En février 2024, la Roumanie a fait face à l’une des cyberattaques les plus graves jamais dirigées contre un système de santé dans le monde. Pendant quatre jours, plus d’une centaine d’hôpitaux ont été contraints de fonctionner sans accès à Internet, contrecarrant ainsi la progression d’un rançongiciel qui menaçait des milliers de patients. L’épisode, qui s’est déroulé du 10 au 14 février, est aujourd’hui étudié par les planificateurs de crise de nombreux pays comme un cas d’école.
Une infiltration via un logiciel médical très répandu
L’attaque a débuté lorsque des pirates ont réussi à s’introduire dans les systèmes de la société RSC, basée à Bucarest, éditrice du logiciel hospitalier Hippocrates. Ce dernier est utilisé par les médecins, infirmiers et chirurgiens pour gérer l’ensemble des tâches administratives et médicales : admissions, prescriptions, résultats d’analyses, logistique pharmaceutique ou encore paie. En infectant ce logiciel avec une variante de rançongiciel nommée BackMyData, les cybercriminels ont crypté les fichiers et exigé une rançon en bitcoins.
Les premières anomalies ont été détectées le dimanche matin par le personnel de l’hôpital pour enfants de Pitești, au nord-ouest de Bucarest. Dès l’aube du lundi, de nombreux autres établissements signalaient l’indisponibilité du système Hippocrates. Face à la propagation rapide, Dan Cimpean, directeur de la Direction nationale de la cybersécurité (DNSC), a pris une décision radicale : ordonner à plus de cent hôpitaux de se déconnecter immédiatement d’Internet.
L’improvisation au chevet des patients
Cette coupure a stoppé net l’action des pirates, mais elle a aussi privé les équipes soignantes de tous les outils connectés : messagerie, accès aux bases de données, applications de gestion. Dans chaque hôpital, le personnel a dû revenir aux méthodes traditionnelles. « Ce fut une expérience très désagréable, car un dossier informatique ne se limite pas à une liste de patients », a témoigné la chirurgienne Oana Goidescu, en service à l’hôpital de Buzău, à 120 kilomètres au nord-est de la capitale. « Pour chaque patient, nous demandons des analyses de laboratoire, des examens radiologiques, des médicaments et des fournitures. Tout cela avait disparu. »
À l’hôpital Carol Davila de Bucarest, le docteur Vlad Paic a expliqué avoir mis au point une méthode hors ligne pour enregistrer chaque patient. « Nous avons demandé au laboratoire de nous fournir les résultats sur papier. Nous avons utilisé Excel et d’autres outils déconnectés pour garantir la continuité des soins. » Plusieurs médecins ont souligné que la transition relativement récente de la Roumanie vers le numérique avait paradoxalement facilité le retour à des processus analogiques, le personnel n’étant pas encore totalement dépendant des systèmes informatisés.
Enquête et remobilisation
Pendant ce temps, les experts en cybersécurité travaillaient sans relâche avec l’éditeur d’Hippocrates pour déterminer l’ampleur de l’infection et expulser les intrus. Les investigations ont révélé que 26 hôpitaux avaient été effectivement infectés par le rançongiciel BackMyData. Les établissements non contaminés ont été reconnectés le lendemain. La communication de crise était assurée par Mihai Rotariu, responsable des relations publiques du DNSC, qui informait régulièrement les médias.
Un précédent pour la planification mondiale
L’Agence fédérale américaine d’enquête (FBI) a récemment classé le secteur de la santé comme le domaine d’infrastructure critique le plus ciblé par les cyberattaques. L’expérience roumaine est désormais considérée comme un test grandeur nature pour les responsables de la gestion des crises sanitaires à travers le monde. La rapidité de décision, la coordination entre le centre national de cybersécurité et les établissements, ainsi que l’adaptabilité du personnel soignant sont saluées comme des éléments clés pour faire face à une menace de cette ampleur.
