Cyberattaques : faites-vous hacker !

Pour se préparer aux cyberattaques, certaines organisations se mettent délibérément en difficulté afin d'étudier leurs failles.

Face à une attaque informatique, les antivirus ne suffisent pas. Pour se préparer, certaines organisations se mettent délibérément en difficulté afin d'étudier les failles aussi bien logicielles qu'organisationnelles.

Cet article est extrait du mensuel Sciences et Avenir n°934, daté décembre 2024.

Avril 2024. Au centre hospitalier Annecy Genevois, une cyberattaque vient de priver d'informatique et de téléphone les urgences en gynécologie, obstétrique, pédiatrie et néonatalité. Infirmiers, aides-soignants, médecins, tout le monde en est réduit au stylo et au papier. Les conduits pneumatiques servant à envoyer documents ou échantillons sont hors service. Dans les couloirs, les chariots autonomes transportant le linge ne fonctionnent plus, il faut les pousser. "Peu à peu, vous dégarnissez vos services : une personne part chercher les brancardiers, une autre part en radio, une autre à l'Établissement français du sang, encore une autre va récupérer des médicaments… À la fin, vous n'avez plus personne et des opérations toutes simples prennent un temps fou ", témoigne Hervé Pellarin, responsable de la sécurité des systèmes d'information de l'hôpital (RSSI).

Contrairement à d'autres attaques d'hôpitaux (Rouen en 2019, Corbeil-Essonnes et Versailles en 2022), l'événement n'a pas fait l'actualité. Et pour cause : c'était une simulation, orchestrée par le RSSI lui-même. Appelée "opération Papyrus", son objectif était d'évaluer les besoins en documentation papier dans l'hôpital, et si celle disponible en cas de panne informatique restait adaptée. Un nouveau-né exige par exemple l'impression de 28 étiquettes par jour. Un patient arrivant à l'hôpital s'en voit attribuer une avec un identifiant sur un bracelet.

Quatre patients virtuels ont été choisis parmi le personnel de l'hôpital, auxquels ont été attribuées des pathologies. Ils ont alors été suivis et "soignés" en mode dégradé. "Chaque étape du parcours de soins correspond à des feuilles de procédure, poursuit Hervé Pellarin. Nous devions vérifier si celles qu'on avait permettaient bien de passer d'une étape à l'autre, si toutes les informations y figuraient ou s'il en manquait. D'ailleurs il en manquait ; c'est le but de ce genre d'exerci[...]

Lire la suite sur sciencesetavenir.fr