À 02h14 un dimanche matin de février 2026, un centre hospitalier régional a subi une attaque par rançongiciel ciblant son système d'information. Grâce à un dispositif de continuité outillé par ResiPlan, l'établissement a maintenu la prise en charge des patients, isolé la menace en moins d'une heure et restauré les services critiques en 18 heures. Retour sur cet incident et ses enseignements.
Contexte
L'établissement est un centre hospitalier régional français de taille intermédiaire :
- 800 lits d'hospitalisation dont 70 lits de soins critiques
- 5 000 collaborateurs (médicaux, soignants, administratifs)
- 450 applications informatiques dont 38 classées critiques
- Un plan blanc activé en moyenne 3 fois par an depuis la crise sanitaire
- Certifié HDS (Hébergeur de Données de Santé)
L'hôpital avait déployé ResiPlan 14 mois avant l'incident, dans le cadre d'un programme de résilience répondant aux exigences NIS2 et aux recommandations de l'ANSSI pour le secteur santé.
L'incident
Détection (00h00 à 00h47)
L'alerte initiale provient d'un EDR signalant un chiffrement anormal sur un serveur de fichiers du service radiologie. En parallèle, le SOC mutualisé détecte une activité PowerShell inhabituelle sur trois autres serveurs. Le pivot entre les deux signaux et la classification "incident majeur cyber" interviennent à 00h47, soit 47 minutes après la première alerte.
Impact initial
- 14 serveurs chiffrés dont 2 serveurs de bases de données administratives
- Le Dossier Patient Informatisé (DPI) reste accessible mais lent
- PACS (imagerie) partiellement dégradé
- Messagerie interne hors service
- Admission, facturation et circuit du médicament impactés
Exigence de rançon
Le groupe attaquant réclame une rançon en cryptomonnaie avec un compte à rebours de 72 heures. Conformément à la doctrine de l'ANSSI et à la politique interne, l'établissement décide immédiatement de ne pas payer.
Rôle de ResiPlan dans la réponse
Activation des fiches réflexes (00h47 à 01h30)
Le directeur général de la cellule de crise déclenche l'IRP cyber depuis l'interface mobile ResiPlan. Les fiches réflexes des 40 premières minutes sont poussées sur les terminaux des 12 membres de la cellule. Les actions critiques sont suivies en temps réel : isolation réseau (VLAN admin), mode dégradé du DPI, activation du plan de communication interne.
Visualisation des cascades de dépendances
Le graphe de dépendances CMDB identifie en trois clics les 112 processus métiers potentiellement impactés par les 14 serveurs touchés. Les équipes priorisent les 28 processus liés à la prise en charge vitale (urgences, bloc, soins critiques) et activent les procédures dégradées correspondantes.
Coordination du plan de reprise
Les équipes IT suivent le DRP pas à pas : restauration depuis les sauvegardes froides vérifiées (non chiffrées par l'attaque), reconstruction en environnement hors ligne, tests d'intégrité avant remise en production. Chaque étape est horodatée et documentée dans ResiPlan à fins d'audit et de retour d'expérience.
Chronologie de la reprise
| Heure | Action |
|---|---|
| 00h00 | Premier signal EDR |
| 00h47 | Classification incident majeur cyber |
| 01h15 | Cellule de crise activée sur site et en distanciel |
| 01h30 | Isolation réseau effective, plan blanc IT activé |
| 03h00 | Communication interne à tous les services |
| 04h00 | ANSSI et ARS informées, dépôt de plainte engagé |
| 08h00 | Mode dégradé stable, activité programmée reportée |
| 14h00 | Restauration des 2 serveurs BDD prioritaires |
| 18h00 | Retour des 38 applications critiques en production |
| 72h | Retour complet, hors ransomware non décrypté |
Résultats
- Zéro patient transféré en urgence faute de prise en charge
- Aucune perte de données cliniques au-delà d'un RPO de 2 heures
- Activité programmée reportée pendant 48h, rattrapée en 10 jours
- Rançon non payée
- Mission ANSSI et assureur conduites avec dossier complet en 5 jours
Leçons apprises
Ce qui a fait la différence :
- Les fiches réflexes mobiles ont permis une activation en pleine nuit sans attendre la cellule de crise physique
- La qualité de la CMDB a réduit le temps d'analyse d'impact de plusieurs heures à quelques minutes
- Les sauvegardes immuables testées tous les trimestres se sont révélées non compromises
- Le tabletop ransomware de septembre 2025 avait rodé les bons réflexes
Points d'amélioration :
- Les procédures d'admission dégradée papier n'étaient pas à jour, ralentissant l'accueil aux urgences
- La segmentation réseau entre les zones médico-technique et administrative a été renforcée après l'incident
- Le plan de communication externe vers les médias a été entièrement revu suite au REX
Pour aller plus loin
ResiPlan équipe plus d'une vingtaine d'établissements de santé en France et en Europe. La plateforme combine fiches réflexes mobiles, cascades de dépendances, playbooks cyber et retour d'expérience structuré pour transformer chaque incident en actif de résilience.
- Solution BCM et continuité d'activité
- 10 scénarios d'exercice de crise pour tester votre BCMS
- Parler à un expert
- Tarifs et démonstration
Cas client anonymisé avec accord du client. Les chiffres, horaires et impacts sont authentiques ; l'identité de l'établissement est protégée.