En août 2022, le Centre hospitalier Sud Francilien (CHSF) a été victime d’une cyberattaque majeure par rançongiciel. Cet événement a fortement marqué le secteur de la santé en France, non seulement par son ampleur, mais surtout par ses conséquences concrètes sur la continuité des soins
Au-delà de l’incident technique, cette attaque constitue un véritable retour d’expérience opérationnel, révélateur des fragilités des systèmes hospitaliers, mais aussi des enjeux structurants liés à la résilience des organisations.
L’attaque a entraîné une compromission significative du système d’information de l’établissement. Une partie des serveurs a été rendue indisponible, des données sensibles ont été exfiltrées, et de nombreuses applications métiers critiques ont cessé de fonctionner.
Cette situation a conduit l’hôpital à basculer dans un mode de fonctionnement fortement dégradé, qui s’est prolongé bien au-delà de la phase aiguë de la crise. Pendant plusieurs semaines, l’établissement a dû adapter son fonctionnement pour maintenir les soins essentiels.
Les impacts ont été immédiats et structurants. Les admissions ont été ralenties, certaines interventions ont dû être reportées, et les équipes ont été contraintes de revenir à des procédures papier. Cette désorganisation a affecté la coordination entre les services, la fluidité des parcours patients et la capacité globale de l’établissement à fonctionner dans des conditions normales.
Cet événement illustre de manière très concrète un point souvent sous-estimé : l’indisponibilité du système d’information hospitalier n’est pas un incident technique, c’est une crise opérationnelle majeure.
L’un des enseignements majeurs de ce RETEX réside dans la complexité intrinsèque des systèmes d’information hospitaliers.
Les SI de santé se sont construits sur plusieurs décennies, par empilement successif de solutions, d’applications métiers, d’interfaces et de dépendances techniques. Cette évolution progressive a permis d’atteindre un certain niveau de maturité fonctionnelle, mais elle s’est souvent accompagnée d’une dette technique importante.
Aujourd’hui, un système d’information hospitalier repose sur :
Dans ce contexte, remettre en service un tel système après une attaque ne consiste pas simplement à redémarrer des serveurs. Il s’agit d’un processus long, complexe et séquencé, qui nécessite de reconstruire des briques entières du SI.
Contrairement à une idée répandue, la reprise après une cyberattaque ne passe pas uniquement par la restauration des sauvegardes. Dans de nombreux cas, notamment lors d’attaques par rançongiciel, les dispositifs de reprise reposent sur une reconstruction progressive du système d’information.
Cette approche s’explique par plusieurs facteurs :
Cependant, cette reconstruction pose des contraintes majeures.
Les infrastructures hospitalières ne sont généralement pas dimensionnées pour restaurer l’ensemble du système d’information en une seule fois. Les capacités de stockage, de calcul et de réseau imposent des arbitrages et des priorisations.
Il devient alors nécessaire de définir un ordre de reprise :
Ce processus peut s’étaler sur plusieurs semaines, voire plusieurs mois, avec un fonctionnement durable en mode dégradé.
Ce point est essentiel : la reprise d’un SI hospitalier est un processus progressif, contraint et incertain, qui nécessite une préparation en amont.
Face à l’incident, une cellule de crise a été activée, mobilisant la direction, la DSI, les équipes métiers ainsi que les autorités compétentes.
La gestion de crise s’est articulée autour de plusieurs axes.
La priorité absolue a été donnée au maintien des soins critiques. Les équipes ont dû mettre en œuvre des procédures dégradées, parfois peu utilisées ou insuffisamment formalisées. Cette situation a mis en évidence l’écart entre les dispositifs théoriques et leur application réelle en situation de crise.
En parallèle, l’établissement a dû gérer une forte pression médiatique, liée notamment à la fuite de données. La communication interne et externe est devenue un enjeu majeur, nécessitant coordination et réactivité.
Enfin, la reconstruction du système d’information a mobilisé des ressources importantes sur une période prolongée, confirmant que la sortie de crise dépasse largement la phase initiale de l’incident.
Ce retour d’expérience met en évidence plusieurs enseignements structurants pour les établissements de santé.
Tout d’abord, la dépendance au système d’information est totale. Le SI n’est plus un support, il est au cœur de la production de soins. Toute indisponibilité a un impact direct sur l’activité.
Ensuite, les dispositifs de continuité d’activité doivent être profondément opérationnels. Un plan non testé ou non approprié par les équipes ne permet pas de faire face à une crise réelle.
Par ailleurs, la prise en compte de la complexité du SI est indispensable. Les stratégies de reprise doivent intégrer les contraintes techniques, les dépendances applicatives et les limites des infrastructures.
Enfin, la préparation à la crise est déterminante. Les organisations qui ont anticipé, testé et structuré leurs dispositifs sont celles qui résistent le mieux.
Dans ce contexte, le programme CARe (Cybersécurité Accélération et Résilience des Établissements), et en particulier son domaine D2, apporte une réponse structurante aux enjeux identifiés.
Le domaine D2 vise à accompagner les établissements dans le déploiement de PCRA (Plans de Continuité et de Reprise d’Activité) réellement opérationnels.
L’approche proposée repose sur plusieurs piliers.
Elle commence par une analyse d’impact métier (BIA), permettant d’identifier les activités critiques et leurs dépendances. Cette étape est essentielle pour prioriser les efforts et définir des objectifs de reprise réalistes.
Elle se poursuit par la formalisation de stratégies de continuité et de reprise, intégrant les contraintes spécifiques des systèmes d’information de santé.
Enfin, elle intègre une mise en condition opérationnelle, avec des tests, des exercices et une amélioration continue des dispositifs.
Cette approche progressive, structurée en niveaux de maturité, permet aux établissements de construire une résilience adaptée à leur contexte.
L’attaque du Centre hospitalier Sud Francilien constitue un tournant dans la prise de conscience du secteur.
Elle démontre que la cyberattaque est avant tout une crise globale, impactant l’ensemble de l’organisation. Elle met en évidence la complexité des systèmes d’information hospitaliers et la difficulté réelle de leur remise en service.
Dans ce contexte, la résilience ne peut plus reposer uniquement sur des mesures de sécurité. Elle doit s’appuyer sur une approche structurée de la continuité d’activité, intégrant les réalités opérationnelles et techniques.
Les démarches comme ISO 22301 et le programme CARe D2 offrent aujourd’hui un cadre pertinent pour répondre à ces enjeux.
Les établissements qui s’engagent dans cette voie ne cherchent pas uniquement à se protéger. Ils construisent leur capacité à continuer à soigner, même en situation de crise.
