Le Centre Hospitalier de Dax partage son retour d’expérience et les mesures de prévention un an après la cyberattaque du 9 février 2021 qui a anéanti son système d’information.
Quatre questions à Aline Gilet-Caubère, directrice Qualité et Gestion des Risques et relations usagers du Centre Hospitalier de Dax
Pourquoi publier un retour d’expérience un an après et en quoi l’exercice aide-t-il le Centre Hospitalier de Dax ?
Le premier retour d’expérience a été réalisé en juin 2021, 5 mois après l’attaque, à la demande du DSIO du CH Côte Basque, pour une présentation à leur CME. Et puis, plusieurs partenaires ont souhaité partager notre expérience : FHF Nouvelle Aquitaine, ARS Réunion, GHT de Cornouailles, GHT Tarn et Garonne. Certains de nos professionnels ont également été sollicités par leur réseau professionnel : Réseau des RSSI, Formation Directeur Médicaux de Crise, Réseaux des Pharmaciens. Ça apparaissait utile bien au-delà de notre établissement. Nous avons toujours répondu favorablement et avons souhaité partager cette expérience en toute transparence pensant que personne ne pouvait imaginer les impacts d’une telle crise, inédite par sa gravité et son étendue.
Fin 2021, nous avons souhaité approfondir en lançant un RETEX interne plus large, sollicitant toutes les équipes autour de 5 questions :
-
Le vécu de la cyberattaque et les premiers impacts dans les services ?
-
Les premières mesures mises en place (organisations et procédures dégradées) ?
-
Les étapes vers un retour à la normale du service ?
-
Le bilan à fin décembre : récupération, reste à faire ? rattrapage ?
-
Les enseignements à tirer de cette expérience ?
Cela a conduit, outre la meilleure identification des aspects techniques et organisationnels, à permettre aux équipes, par la verbalisation, de dépasser cette expérience, et de tourner la page.
Aviez-vous anticipé l’étendu des dégâts ?
Je crois que dans ce type de crise, quand vous êtes dans les premiers à l’expérimenter, rien n’est vraiment prévisible. Même si des plans de sécurisation peuvent être prévus et rédigés, rien ne se passe comme on l’a écrit. Le plus important est de savoir s’adapter à la situation, se faire confiance et faire preuve d’agilité. L’impact favorable a été dans la capacité d’un collectif de se dépasser et à faire corps pour continuer à assurer les missions de l’hôpital. Mais cela était prévisible, car la gestion de la crise Covid depuis février 2020, a été pour nous, comme une forme d’apprentissage. Avec un an de recul, je crois que cette expérience nous a rendu plus fiers de notre hôpital et des équipes qui y travaillent.
Quels rôles ont tenu auprès de vous vos tutelles et les élus dans cette cyberattaque ?
Dès les premiers jours de la crise, l’ARS et les acteurs locaux ont été présents et en soutien. 48h après la cyberattaque, le DG de l’ARS est venu rencontrer les équipes, accompagné des élus locaux dont le Maire de DAX, président du Conseil de surveillance. Ce soutien, d’abord moral, a été rapidement concrétisé par des aides en matériels, la mise à disposition de compétences informatiques, et un engagement à nous aider financièrement pour nous relever. Les collectivité locales, Mairie, Conseil Départemental ainsi que la CCI, l’Agence Landaise pour l’Informatique (ALPI) ont été réactifs dans leur soutien en matériel et compétences. Tous, ont été au rendez-vous.
Il faut noter également la très forte solidarité de la communauté hospitalière, de nos collègues des CH de Bayonne, Mont de Marsan, Pau, Tarbes, Lourdes, Lannemezan qui nous ont également prêté du matériel et mis à disposition des informaticiens. Les centres de radiothérapie de la région ont, en 48h, permis l’accueil de nos patients en cours de traitement. Cette aide a été formidable.
Quels conseils donneriez-vous aux établissements qui souhaitent se préparer au risque d’une cyberattaque ?
Tout comme on effectue des exercices plan blanc, je suggérerais de faire régulièrement une simulation de cyberattaque. Peut-être pas à l’échelle d’un établissement, mais en ciblant les services dont l’usage de l’informatique peut paralyser une ou plusieurs activités. Se projeter par la simulation est le meilleur des apprentissages.
Crédits photo : Centre Hospitalier de Dax & Isabelle Louvier
