction générale, pas de la DSI seule.

Pour les établissements qui souhaitent structurer leur démarche, Ducal propose un accompagnement conseil adapté aux contraintes du secteur de la santé, de l'audit initial à la mise en place du PRA, en passant par le développement d'applications métier résilientes. Contactez-nous pour en discuter.