« Le patient est déjà dans le bloc opératoire, il faut le transférer vers un autre hôpital, le chirurgien n’a plus accès à son dossier et il ne peut pas l’opérer. La base de données des patients est indisponible. » Le ton se fait de plus en plus nerveux et le visage pâlit à mesure que les informations affluent à l’autre bout du fil. Dans cette petite salle exiguë aux murs carmin, Alexandre, chef de la cellule management, est pendu au téléphone depuis 8 heures ce matin. Il vient de subir une première cyberattaque d’envergure sur la base de données des patients de l’hôpital de Lorient. Il doit prendre une décision rapidement. La vie de certains patients qui devaient se faire opérer ce matin est en jeu. « Qu’est-ce qu’on fait ? On passe en crise ? », demande-t-il anxieusement à son interlocuteur au téléphone. Il raccroche.

Lire aussi : La cybersécurité, le « bon choix » d’Emmanuel

Quelques minutes plus tard, le téléphone sonne à nouveau. Une solution technique a été trouvée : une sauvegarde des données des patients réalisée la veille devrait suffire, pour l’instant, à maintenir les activités du bloc opératoire. Pourtant, quelques minutes plus tard, une lettre recommandée arrive au service juridique de l’hôpital. Un joueur de football, Yann Gourvit, admis à l’hôpital quelques jours auparavant, vient de constater que ses données médicales ont été diffusées sur Internet. Son avocat porte plainte. Une nouvelle crise se profile, cette fois-ci médiatique. Le service communication et juridique est en ébullition, Fanny et Emmanuel doivent éplucher la jurisprudence pour écrire une réponse à l’avocat et contrer les tweets rageurs qui inondent le réseau social.

Une simulation grandeur nature

Avec l’intensité de ces échanges, et compte tenu du niveau de stress qui règne dans cette petite pièce privée de lumière, on aurait presque pu oublier qu’il ne s’agissait pas du « vrai » hôpital de Lorient, ni de la « vraie » vie des patients, ou de la « vraie » fuite du dossier médical d’un célèbre joueur de football. Il s’agit en fait d’un exercice de simulation grandeur nature, une cyberattaque orchestrée par l’Ensibs, l’Ecole nationale supérieure d’ingénieurs de Bretagne Sud, pour sa trentaine d’étudiants en dernière année. Pendant plus d’une semaine, ces étudiants, perles rares pour des entreprises en quête de sécurité informatique, devront mettre en œuvre toutes leurs compétences acquises ces trois dernières années : des mathématiques à la cryptologie, en passant par le droit, l’éthique et le management.

Lire aussi : Selon Jean-Yves Le Drian, 24 000 cyberattaques ont été déjouées en 2016

Le jeu a lieu dans le centre de gestion de crise cybernétique de l’Ensibs, le Cyber Security Center. Dans cette véritable ruche de 150 m2, les futurs ingénieurs sont répartis en fonction de leur rôle dans le scénario. D’un côté du couloir : la défense, installée dans une pièce dédiée. Là se dressent des dizaines d’ordinateurs et quatre grands écrans diffusent en direct l’état du système informatique de l’hôpital. C’est ici que les étudiants tentent de répondre techniquement à la cyberattaque. Séparée par une porte, la cellule de management est la tête opérationnelle de cet ensemble. Pilotée par un chef – ce matin Alexandre –, elle doit prendre des mesures pour éteindre le feu numérique et le feu médiatique.

De l’autre côté du couloir, l’attaque. La cellule d’animation chargée d’organiser la déstabilisation environnementale de l’hôpital. C’est de là que viennent les tweets rageurs, les faux articles de presse et les lettres d’avocat envoyées en recommandé. Un espace spécialement conçu pour diffuser un stress supplémentaire aux jeunes cyberdéfenseurs. Enfin, la vraie cellule d’attaque, nommée Red Team, est composée de trois vrais pirates venus d’une entreprise spécialisée qui injectent, au fur et à mesure de l’avancement du scénario, des attaques sur le système informatique. « Evidemment il n’y a pas d’étudiant dans cette pièce car on ne les forme pas à l’attaque. Le concept de pirate éthique n’existe pas selon moi. Ici on forme des défenseurs », tient à préciser Charles Préaux, directeur de la formation cyberdéfense de l’école, passé par la DGA (Direction générale de l’armement).

Les compétences militaires au service de la cyberdéfense

Les équipes enseignantes ont travaillé durant presque six mois pour préparer ce scénario redoutable. Pour superviser cet exercice qui dure plus d’une semaine, Xavier Breil de Pontbriand, un général de seconde section passé par l’OTAN. Il applique avec ces jeunes ingénieurs la méthodologie militaire de la gestion de crise. Il utilise la langue de l’OTAN pour l’exercice. Ainsi dans une même phrase, il peut demander à l’« excoord » (pour coordinateur extérieur) si le management a informé le « Hicon » (autorités de tutelles) d’incidents.

« En période de crise informatique, les sens humains sont inopérants, c’est donc un stress tout à fait particulier qui existe lors de ces attaques », Charles Préaux, directeur de la formation

« J’ai plutôt un profil littéraire et je suis spécialisé en tactique. Je ne m’y connais pas en informatique. J’enseigne à ces jeunes la gestion de crise et la façon de se comporter humainement. Je les considère comme les membres d’une équipe à entraîner », détaille le militaire. Une de ses troupes se trouve d’ailleurs au plus mal. « Killian est en rupture, il faut le sortir », vient l’avertir l’un des enseignants. Le jeune homme a été désigné pour venir en aide à l’équipe technique qui vient de subir une nouvelle attaque, d’une ampleur plus importante. Devant son impuissance à résoudre les problèmes techniques, il s’est effondré devant ses ordinateurs. Le général l’« exfiltre » pour lui venir en aide.

Pendant ce temps-là, la panique s’est propagée dans les équipes de cyberdéfense. « Le site est tombé, nous devons passer en crise », déclare le chef de la cellule management. Les équipes techniques, dépassées par l’ampleur de l’attaque, demandent du renfort. « Il faut couper le réseau », indique le chef de l’équipe technique. « En période de crise informatique, les sens humains sont inopérants, c’est donc un stress tout à fait particulier qui existe lors de ces attaques, une sorte de stress cyber », explique Charles Préaux.

« On ne laisse pas un homme à terre »

La nuit est tombée et les cyberdéfenseurs n’ont toujours pas réussi à rétablir une situation normale pour l’hôpital. Le général convoque les chefs de troupe pour faire un point de situation. « Vous avez tardé à passer en crise. Dans un hôpital, chaque minute compte. Vous avez vécu des situations très difficiles, il faut savoir prendre du recul, imposer des arrêts et réfléchir. Quand il y a des coups de moral, on les traite, on ne reste pas devant son écran. Si un soldat tombe, il faut le prendre physiquement en main et le remettre en selle. »

Lire aussi : Cybersécurité : les sociétés sensibles vont devoir débourser pour se mettre en règle

Un discours martial qui semble plaire à ces étudiants, brillants devant des ordinateurs mais pas toujours à l’aise en management. « J’ai découvert comment je me comporterais humainement en cas de cyberattaque, j’ai plus appris en “savoir être” cette semaine que pendant toutes mes études », remarque Quentin, l’un des attaquants. A 20 heures, les équipes de cyberdéfenseurs ont finalement réussi à stabiliser le système informatique de l’hôpital. Jusqu’à ce qu’une nouvelle vague d’attaques, beaucoup plus dures, soit planifiée par les pirates. Demain est un autre jour.

Afin de comprendre le monde de demain pour faire les bons choix aujourd’hui, « Le Monde » vous donne rendez-vous à O21/s’orienter au XXIe siècle à Cenon (10 et 11 février), Villeurbanne (15 et 16 février) et Paris (4 et 5 mars). Entrée libre sur inscription : lemonde.fr/o21.