Parmi les services hospitaliers, la Pharmacie à usage intérieur (PUI) est un opérateur essentiel.
Quel est l’impact de ces cyberattaques sur son activité ? Comment réorganise-t-elle son activité en interne et avec les services ? Enfin, comment mieux cerner le retentissement d’une cyberattaque sur un établissement, comment s’en prémunir ?
Dans la nuit du samedi au dimanche 21 août 2022, le centre hospitalier Sud-Francilien (CHSF) de Corbeil-Essonnes est victime d’un rançongiciel. Moins de 6 mois plus tard, le 3 décembre 2022, c’est l'hôpital André-Mignot de Versailles (CHV) qui à son tour est frappé par une cyberattaque. Dans les deux cas, aucune rançon ne sera versée.
Gérer les premiers temps de l’attaque : l’enjeu numéro 1 est d’éviter la propagation.
Les premières heures sont cruciales. Une fois la demande de rançon découverte sur le serveur, les premières décisions doivent être prises rapidement : déconnecter tous les câbles pour éviter la propagation, couper le site de l'extérieur, et mettre en place le plan blanc avec une cellule de crise pour mesurer l'ampleur des dégâts. Une alerte par circuit papier est mise en place pour interdire de rallumer les ordinateurs.
Pour les soignants, les deux objectifs prioritaires sont de mettre en sécurité les patients et d’assurer la continuité des soins (transferts préventifs vers d’autres établissements, fermeture de certains services et urgences, annulation de certaines greffes, reprogrammation des consultations et des hospitalisations). Informer et rassurer les patients s’avère incontournable avant que l'incident ne soit connu par la presse.
Pour garantir la continuité des soins, la PUI récupère les sauvegardes des dotations sur les ordinateurs qui ne sont pas touchés par l’attaque. Certaines mesures peuvent être anticipées : doter la pharmacie d’un ordinateur de sécurité avec des sauvegardes des chimiothérapies et des prescriptions. En interne, l’application WhatsApp peut se révéler bien utile pour communiquer entre les membres du personnel privés d’internet. Les pancartes papier et les formulaires manuels fleurissement.
En PUI, il faut réinventer les tâches essentielles : le stockage, la distribution, la logistique et les commandes fournisseurs. La situation peut s’avérer difficile, en raison de l'indisponibilité des outils numériques habituels, des logiciels de gestion de stock, des automates de stockage, du dossier patient informatisé (DPI), de l'internet et du fax.
- La première priorité est de garantir la distribution des médicaments et des dispositifs médicaux.
- La deuxième priorité est de relancer les commandes.
- Accompagner les équipes et prendre en compte le risque psychosocial est également une priorité.
La situation peut générer de la désorganisation et du stress dans l’exécution des tâches. La présence et la participation aux cellules de crise est essentielle. La direction générale est à l'écoute des recommandations, doit soutenir le personnel et prendre en compte les besoins. Sans informatique, les activités à risque doivent être sécurisées par un renfort RH.
Si la première semaine est consacrée à la phase de diagnostic, la deuxième semaine est dédiée au redémarrage progressif de la messagerie et des applications. Le retour à la normale est très progressif. Il nécessite des choix stratégiques. Certaines opérations sont à maintenir, d’autres à abandonner temporairement pour dégager des ressources.
Comment se prémunir face à ce risque ?
Pour gérer les vulnérabilités, des mesures techniques peuvent être mises en place au niveau de la DSI. Elles doivent être accompagnées d’un respect strict des principes de sécurité informatique par le personnel. Des solutions full-web sont à privilégier pour minimiser les risques de cyberattaques.
L’anticipation est essentielle. Des exercices peuvent aider à surmonter les situations de crise.
Dans le cadre de la feuille de route du numérique en santé, il est attendu des établissements sanitaires qu’ils réalisent chaque année un exercice de continuité d’activité en mode numérique dégradé. Afin que les établissements puissent être accompagnés dans cette démarche, l’ARS Ile-de-France propose un financement grâce à un appel à projets. Les candidatures sont ouvertes jusqu'au 30 novembre 2023.
Les établissements sanitaires, au même titre que toute autre organisation, doivent être en capacité d’anticiper la survenance de cyberattaques pour limiter leur impact et continuer du mieux possible à exercer leurs missions.
L'anticipation est donc le maître mot. Ces solutions communes peuvent permettre aux PUI d’anticiper au mieux les cyberattaques :
- Respecter les consignes de sécurité informatique
- Prévoir des sauvegardes hors réseau des logiciels informatiques indispensables et les coordonnées des personnes à contacter
- Prévoir une cartographie du système de stockage des produits de santé
- Demander des procédures dégradées et manuels aux fabricants de tous les équipements de la PUI
- Inscrire la PUI dans la liste des systèmes essentiels en cas de cyberattaque de l’établissement
- Si possible, choisir des équipements full-web
- Rédiger des modes dégradés organisationnels de la PUI sur une longue durée
- Faire des exercices pour se préparer en interne à la PUI, de manière transversale avec les autres services, et coordonnée avec la cellule de crise
- Prévoir dans les marchés, des modes dégradés de commandes auprès des fournisseurs
- Préparer des kits de communications vers les services, la cellule de crise, les prestataires, etc.
Vous souhaitez en savoir plus ? Consultez le replay de la table ronde "PUI, faire face à une cyberattaque".
