Cyberattaqué il y a un an, le CH Armentières estime la facture à plus de 3 M€

"C'était dans la nuit de samedi à dimanche. À 2 heures du matin, l'astreinte informatique reçoit un coup de fil..."

Thomas Aubin s'est habitué à relater le fil de la cyberattaque subie en février 2024 par le centre hospitalier d'Armentières (Nord).

Le RSSI du groupement Hôpitaux Publics Grand Lille a effectivement multiplié les "retex froids". Il avait notamment témoigné lors de la dernière édition du salon SantExpo. Et évoqué, à cette occasion, les coûts estimés de l'incident : environ 2 M€, en incluant gestion de crise et pertes de recettes. Un montant que la Cour des comptes a repris dernièrement dans un rapport sur la sécurité informatique des établissements de santé.

Le voilà revu à la hausse. Il est désormais question d'une facture de 2,5 M€, à laquelle s'ajoute un investissement d'un million d'euros (400 000 en 2024 ; 600 000 en 2025). Des suites de l'attaque, le centre hospitalier a effectivement entrepris de faire évoluer son SI, par exemple avec la mise en place d'un modèle de tiering Active Directory. "On a eu l'occasion de le faire parce que quand un SI est partiellement à l'arrêt, c'est beaucoup plus simple que quand l'hôpital doit tourner 24 heures sur 24 avec un système en production", a déclaré Thomas Aubin lors du FIC 2025.

"Ils ont perdu la connaissance de l'usage" : une cyberattaque révélatrice

Le centre hospitalier a aussi dû accompagner quelque 800 agents dont les coordonnées bancaires ont été exfiltrées. Environ 230 000 patients sont également concernés, sans fuite de données médicales.

L'accès initial se fit en décembre 2023 au travers d'un compte VPN. La prise de contrôle du domaine (en tant qu'administrateur) intervint le 19 janvier 2024. Du 23 au 27 janvier, divers outils furent déployés (mécanismes de persistance sur le pare-feu, arrêt de la réplication et du chiffrement des sauvegardes...). Jusqu'à la nuit du 11 au 12 février et la mise en action d'un exécutable de chiffrement. 95 % des postes de travail furent touchés, en plus de serveurs et de sauvegardes.

Les urgences durent être fermées pendant 72 heures. Et le centre hospitalier, fonctionner en mode dégradé. "À dos d'homme, à pied d'homme, à tête d'homme, avec papier et crayon", pour reprendre les mots de Nathalie Borgne. La directrice déléguée du CH Armentières mentionne un enseignement tiré au bout de quelque jours : "Les personnels sont parfois tellement assistés par l'informatique qu'ils ont perdu la connaissance de l'usage. Notamment pour les jeunes générations, sur le plan managérial, il a [fallu accompagner et travailler certains sujets]. Heureusement qu'il y a de l'intergénérationnel dans nos structures."

L'absence d'une "trousse de secours" informatique

Les hôpitaux disposent, par région, de stocks en cas de situation de crise. Cependant, la partie informatique n'avait pas été identifiée "à proprement parler en termes d'équipements". Le CHU de Lille a dû mettre rapidement à disposition 50 postes de travail, en plus d'ingénieurs et de techniciens. Depuis lors l'ARS a pris des dispositions afin que chaque région dispose d'une "trousse de secours" informatique.

"Pour les hôpitaux non régulés, le point de référence, c'est le CERT Santé", précise Thomas Aubin. Au départ, l'interface s'est faite au moyen d'appels téléphoniques, puis de sessions de visio et d'un canal Tchap. "L'ANSSI nous a beaucoup aidés sur les aspects de communication", ajoute le RSSI. Le C3N a apporté son renfort après le dépôt de plainte.

Nathalie Borgne appelle à "ne pas mésestimer la cinétique sur les cyberattaques". "Beaucoup pensent que l'hôpital d'Armentières est revenu à la normale très rapidement. On est à plus d'une année maintenant [et] on est encore convalescent. On a encore au moins une béquille et cela a un vrai impact sur le management d'une structure."

Illustration générée par IA