Outre-Manche, le premier décès causé par une cyberattaque

4 juin 2024. Deux hôpitaux londoniens, Guy’s and St Thomas’ et King’s College, déclarent un incident critique après une importante panne informatique, due à une cyberattaque impliquant le groupe de ransomware Qilin, qui la revendiquera deux semaines plus tard.

La chirurgie de transplantation au Royal Brompton et Harefield est annulée, et les hôpitaux voisins prennent en charge des patients supplémentaires.

L’incident affecte les services de Synnovis, du groupe Synlab, perturbant notamment les laboratoires de pathologie et les transfusions sanguines, ce qui a conduit à l’annulation ou à la redirection de certaines activités. Il contribuera significativement au décès d’un patient.

Un porte-parole du King’s College Hospital NHS Foundation Trust a ainsi récemment déclaré, à la BBC, qu’un certain nombre de facteurs contributifs ont conduit à la mort du patient, y compris « une longue attente pour le résultat d’un test sanguin ». Une première.

Une cyberattaque survenue à l’automne 2020, contre la clinique universitaire de Düsseldorf, outre-Rhin, est souvent présentée comme ayant provoqué la mort d’une patiente. Cette dernière avait dû être reroutée aux urgences d’un établissement plus éloigné d’une trentaine de kilomètres.

Le délai de prise en charge additionnel avait initialement été appréhendé comme un facteur contributif déterminant du décès. Une enquête criminelle a dès lors été ouverte. À son issue, le procureur était néanmoins affirmatif : le délai n’a pas eu d’impact et « l’état médical était la seule cause du décès », de manière « entièrement indépendante de la cyberattaque ».

En 2024, le CERT Santé a référencé, en France, 59 mises en danger potentielles de patient du fait d’incidents de sécurité des systèmes d’information, dont 3 « ont entraîné une mise en danger avérée ».

Le rapport ne précise pas la nature de ces trois incidents ni leur origine – malveillante ou non. Tout au plus indique-t-il que « les 56 incidents restants, correspondant à la part des mises en danger potentielles de patients, ont été attribués à diverses causes », entre « attaques par rançongiciel, coupures de courant ou de liens télécom, ainsi que des pannes d’équipement ».

« Ces incidents ont eu un impact direct sur la disponibilité des services de santé, entraînant des interruptions prolongées de l’accès à des services hébergés, des perturbations du service téléphonique du SAMU et des dysfonctionnements des logiciels de prescription/aide à la dispensation », peut-on lire.

Reste que 230 incidents en 2024 ont contraint les établissements à passer en mode dégradé voire à interrompre la prise en charge des patients, mais « seuls 19 % de ces incidents ont une origine malveillante », soit 44 incidents.

Selon Hannah Neprash, économiste de la santé à l’université du Minnesota, la mortalité hospitalière progresse toutefois en moyenne de 20 à 35 % pour les patients admis dans un établissement confronté à une cyberattaque avec rançongiciel.

Pour ceux qui étaient déjà présents lorsque survient l’attaque, elle progresse de 35 à 41 %. Plus généralement, « les attaques par ransomware entraînent une baisse de 17 à 26 % du volume d’activité des hôpitaux au cours de la semaine suivant l’attaque initiale, la reprise intervenant dans les trois semaines suivantes ».