Hervé Bontemps, chef de service pharmacie de l’hôpital Nord-Ouest de Villefranche-sur-Saône : “Nous n’étions pas préparés à une cyberattaque”

Le 15 février 2021, le centre hospitalier (CH) de Villefranche-sur-Saône subissait une cyberattaque par rançongiciel rendant inutilisable tout le système d’information (SI). Hervé Bontemps, chef de service pharmacie de l’hôpital Nord-Ouest, nous fait revivre la cyberattaque et ses conséquences vues depuis la PUI.

Comment l’attaque s’est-elle manifestée ?

Les urgences ont alerté les services informatiques ce lundi matin à 4h30. Plus rien ne marchait chez eux. Un chiffrement des serveurs était en cours. Moins d’une heure après, l’ensemble du réseau était déconnecté et le système d’information entièrement confiné pour stopper la propagation du virus et sanctuariser les sauvegardes. Les données de la PUI ont ainsi été sauvées. Une déclaration d’incident a été faite à 6h30 à l’ARS, au SAMU pour dérouter leurs patients et à l’Agence nationale de sécurité des services d’informations (ANSSI) qui nous a dépêché huit informaticiens très pointus. Il a fallu recourir à des prestataires, des collègues à la retraite… Plus d’une quarantaine d’informaticiens au total.

Comment l’avez-vous vous vécue à la PUI ? 

J’ai été prévenu à 7h30 avec pour consigne de ne redémarrer aucun PC. Nous étions dans un état de sidération, sans téléphone (rétabli dans l’après-midi), ni messagerie, y compris interne. Nous avons utilisé nos téléphones personnels pour joindre les médecins, oncologues notamment, sachant que nous n’avions plus d’annuaire papier dans l’établissement. Heureusement, nous avions gardé les dossiers papier des patients à la PUI… alors qu’il était prévu de les supprimer en 2022 au titre du zéro papier !

Nous n’avons arrêté aucune activité, mais le CH fonctionnait au ralenti. Cela nous a permis de mettre en place un fonctionnement en procédure dégradée pour certaines activités comme la préparation des chimiothérapies. Nous avions un poste client lourd au niveau de la pharmacie, contenant l’ensemble des protocoles, mais il était crypté et donc inutilisable. Un pharmacien faisait les allers-retours entre services et PUI. Deux autres se consacraient à la vérification des calculs des doses prescrites et aux calculs nécessaires pour la préparation des poches. A 11h00, le jour même, nous préparions notre première chimiothérapie. Nous avons mis du blanc sur les prescriptions de la cure précédente et avons procédé aux traitements. La plupart des interventions chirurgicales ayant été déprogrammées, la stérilisation a eu un travail allégé et a fonctionné en mode dégradé avec un système de traçabilité papier. Et nous avions eu ici auparavant un exercice d’activité en procédure dégradée dans le cadre du CAQES ce qui nous a aidés.

Comment ont été établies les priorités en cellule de crise ?

La première s’est réunie à 13h00, avec comme première priorité la remise en service du SI de réa, néonat et urgences. Pour la PUI, nous avons d’abord demandé à avoir un fax pour le passage des commandes, ainsi qu’une photocopieuse (obtenus à J1, 13h00). Notre priorité numéro deux a été de réinstaller le logiciel Asclepios en local pour les chimios. Cela a été le cas le jeudi avec une sauvegarde du vendredi précédent. Les médecins ont actualisé les prescriptions sur papier. Nous avons ensuite fait de la retranscription. Notre demande numéro trois était le rétablissement du logiciel Asclepios en réseau pour être en prescription connectée, survenu à J+8. Côté dossier patient informatisé, le premier service a été rééquipé en deuxième semaine. La majeure partie du SI a été rétabli au bout d’un mois, à plus de 30 jours pour certains EHPAD.

Comment avez-vous géré l’approvisionnement ?

Le premier jour, impossible de faire une commande, les laboratoires ne les acceptant pas par téléphone. Nous avons utilisé le papier durant une semaine et avons eu à J+8 un logiciel sur un poste en local pour les saisir. Le module de préconisation de commandes (Copilote) n’a été rétabli qu’à J+15. Nous avons ensuite dû toutes les ressaisir.

Les préparateurs allaient dans les services pour noter les besoins sur papier libre. Les médecins de la maison d’arrêt et des EHPAD déportés, pour lesquels nous réalisons les piluliers, nous envoyaient la photo de leur prescription papier. A la PUI, nous allions directement en rayons pour jauger ce qu’il fallait commander. Nous avons tracé les dispensations en médicaments onéreux, DMI, stupéfiants, antibiotiques, médicaments dérivés du sang… Pour le reste, nous avons fait un inventaire à la fin de la crise.

A noter que nous n’avions plus d’alarmes anti-intrusion ni de surveillance de la chaîne du froid. Le service de sécurité a fait des rondes toutes les deux heures dans la pharmacie pendant plus d’un mois. Je les ai autorisés à vérifier les températures de chaque enceinte (17 frigos et un congélateur à l’époque) pour épargner le pharmacien d’astreinte.

Quelles conclusions en tirer aujourd’hui, notamment côté PUI ?

Il faut disposer à la PUI de postes informatiques isolés du réseau en cas de besoin, avec vos logiciels les plus stratégiques pour la PUI, ainsi que des formulaires de base, ne serait-ce qu’avec l’en-tête de l’hôpital pour vos commandes. Pour les chimio, nous avions jusque-là une sauvegarde mensuelle. Nous avons désormais en test un poste indépendant du réseau qui réalise une copie quotidienne de la base en se connectant sur le réseau pendant 15 minutes. La DSI pense pouvoir faire de même pour la stérilisation. En revanche, cela apparaît impossible sur notre logiciel de gestion des stocks vu l‘énormité de la base. Mais les informaticiens sont capables de copier l’ensemble des fournisseurs et les produits qui y sont rattachés.

Vous raisonnez comme si une autre attaque était inéluctable ?

Oui, car aucun SI n’est inviolable. Il faut savoir que l’attaque de 2021 s’est déclenchée suite à l’ouverture en interne d’une pièce jointe qui n’aurait pas dû l’être sur un poste qui a ensuite été identifié. Nous réalisons désormais des exercices pour l’éviter. Les mots de passe sont changés très souvent et les mises à jour régulières. Et nous avons de nouvelles procédures.

Notre SI a été reconstruit avec l’aide de l’ANSSI selon une architecture silotée en tiers qui permet d’isoler les services. La prochaine cyberattaque ne devrait ainsi toucher qu’un service sans contaminer les autres. Très honnêtement, nous n’étions pas préparés à une telle situation. Si j’avais un conseil à donner aux confrères, ce serait justement de se rapprocher de leur RSSI et de s’y préparer.

Propos recueillis par François Silvan