Hoja de repaso: Gestion de Crise en Cyberattaque Hospitalière

📋 Plan du Cours

1. Hôpital cyberattaqué et déclenchement
2. Cellule de crise et pilotage
3. Impacts médico-techniques et patients
4. Fonctions supports, juridique et communication
5. Système d’information et modes dégradés
6. Coordination territoriale et plan blanc
7. Résilience et culture cyber
8. Préparation à la cyberattaque
9. Lecture systémique de la crise cyber

📖 1. Hôpital cyberattaqué et déclenchement

🔑 Notions clés & Définitions

• ADG administrateur de garde : Notion d’organisation hospitalière regroupant un responsable d’astreinte, mobilisable dès qu’un incident survient dans l’établissement.
• Plan blanc : Dispositif hospitalier mobilisable lors d’un événement majeur afin d’organiser temporairement l’adaptation de la prise en charge et des organisations.
• Message des hackers : Élément de déclenchement extérieur à l’hôpital, signalant une demande de rançon et conduisant à activer des mesures immédiates.

📝 Points essentiels

• La majorité des cyberattaques ciblent la nuit du samedi au dimanche car l’activité est plus faible et les effectifs réduits.
• Dans l’exemple présenté (août 2022), vers 5h du matin des hackers envoient un mail demandant une rançon.
• En réaction immédiate, l’hôpital coupe le réseau internet/lien extérieur et débranche les logiciels, ce qui rend les écrans noirs.
• Le plan blanc peut être déclenché mais certains automatismes (rappel automatique des personnels) peuvent ne plus fonctionner.
• Lors de l’exemple, l’accès aux ordonnances informatiques est perdu le dimanche matin, obligeant des ordonnances manuscrites.

💡 Astuce mémo

Déclenchement en 3 gestes : mail de rançon → couper l’extérieur → plan blanc + bascule papier.

📖 2. Cellule de crise et pilotage

🔑 Notions clés & Définitions

• Cellule de crise multidisciplinaire : Instance de pilotage réunissant plusieurs métiers (administratif, médical, soignants, systèmes d’information) pour décider au quotidien dans la crise.
• CCH cellule de coordination hospitalière : Structure de coordination hospitalière chargée de prioriser et d’ordonner l’activité de soins pendant la crise.
• Bénéfice/Risque par service : Méthode de décision consistant à comparer les gains attendus et les risques associés, afin d’arbitrer transferts, actes et priorités.

📝 Points essentiels

• La cellule de crise restreinte se réunit chaque jour (direction, CME, coordination générale des soins, direction des SI, ressources humaines, communication).
• Des CCH sont tenues 2 à 3 fois par semaine pour décider de l’ordre de prise en charge des patients.
• Dans les 4 semaines suivant l’attaque, des chirurgies restaient nécessaires, ce qui a conduit à des arbitrages de priorités.
• La communication interne peut passer par des lettres manuscrites glissées sous les portes des services.
• Les transferts incluent une analyse Bénéfice/Risque pour décider quels patients orienter et vers quels objectifs de soins.

💡 Astuce mémo

CCH = “tri” régulier : on décide l’ordre des prises en charge, service par service, par Bénéfice/Risque.

📖 3. Impacts médico-techniques et patients

🔑 Notions clés & Définitions

• Fonctions médico-techniques : Ensemble des activités dépendantes d’outils et d’analyses, essentielles pour imagerie, pharmacie et biologie dans la prise en charge.
• Imagerie : Fonction médico-technique dont les examens et la diffusion des résultats deviennent limités en cas de panne des systèmes.
• Biologie pharmacie : Paires d’activités médico-techniques dont les capacités de production, de validation et de délivrance peuvent être réduites lors d’une cyberattaque.

📝 Points essentiels

• Les fonctions médico-techniques prioritaires sont l’imagerie, la pharmacie et la biologie, à réparer le plus rapidement possible.
• Le risque le plus durable pour les hôpitaux comparé à d’autres menaces (incendie, accidents) est attribué à la cyberattaque car la réparation du SI peut durer des années.
• La prise en charge des patients est fortement limitée tant que ces 3 fonctions ne sont pas réparées, avec un temps de traitement accru (scanner et résultat en 4h au lieu de 1h).
• Dans l’exemple, des nouveaux-nés néonataux sont déplacés à cause d’une menace sur des monitorings maintenant en vie les patients.
• Une partie des patients (nouveaux arrivants) peut être orientée ailleurs quand le réseau du SAMU n’est pas confondu avec celui de l’hôpital attaqué, mais les urgences de la structure restent reçues pour les autres…

💡 Astuce mémo

Le “noyau dur” médico-technique : Imagerie + Biologie + Pharmacie, sinon moins de patients et délais qui explosent.

📖 4. Fonctions supports, juridique et communication

🔑 Notions clés & Définitions

• Données médicales volées : Données relatives aux patients susceptibles d’être exfiltrées puis revendues, générant des actions à mener pour les personnes concernées.
• ANSSI : Autorité rattachée au ministère mentionnée comme appui pour les hôpitaux touchés par une cyberattaque.
• Cellule d’écoute : Dispositif mis en place à la suite de l’exfiltration afin de répondre aux usagers, personnels et fournisseurs concernés.
• Procureur de la République : Autorité citée comme point d’appui pour organiser des démarches conservatoires et sécuriser juridiquement les dépôts de plainte.

📝 Points essentiels

• En cas de vol, sont cités des données médicales et aussi des données personnelles comme RIB, carte vitale et carte d’identité.
• Une procédure de plainte peut être organisée via rapprochement du procureur de la République pour permettre des dépôts de manière conservatoire.
• Dans l’exemple, environ 1 million de plis adressés aux usagers, personnels et fournisseurs sont mentionnés après exfiltration.
• Les fonctions supports sont impactées par la nécessité de faire manuellement la paie et le codage des actes pour calculer les recettes.
• L’activité réduite entraîne moins de recettes et peut nécessiter une négociation d’une avance à l’assurance maladie puis un remboursement.
• Une cellule d’écoute est mise en place pour gérer les conséquences liées au vol de données.

💡 Astuce mémo

Juridique en mode “conservatoire” : procureur + C3N (dans l’exemple) pour faciliter les démarches sans déplacement immédiat.

📖 5. Système d’information et modes dégradés

🔑 Notions clés & Définitions

• PCA plan de continuité d’activité : Plan décrivant comment maintenir le fonctionnement quand on bascule du numérique vers des organisations de secours.
• PRA plan de reprise d’activité : Plan visant à planifier le retour progressif à l’activité, en lien avec la reprise des systèmes après l’incident.
• Modes dégradés : Dispositifs temporaires qui réduisent ou remplacent des fonctions (prescriptions, planning, commandes) lorsque les outils numériques ne sont plus disponibles.
• Trésor public séparation ordonnateur/comptable : Principe de traitement budgétaire où l’ordonnateur ordonne et le comptable paie seulement sur la base de preuves d’exécution.

📝 Points essentiels

• Le passage numérique vers le papier est présenté via PCA, tandis que la reprise d’activité est couverte par le PRA.
• Dans l’exemple, des clés 4G sont attribuées pour les fonctions critiques afin de communiquer en externe.
• En phase d’impact, le plan blanc inclut notamment des prescriptions papier et la gestion dégradée de la paie et de la planification.
• La mise en œuvre du plan blanc doit intégrer la perte des outils d’admission et de gestion financière avec des capacités de commande et de règlements dégradées.
• La séparation ordonnateur/comptable implique qu’il faut des traces de l’exécution des actes sans système informatique pour payer légalement fournisseurs et salaires.
• Pendant la phase de contrainte, des modes dégradés sont tenus pendant au moins 3 mois pour les fonctions médico-techniques.

💡 Astuce mémo

PCA = “continuer” (papier), PRA = “reprendre” : le duo bascule numérique puis retour à l’activité.

📖 6. Coordination territoriale et plan blanc

🔑 Notions clés & Définitions

• Ré-adressage des patients : Organisation territoriale qui consiste à rediriger des patients vers d’autres capacités de soins quand l’hôpital attaqué est limité.
• Coopération de crise : Organisation de collaboration avec les établissements voisins pour adapter collectivement les prises en charge pendant la contrainte.
• Confinement SIH : Mesure organisationnelle liée aux systèmes d’information hospitaliers visant à gérer des éléments critiques (accès, sauvegardes, communications) pendant l’attaque.

📝 Points essentiels

• La coordination territoriale s’appuie sur ARS et SAMU et sur les établissements du département, voire de la région.
• En phase d’impact, il faut co-construire un plan de ré-adressage et gérer la surcharge possible dans les hôpitaux sollicités.
• Dans l’exemple, après saturation, l’hôpital cesse d’envoyer ses patients vers les autres hôpitaux, ce qui souligne l’importance des relations de voisinage.
• Une coopération de crise avec les établissements voisins doit être conçue, mise en œuvre et évaluée pendant la crise.
• Le plan blanc doit être mis en œuvre, amendé et perennisé dans toutes ses composantes, dont la gestion de l’arrêt des consultations et de la perte des comptes rendus et plannings.
• Le confinement SIH inclut des choix opérationnels comme sauvegardes externes, documents importants à conserver et anticipation de la trésorerie avec le comptable public.

💡 Astuce mémo

Territoire sous pression : co-adresser, mais surveiller la saturation des voisins pour éviter l’emballement.

📖 7. Résilience et culture cyber

🔑 Notions clés & Définitions

• Petites victoires : Principe de management consistant à valoriser régulièrement des progrès concrets pour maintenir la mobilisation dans la durée.
• Culture cyber sécurité : Ensemble des attitudes et pratiques partagées qui rendent la sécurité numérique plus collective après une crise.
• Transformation en opportunité : Démarche visant à utiliser la reconstruction et le retour d’expérience pour moderniser et renforcer durablement l’hôpital.

📝 Points essentiels

• Au-delà de 6 mois, l’enjeu est de soutenir les équipes sur la durée et de faire face au pessimisme, découragement et colère.
• La résilience passe par la présentation régulière d’avancées (“petites victoires”).
• La trajectoire de reconstruction du SIH se fait via une co-construction pour donner une cible partagée.
• Une organisation post-crise et une feuille de route SIH structurent la sécurisation et la dématérialisation vers Mon espace Santé avec la messagerie sécurisée citoyenne.
• Le retour d’expérience est utilisé pour formaliser des PCA/PRA côté DSI et aussi des PCA dans des services sensibles comme dossier patient et biologie médicale.
• La formation à la sécurité numérique est intégrée au plan de développement des compétences institutionnel via des dispositifs de formation.

💡 Astuce mémo

Résilience = moral + méthode : petites victoires + feuille de route SIH + formation pour faire adhérer.

📖 8. Préparation à la cyberattaque

🔑 Notions clés & Définitions

• Volonté de penser global : Approche qui traite la cyberattaque comme un sujet transversal, impactant tous les métiers et non seulement les informaticiens.
• Volet numérique du plan blanc : Partie du plan blanc dédiée aux bascules et procédures liées au numérique lorsque l’attaque empêche les systèmes habituels.
• Management de la sécurité des SI : Organisation de pilotage de la sécurité numérique, transversale, pour réduire les risques et préparer la gestion de crise.

📝 Points essentiels

• La préparation insiste sur la révision des procédures dégradées, avec une attention particulière pour fonctions support médico-techniques.
• Le SAMU doit disposer d’un système d’informations différent de celui de l’hôpital pour éviter la dépendance au même réseau en crise.
• La détection et l’alerte nécessitent que les ingénieurs sachent distinguer une panne d’une cyberattaque.
• La communication et la gestion de crise doivent être pensées en amont, avec des sujets préparés avant l’événement.
• Il faut formaliser le volet numérique du plan blanc et renforcer la sensibilisation du personnel.
• Pour l’action territoriale, le professeur souligne que la préparation sert aussi à préserver d’autres hôpitaux en cas de crise cyber.

💡 Astuce mémo

Préparer “global” : SI + médico-technique + territoire + communication, sinon la crise déborde tous les métiers.

📖 9. Lecture systémique de la crise cyber

🔑 Notions clés & Définitions

• Nature transfrontalière de la crise cyber : Caractéristique selon laquelle la crise déborde de l’établissement attaqué et nécessite l’appui d’autres hôpitaux.
• Temporalités de la crise : Découpage de l’événement en phases, avec des impacts et niveaux d’atteinte différents selon les services et périodes.
• Articulation cellule de crise et services : Principe d’organisation où la cellule de crise soutient l’adaptation locale tout en prenant des décisions stratégiques.
• Priorisation des arbitrages : Processus de tri des demandes concurrentes afin d’allouer les moyens et services de manière cohérente.

📝 Points essentiels

• La crise nécessite un appui temporaire d’établissements voisins, variable selon la taille du centre attaqué.
• Les phases citées sont rupture brutale, continuité d’activité et rétablissement, avec intensité différente selon services et moments.
• Pendant les 4 à 5 premiers mois, des services ne peuvent communiquer qu’en transmettant des comptes rendus écrits, créant un cloisonnement.
• La dimension systémique impose une coordination et coopération accrues, et une (re)construction des liens entre spécialités dès le début.
• La cellule de crise doit relier décisions stratégiques et décisions opérationnelles locales via mini-cellules, pour adapter au contexte et associer les personnels.
• Les arbitrages doivent gérer les conflits car les demandes simultanées imposent un tri, y compris pour l’ordre de remise de moyens et de résultats (imagerie/labos).

💡 Astuce mémo

Système en 3 temps : rupture (cloisonnement) → continuité (routines papier) → rétablissement (coordination reconstruite).

⚠️ Pièges & confusions fréquents

1. Confondre PCA et PRA : PCA couvre la bascule de fonctionnement (notamment vers le papier), tandis que PRA vise la reprise structurée de l’activité.
2. Croire que la cellule de crise se limite au numérique : elle inclut aussi ressources humaines, communication et décisions médicales.
3. Penser que l’hôpital cyberattaqué peut tout transférer : l’exemple montre que la saturation des voisins peut conduire à arrêter les envois.
4. Sous-estimer les fonctions médico-techniques : sans imagerie, biologie et pharmacie, la prise en charge des patients reste très limitée.
5. Oublier la logique ordonnateur/comptable lors d’actions manuelles : sans traces d’exécution, le paiement légal des fournisseurs et salaires devient difficile.
6. Réduire la communication à l’interne : la crise impose aussi des points de situation usagers/presse et une gestion des médias et des autorités.
7. Confondre sécurité et résilience : la résilience inclut aussi soutien psychologique, “petites victoires” et formation, pas seulement la technique.

✅ Checklist Examen

1. Décrire le scénario de déclenchement avec le mail de rançon, les mesures immédiates (coupe extérieure/débranchement) et la conséquence sur l’accès aux ordonnances.
2. Citer la composition type de la cellule de crise restreinte quotidienne et le rôle des CCH (rythme et objectif d’arbitrage des patients).
3. Expliquer quelles fonctions médico-techniques sont prioritaires à réparer et pourquoi elles conditionnent directement la prise en charge.
4. Donner les effets observés sur les délais et le nombre de patients pris en charge lorsque l’imagerie/biologie/pharmacie sont indisponibles.
5. Identifier les types de données volées mentionnées et le rôle des démarches juridiques (plainte conservatoire, rapprochement du procureur, appui ANSSI).
6. Énoncer le duo PCA/PRA et préciser que le plan blanc décrit les bascules vers des modalités dégradées (prescriptions, admissions, paie).
7. Lister au moins trois composantes du plan blanc en phase d’impact (prescriptions papier, consultations, comptes rendus/planning/paie, admission/finances).
8. Expliquer comment la coordination territoriale s’organise (ARS/SAMU/établissements voisins), et pourquoi la saturation peut imposer d’arrêter les envois.
9. Donner au moins trois actions de la phase de contrainte liées aux modes dégradés (biologie validation résultats, imagerie diffusion, pharmacie commandes manuelles).
10. Indiquer comment la sécurité juridique est traitée en phase de contrainte (déclaration de plainte conservatoire via C3N/procureur et recensement des adresses).
11. Décrire les mesures de résilience au-delà de 6 mois (soutien équipes, petites victoires, co-construction, culture cyber sécurité).
12. Relier la préparation à la lecture systémique : préparation des procédures dégradées et volet numérique, et besoin d’appui territorial avec phases de crise.