La nuit de samedi à dimanche semble être un moment propice pour cibler les hôpitaux. Le Centre Hospitalier Sud Francilien (Essonne) a été confronté à cette situation à l'été 2022, et son homologue d'Armentières (Hauts-de-France) vient de subir un scénario similaire entre le 10 et le 11 février.
Le principal canal de communication choisi par l'hôpital d'Armentières pour informer le grand public de cet incident est sa page Facebook, sur laquelle ses communiqués sont relayés.
Le premier communiqué, diffusé dimanche en fin de matinée, confirmait la présence d'un ransomware et annonçait les premières mesures organisationnelles prises, notamment la fermeture des urgences à l'exception de la maternité pendant 24 heures par mesure de sécurité, ainsi que la déprogrammation des consultations et des opérations non urgentes du 12 février.
Le deuxième communiqué, diffusé dans l'après-midi du 12 février, se concentrait davantage sur la question informatique, détaillant les logiciels opérationnels et ceux qui étaient inaccessibles. Le centre hospitalier signalait également la nécessité d'une intervention humaine pour la programmation, l'analyse et la vérification des machines et automates, bien qu'ils soient fonctionnels. Il était prévu de rouvrir les urgences le lendemain à 16 heures, ce qui a effectivement été réalisé.
Un troisième communiqué a informé du rétablissement des fonctions de support telles que l'imagerie, le laboratoire et la pharmacie, ainsi que la mise en place de solutions palliatives pour compenser l'absence de certains logiciels non critiques.
En ce qui concerne le Centre Hospitalier Sud Francilien, il n'avait pas immédiatement divulgué l'implication d'un ransomware (en l'occurrence, LockBit 3.0), mais avait rapidement annoncé le déclenchement du plan blanc. L'attaque avait rendu tous ses logiciels métiers, ses systèmes de stockage et le système d'information pour les admissions de patients inaccessibles, entraînant la redirection des patients nécessitant un plateau technique vers d'autres hôpitaux de la région.
Quatre jours après l'attaque, un bilan avait été dressé sur la continuité des services, confirmant notamment la validation de l'intégrité des appareils du plateau technique et l'intention de fournir des graveurs de CD pour conserver et transmettre les données médicales.
Le rétablissement était priorisé pour les applications du personnel médical, suivies de la messagerie et du logiciel des ressources humaines.
Trois semaines après l'incident, le fonctionnement des urgences restait perturbé, avec les patients critiques redirigés vers d'autres établissements. Une collaboration solidaire était en place avec le Centre Hospitalier d'Arpajon, où une partie du personnel paramédical du Centre Hospitalier Sud Francilien s'était délocalisée.
Du côté informatique, le déploiement d'un EDR était en cours pour restaurer l'accès aux e-mails et à Internet.
Le flux de communication s'était progressivement réduit à partir de mi-octobre, alors que le Centre Hospitalier Sud Francilien se préparait à reprendre une activité normale. La remise en service des logiciels métiers avait été lancée, et des envois postaux avaient été effectués pour informer les 700 000 usagers et membres du personnel.