Transcript
pour ne pas hurler même sur celui à qui on a donné une fonction ou une mission et qui, dans la panique, n'arrive même pas à la faire. C'est là où il faut avoir un calme et puis rester dans cette fonction de comment je vais driver les gens pour pouvoir repartir, même si vraiment, on n'a juste qu'une envie, c'est d'hurler toutes les 30 secondes à chaque fois qu'on trouve quelque chose de pire que ce qu'on avait imaginé. Bonjour et bienvenue dans ce premier épisode du podcast PTSD. Ils racontent leur crise cyber. Dans ce podcast, je vais accueillir des responsables informatiques, des DSI, des RSSI, des CFO, des CEOs, des gens qui ont vécu une crise cyber et qui veulent nous partager leur retour d'expérience. Et aujourd'hui, pour commencer, j'ai le plaisir d'accueillir Guillaume, qui va nous parler d'une crise cyber vécue dans un hôpital. Bonjour, Guillaume. Bonjour, Bastien. Merci de te joindre à moi aujourd'hui. Alors, pour commencer, est-ce que tu peux te présenter rapidement, donner un petit peu de contexte sur l'hôpital au moment de la crise ? Et puis, on va rentrer dans le détail de comment est-ce que tu as vécu cette crise-là et surtout, l'idée, c'est de partager les bonnes pratiques avec nos auditeurs. Donc, est-ce que tu peux te présenter rapidement et présenter un peu le contexte ? Oui, alors donc, du coup, aujourd'hui, je suis actuellement responsable d'un système d'information de site. Et à l'époque, j'étais responsable d'infrastructures avec un DSI juste au-dessus de moi. On est déjà dans un groupe hospitalier de territoire qui a quatre hôpitaux. Et au niveau de l'équipe, on était à peu près une douzaine de personnes avec déjà un responsable de sécurité du système d'information. Et puis voilà, en gros, il y avait, alors sinon, pour parler de l'infra même, il y avait à peu près 300 serveurs qui mélangeaient à la fois du Windows, du Linux et puis une grosse partie AX qui est moins connue. En fait, tout ça, c'était en lien avec du VMware. Voilà pour la présentation rapide de ce qu'il y avait à l'époque lorsqu'on a subi la cyberattaque. Et avant cette crise, tu avais déjà vécu des cyberattaques ? Juste en tant qu'Haiti ou vraiment avec les mains dans le cambouis, comme c'était le cas là ? Non, du tout, c'était vraiment la première fois. Et là, c'était une grosse première fois. Je n'avais jamais même abordé le sujet, même de manière, même en tant qu'exercice. On n'avait vraiment pas vécu cette chose là. Alors est-ce que justement, tu peux nous raconter comment est-ce que tu as découvert cette attaque là ? Comment est-ce que, quelles étaient les premières étapes dans les premières minutes, les premières heures suite à la découverte ? Déjà, comment tu découvres cette crise là ? Alors, c'est assez magique. Je suis en vacances. Je suis en vacances. Je dois reprendre le lundi, juste le lundi d'après. On est dimanche et j'ai un appel. J'ai un appel, un premier appel assez tôt, entre 7h et 7h30. Puis un deuxième, puis un troisième, puis un quatrième, puis un cinquième. Et là, je me dis, c'est rare que je sois dérangé juste à la veille d'une reprise. Donc, je décroche et là, j'entends mon collègue. Qui est en panique, qui était d'astreinte, qui est en panique et qui me dit il n'y a plus rien qui fonctionne. Il y a les serveurs qui ne fonctionnent pas. Je suis appelé de partout. Je fais bon, on commence par restaurer les serveurs les plus importants. Et puis, il me dit non, non, les serveurs aussi, le serveur de sauvegarde est aussi planté, il n'y a plus rien qui fonctionne. Et là, je lui dis juste, attends, je me réveille. Je vais prendre un café et je te rappelle. Parce que je ne comprends pas. Donc, je me réveille, je prends mon café. Et à ce moment là, mon directeur m'appelle et me demande de venir tout de suite. Tout de suite, vraiment, il n'y a plus à discuter. Et lui, il me met tout de suite dans le bain en me disant je pense qu'on a subi une cyberattaque. Donc, je suis en train d'appeler tout le monde. Mais toi, il faut que tu viennes tout de suite. Donc, je me débrouille, je m'habille. Et hop, en cinq minutes, je suis parti, je suis sur la route. Et puis, je suis sur la route, mais je reste en contact avec les collègues, enfin ceux qui sont sur place, qui m'expliquent ce qui se passe. Et là, par contre, je suis en train de réaliser que ce n'est pas juste on a un petit problème de sauvegarde, c'est qu'il y a vraiment un gros souci. Il m'explique que les fichiers, les répertoires ont des noms bizarres. Donc, vite, on comprend qu'il y a une attaque de type ransomware. Et puis donc, en fait, tout de suite, je leur demande ce qu'ils ont fait. Donc, pour partie, ils ont débranché certaines machines et je leur dis mais non, en fait, il faut aller tout débrancher. Il faut couper le réseau parce que parce qu'en fait, on ne sait pas ce qui est en train de se passer. On ne comprend pas. On ne sait pas s'il y a des fuites. Voilà. Donc, le premier truc, c'est s'isoler, voire arrêter les machines. Et puis j'arrive. Voilà. Et là, tout le monde court dans tous les sens parce que parce qu'on ne connaît pas, on ne sait pas. Donc, personne ne sait vraiment ce qu'il faut faire. Et c'est là où, en tant que manager, il faut commencer à dire à chaque personne écoute, ta mission, ça va être ça. Tu vas dans telle salle. En plus, on a plusieurs salles. Donc, il faut aller se répartir dans les diverses salles pour pour couper, faire les choses, pas de manière anarchique. En fait, pour avoir et puis avoir un reporting régulier pour qu'on sache où on en est de ce qu'on a lancé comme tâche sans même savoir si sur le moment, si on fait bien ou pas. Voilà, ça, c'est le plus. C'est ce qui est le plus angoissant sur le moment. Parce qu'on a une idée de ce qu'il faudrait faire, mais on ne sait pas si on est dans le bien ou dans le vrai ou dans le faux. Et dans les premières minutes, tu parlais de ton directeur général. Qu'est ce qu'il te demande en priorité? C'est quoi ses premières questions? Alors, il y a le DSI qui pose la question habituelle. Bon, les gars, comment on fait? Mais le directeur général, lui, c'est lorsqu'il comprend. Est ce qu'on va s'en sortir? Et puis, quel délai? Surtout parce que c'est un hôpital et que derrière, il y a la gestion du patient et plein de choses. Donc, voilà, ça, c'est la grosse question. Comment est ce qu'on va s'en sortir et dans combien de temps on va s'en sortir? Parce que ce qu'il faut savoir dans un hôpital, c'est qu'il y a toute une gestion du délestage, c'est à dire que tous les patients qui ne peuvent pas être pris en charge doivent être délestés, doivent être redirigés, que ce soit par le SAMU, les pompiers ou même par les transports internes vers d'autres hôpitaux pour continuer des soins et éviter qu'il y ait un flux incessant de personnes qui arrivent sans pouvoir être traités. C'est important, effectivement, c'est le métier de l'hôpital, c'est quand même de soigner. On n'a pas forcément besoin d'IT pour ça, mais c'est quand même c'est quand même bien plus efficace, j'imagine, avec l'IT. Et toi, au moment de cette crise-là, juste les premières minutes, les premières heures, surtout un dimanche matin, qu'est-ce que tu ressens, toi, dans ton... Je ne sais pas si c'est des moments où tu es un petit peu tout seul dans une salle, mais qu'est-ce que tu ressens à ces moments-là? Alors, passer l'état de sidération, parce que ça, c'est le... On est vraiment sidéré, il n'y a pas d'autre mot. On ne comprend pas ce qui arrive. Très vite, moi, je reprends ma place de manager, leader, et j'essaie de voir comment on va s'organiser pour repartir. Pour moi, je ne sais pas encore que ça va être une tâche laborieuse et très, très longue, mais dans ma tête, qu'est-ce qu'il faut faire pour repartir? Comme on voit très vite, on s'aperçoit qu'il nous manque tellement d'informations qu'il va falloir faire appel même à l'extérieur. Donc, il faut aller vite discuter pour dire là, on est au bout de quelque chose. On a besoin d'un regard extérieur, on a besoin d'aide même de l'extérieur. Justement, sur la gestion de crise, comment ça se passe? C'est toi qui l'organise et la direction générale? Parce que tu disais que vous n'étiez pas préparé, en tout cas, pas correctement organisé pour ça. Tu peux nous expliquer un petit peu comment s'est passé la gestion de crise ou la cellule de crise, après avoir parlé? Alors, la cellule de crise officielle, c'est la direction générale qui l'organise. Elle convoque tous les directeurs, directeurs des systèmes d'information, des soins, des finances, des ressources humaines, des achats, des services juridiques et de la communication pour pouvoir organiser justement les services internes, les communications internes et externes. Parce que là, on est très vite, très, très vite. On a compris qu'on n'allait pas s'en sortir seul. Donc, tout de suite, il y a l'AMSI aussi qui nous envoie et qui nous conseille une société. Je ne sais pas si je dois la citer. Oui, je l'appelle Crisalide, qui nous a vraiment aidé et guidé dans les démarches, qu'elles soient internes ou externes. Parce que moi, j'ai parlé de moi, j'ai parlé de notre service où on est dans un état de scélération, mais au niveau des directions, c'est pire que de la scélération, c'est de l'inconnu total pour des impacts qui ne sont même pas imaginables pour eux, en fait. Donc, ça, c'est vraiment assez compliqué. Donc, moi, ce que j'essaie de faire, c'est de rester très concentré sur les tâches techniques, l'organisation technique et ne pas partir dans tous les sens, rester pragmatique et traiter les choses une par une pour ne pas pas se noyer. Et puis, voilà, on essaye d'avancer tout doucement. Et tu arrives à garder ton calme dans ces conditions-là, parce que c'est quand même, j'imagine qu'il y a la pression du management, la pression des équipes. J'imagine qu'il y a beaucoup de gens qui ressemblaient à un poulet sans tête et qui couraient certainement de partout, ou qui voulaient essayer de faire des choses. Et comment tu arrives à garder ton calme dans ces cas-là ? Alors ça, je pense que c'est lié au trait de personnalité de chaque personne. Moi, dans ces conditions-là, je serais plus celui qui va, même si à l'intérieur, c'est une catastrophe. Il faut vraiment se maîtriser pour ne pas hurler à chaque moment, pour ne pas hurler même sur celui à qui on a donné une fonction ou une mission et qui, dans la panique, n'arrive même pas à la faire. C'est là où il faut avoir un calme et puis rester dans cette fonction de comment je vais driver des gens pour pouvoir repartir, même si vraiment, on n'a juste qu'une envie, c'est d'hurler toutes les 30 secondes à chaque fois qu'on trouve quelque chose de pire que ce qu'on avait imaginé. Pour libérer un peu de pression ? Oui, c'est ça. Et puis, après, voilà, c'est vraiment ça. C'est vraiment rester focus sur ce qu'on croit être bon pour pouvoir refaire redémarrer rapidement, techniquement, en tout cas, les choses. Même s'il y a une désorganisation totale dans tout l'hôpital, dans tous les services, dans toutes les directions, c'est une catastrophe, en fait, à ce moment-là. Et justement, sur la communication et sur le fait qu'il n'y a plus d'outils informatiques, donc comment vous avez réussi à communiquer à la fois en interne, en externe, ou voire même avec les malveillants et les hackers qui avaient compromis votre environnement ? Cette gestion com, ça a été gérée par l'IT, ça a été gérée par des professionnels ? Comment ça s'est passé ? Ça a été géré, comme je l'ai dit, par la société qui nous a accompagnés. Ça a été géré grâce à leurs conseils. Le service communication a géré toute la partie externe parce qu'il y a eu des médias. Ça a été quelque chose de très, très, très médiatisé. En interne, c'est la direction générale qui a pris le lead avec des réunions journalières. En gros, très rapidement, tous les matins à entre 7h30 et 8h30, il y avait une réunion soignante. À partir de 8h30 jusqu'à 10h, il y avait une réunion avec tout ce qui était IT. Et puis, et après, on faisait un point d'étape et tout le monde repartait travailler, avancer. Le soir, il y avait encore aussi un petit débriefing, on va dire, aux alentours de 19h. Et puis après, voilà, c'était surtout aussi l'occasion de, lorsqu'on arrivait à redémarrer quelque chose, de se féliciter et d'avancer. Et chaque petite victoire, on la fêtait, en fait, parce que dans ces moments-là, un reboot de serveur, qui est quelque chose de complètement banal dans la vie courante, là, c'est une victoire, en fait. Si tu arrives à remettre un serveur ou même une application en production, j'imagine que c'était quand même très important. C'était ça. Du coup, j'imagine que ça a duré des jours, peut-être des semaines, j'espère pas, des mois, mais en tout cas, ça a duré un peu de temps. Combien de temps est-ce que vous aviez, vous étiez à l'arrêt total ? Peut-être qu'il y avait encore des choses qui fonctionnaient, peut-être qu'il y avait des choses qui n'avaient pas été chiffrées par le ransomware. En gros, combien de temps vous avez survécu et fonctionné sans IT ? En fait, alors, du coup, tout le monde pensait qu'au bout d'une semaine, ça aurait été OK. Non, il a fallu un bon mois pour pouvoir reprendre les premières fonctions essentielles. Alors, pourquoi ? Parce qu'une fois qu'on comprend l'attaque, comment elle s'est passée, qu'on voit les résultats sur les serveurs, il faut, avant de remettre le service, s'assurer que le serveur n'est plus pollué, que le service pourra fonctionner sans les autres serveurs, sans les autres interfaces qu'il a l'habitude d'avoir, c'est-à-dire qu'un labo, c'est un labo, mais un labo, logiquement, il a le serveur des admissions qui va lui transmettre l'identité du patient et cette identité est vérifiée. Et là, on va pouvoir allier à cette identité, par exemple, un examen de labo. Lorsqu'on décide de refaire partir le labo, la pharmacie, parce que ce sont des services qui sont essentiels au fonctionnement, il faut s'assurer qu'en mode dégradé, on n'aura pas de problème d'identité de patient. Donc, tout ça, il faut s'assurer que techniquement, le serveur ne soit pas avérolé, mais qu'en plus, le service, et c'est pour ça qu'il faut communiquer avec les services à ce moment-là, que le service peut travailler en mode dégradé pour pouvoir fournir le service pour lequel il est fait. De base, de leur métier, du labo, de l'analyse, l'ARREA, enfin, tout ça, j'imagine qu'ils ont des applications, voire des applications métiers développées par des éditeurs. Il y a un plan de continuité d'activité qui était en place. Oui, et puis, alors, il faut faire face aussi à tous les services qui disent qu'ils sont essentiels au fonctionnement de l'hôpital. Alors, c'est sûr que je prends un exemple très concret qui parlera plus aux gens de l'hôpital. Avoir le Vidal, qui est, on va dire, l'annuaire des médicaments et des prescriptions, c'est une aide. Ce n'est pas vital pour le soin. C'est sûr que lorsqu'on n'a pas le Vidal de dispo, alors que tout le monde nous a dit il faut, il faut, il faut, c'est plus compliqué. Mais le Vidal existe en papier, donc il faut aller juste s'organiser pour retrouver et retravailler à l'ancienne. Ça s'appelle travailler en mode dégradé. Et c'est sur ce genre de sujet qu'il a fallu lutter pour pouvoir faire repartir les fonctions générales et après remettre au fur et à mesure les fonctions qui étaient moins vitales pour le fonctionnement du service. Il y avait toujours un risque de se faire attaquer ? Comment vous avez géré la partie attaquant, justement les sortir de l'environnement pour s'assurer que ce que tu remettais en production n'était pas vérolé de nouveau ? Alors, on a eu trois petits jeunes aussi qui sont arrivés, quatre petits jeunes, pardon, pas trois, c'était quatre, qui sont arrivés et qui ont analysé. Je suis désolé du terme, mais c'était des super héros. Ils sont arrivés de l'Annecy ? Des gens de l'Annecy ? Oui, eux, ils sont arrivés, ils ont débarqué, l'air de rien. En un quart d'heure, une demi-heure, ils savaient quel type d'attaque avec la signature du virus. Très, très peu de temps après, ils nous ont demandé quel était le serveur qui avait cette IP. Et puis, il a fallu les emmener, ils ont trouvé le camp de base et ils nous ont dit, voilà, c'est ça, c'est comme ça, c'est à tel moment. Donc, du coup, tout ce qui s'est passé avant cette date, en fait, ça peut être viable, il faut contrôler, ça peut être viable. Et c'est eux qui nous ont dit, voilà, la signature, c'est ça. Donc, il va falloir maintenant rechercher pour pouvoir restaurer les serveurs. Si cette signature existe, si elle n'existe pas, et que la sauvegarde est bonne, puisque les sauvegardes n'ont pas été touchées. C'est une grande chance pour nous. Restaurer le serveur à cette date-là et après, voir comment le remettre en production. Et c'est comme ça qu'on a fait par itération. Derrière, pour la gestion, c'est la gendarmerie qui a géré avec les négociateurs. Ce n'est pas nous qui avons géré. Alors, c'est ça aussi, ça a été assez marrant. Moi, j'ai fait partie vraiment de la vraie cellule de crise. Et donc, il faut savoir que là, les hackers se sont pris à un gros établissement pensant que c'était une méga clinique et qu'il y avait beaucoup, beaucoup, beaucoup de sous à prendre. Il ne faut pas partir du principe qu'ils sont compétents et qu'ils savent qu'entre un hôpital public et une clinique privée, il y a quand même une différence de budget. Exactement. Et mais voilà. Après, je pense que c'était entre guillemets une mode à ce moment là, puisqu'il y a eu pas mal d'hôpitaux qui ont été cyberattaqués et qu'ils ne savaient pas exactement où il fallait taper. Il y a des cliniques qui ont payé. Donc, du coup, ils se sont dit ça peut être lucratif. Donc, on y va. Justement, en termes d'exploitation, vous avez réussi à chiffrer combien ça vous a coûté à la fois en temps, évidemment, mais surtout en argent, de pertes de revenus. Ce n'est pas vraiment des revenus pour l'hôpital, mais ça fait quand même du chiffre d'affaires. Et surtout, en termes de coûts pour l'IT, vous avez réussi à le chiffrer. Alors, en termes de temps, ça ne fait pas si longtemps que l'hôpital a pu reconstruire. Et pourtant, ça fait quelques années, en fait, avant une reconstruction totale. En termes d'argent, on a eu pas mal de dons. Il a fallu, par exemple, il a fallu que j'achète rapidement une centaine de portables, une centaine de PC fixe. Là où ça a été magique, c'est que devant l'ampleur de ce qui s'était passé, on a pu être livré en une quinzaine de jours. Par contre, ce qui était le plus dur, enfin, moi, je suis très proche quand même. Je travaille dans un hôpital parce que je pense régulièrement aux patients. Et ce qui était le plus dur, c'est qu'il y a eu beaucoup de patients qui ont vu leur rendez-vous annulé. Ceux qui font le plus mal, c'est ceux qui sont, qui ont des rendez-vous du type chimiothérapie qui ont été annulés. Et après, il faut, ça s'appelle une patientelle. La patientelle a un bout et ne revient pas forcément. Donc, il y a une perte d'exploitation qui est due justement à cette cyberattaque. Et avant que les gens reviennent, il faut que, enfin, c'est vraiment très, très long. Après, il a fallu aussi resécuriser. Donc, il y a eu un gros travail de fait, un achat immédiat de firewalls pour protéger en interne et en externe. À tout ça, il faut ajouter les prestations. On a eu la chance d'avoir une mise en place aussi d'un EDR. Donc, on a acheté très rapidement, enfin, on a accédé très rapidement à un EDR. Et on a eu donc la PHP qui est venue nous aider à l'installer puisque on n'avait pas confiance en notre réseau à l'époque. Donc, il fallait avoir plein de petites mains qui allaient installer les EDR un peu partout sur les serveurs. Donc, il y a des IT ou des gens de la sécu, de la PHP qui sont venus vous aider. Oui, oui, oui. Et sur le recul, donc sur cette gestion de crise, qu'est-ce qui a quand même bien marché, même si ce n'était pas très bien préparé? Est-ce qu'il y a quand même des choses dont tu es fier et des choses qui ont vraiment bien marché, même si ça a été improvisé? Oui, alors, avant même de parler de technique, tout ce qui était solidarité, ça, ça a été... On a eu l'impression de se retrouver en période Covid où peu importe ce qu'on sait faire, on demande comment on peut aider et n'importe qui vient pour savoir comment il peut aider à sortir de cette crise. Ça, c'était à côté, mais magique. Voilà, c'est ce que j'ai le plus aimé. Des collaborateurs de l'IT ou même des gens du médical? Ça a commencé par les collaborateurs qui, parce qu'un chef de projet, là, on est dans du technique, du technico-technique, mais un chef de projet va venir et va dire, je ne sais pas à quoi faire, mais dis-moi ce que je peux faire. Donc, tiens, va avec la PHP pour installer des EDR, par exemple. Tout le monde, et après, ça a transpiré et donc des gens, des soignants se sont demandés, des soignants qui avaient des appétences pour l'IT, ont demandé comment ils pouvaient aider. Donc, voilà, c'est vraiment, ça, c'était vraiment bien. Une vraie collaboration dans tous les métiers. Et sur l'amélioration des processus après la crise? Alors ça, pour le coup, ça a structuré beaucoup de choses au niveau de la sécurité. On a pu mettre en place pas mal de choses avec les RSSI informés, je pense, correctement et c'est toujours le cas. Et c'est le cas sur le GHT, donc le groupe hospitalier de territoire. C'est le cas avec des informations, des simulations, des exercices et des exercices qualifiés par l'ANSI et validés par l'ARS. Ça, ça a fait énormément de bien au niveau de la prise de conscience, mais à l'échelle de l'établissement, de tous les utilisateurs. Et aujourd'hui, un des points super positifs, c'est qu'un mail, et je le dis parce que ça s'est produit encore tout à l'heure, un mail qui est reçu, où les gens ont un doute, ils ont pu le réflexe de cliquer, alors excusez-moi du terme, mais bêtement et se dire, ah mince, j'ai fait une bêtise. C'est plus l'utilisateur de base, quoi. Donc ça a marqué, ça a marqué. En fait, c'est un peu la meilleure éducation, c'est d'avoir une crise cyber vécue par des gens qui ne sont pas du métier de l'IT et en fait, ça les marque eux et ça les sensibilise bien plus que n'importe quelle campagne. Et ça les sensibilise en interne, mais chez eux aussi. D'accord, c'est là où on voit que ça porte vraiment ses fruits parce qu'on a des retours de temps en temps. Voilà, j'ai eu à peu près la même chose chez moi. Ça s'appelle comment ? Du phishing, c'est ça ? Voilà, on sait que c'est passé. Ils sont éduqués, quoi. Oui, c'est ça. Après, ils pourront toujours se faire piéger, mais ils sont éduqués. Et sur le toit, ton métier à proprement parler, est-ce que ça a changé quelque chose dans ton quotidien en tant qu'expert IT ? Alors moi, sans être paranoïaque, mais dans tous les projets maintenant qui soient techniques, où je travaille beaucoup avec les chefs de projet aussi, maintenant, il y a la partie sécu qui est abordée. C'est obligatoire. Là où certains projets arrivaient par des médecins et ce n'était pas du tout géré. Là, tous les projets, en tout cas, tous ceux qui ne sont pas en Shadows IT, mais tous ceux qui sont officiels, il y a cette partie qui est gérée, abordée. Un prestataire extérieur ne se pointe plus non plus avec sa solution. C'est la nôtre ou rien. Et parce que la nôtre, on la maîtrise. On saura ce qu'il fait. On saura la manière dont il se connecte. Ce sera même enregistré. Il sera au courant, mais ce sera enregistré. Il y aura moyen de... Voilà, il y a vraiment un gros volet sécurité à chaque fois qui est abordé. Pour terminer, parce que le but de ce podcast, c'est quand même de donner aussi des bonnes pratiques. Est-ce que tu pourrais nous donner des conseils pour d'autres DSI qui pourraient muscler un petit peu leur jeu pour gérer ou aborder une crise cyber? Alors, pour le coup, là, on a vraiment une grosse collaboration avec notre responsable de sécurité du système d'information, notre RSSI, à la fois pour tout ce qui est travail sur la partie très sécu du système d'information, mais aussi sur toute la sensibilisation aux utilisateurs. Il intervient lors des accueils des nouveaux arrivants. Il y a des formations continues. On fait des exercices maintenant officiels, des vrais exercices, c'est à dire que chacun a un rôle, mais on se retrouve dans une pièce et on reconstitue une cyberattaque ou un autre type d'attaque, mais qui est en rapport avec la sécurité. Et on voit comment l'hôpital continue à travailler, parce que ce n'est pas que du technique. S'il n'y a plus d'ordinateur, il faut quand même que le patient soit suivi. Après, on travaille le mode dégradé et le PRA, le plan de reprise d'activité au niveau de la direction. C'est travailler avec la direction générale, parce qu'encore une fois, une reprise d'activité, ce n'est pas juste l'informatique qui va repartir. C'est vraiment comment, après un arrêt de production, on reprend l'activité, on récupère les données, on les réinjecte. Et donc, que ce soit de l'administratif ou de la patientelle ou des connexions avec les autres sites, il faut savoir comment l'hôpital va redémarrer. Et pour finir, c'est ça, c'est un point qui est super important. Il faut maîtriser son infra, savoir ce qui se passe, avoir des partenaires sur lesquels on peut compter, qui connaissent aussi notre infra et qui ont travaillé cet aspect sécurité. Et puis, pour finir, et là, ça a son importance et c'est ce qui a bien marché lors de cette cyberattaque, avoir une équipe cohérente et très soudée, en fait. La cohésion d'équipe, je pense que c'est important. Et après, ça doit marquer un peu les esprits d'avoir vécu cette crise. Je pense que c'est plus simple après, mais de le travailler au quotidien, je pense que ça peut être bien aussi. Oui, c'est ça. En tout cas, merci beaucoup, Guillaume, pour ta participation sur ce podcast, pour avoir partagé avec nos auditeurs ton retour d'expérience. On sait qu'une crise cyber, ce n'est pas forcément facile à gérer, même si on est préparé, entraîné et qu'on en a vécu plusieurs. Alors toi, tu n'en avais jamais vécu, mais effectivement, ça marque les esprits. J'espère que ton retour d'expérience et ceux des autres participants de podcast pourront aider les auditeurs dans leur préparation de la crise cyber. Si vous avez aimé ce podcast ou si vous souhaitez témoigner, anonymement ou pas, comme Guillaume aujourd'hui, n'hésite pas à me contacter par e-mail bbob.com ou sur LinkedIn et je vous accueillerai dans un prochain épisode de ce webinaire-là. En tout cas, merci vraiment beaucoup pour ta participation, Guillaume, et on se rappelle très bientôt.
