Le 8 mai, une attaque par ransomware a touché Ascension, l’un des principaux réseaux hospitaliers américains qui compte 140 établissements dans au moins 10 Etats. L’accès à différents systèmes permettant de suivre et de coordonner la plupart des soins, comme les dossiers médicaux électroniques, a été bloqué.
Différents professionnels de santé travaillant dans les hôpitaux de plusieurs Etats ont décrit des défaillances ayant gravement compromis les soins et causé des erreurs suite à l’attaque.
Un patient en soins intensifs
Un médecin du service des urgences de l’hôpital Ascension de Detroit, dans le Michigan, a ainsi déclaré qu’un homme avait reçu un dangereux narcotique destiné à un autre patient en raison d’une « erreur administrative ». « Nous l’avons intubé et envoyé en soins intensifs parce qu’il avait reçu un mauvais médicament » a-t-il précisé.
Marvin Ruckle, infirmier dans un hôpital d’Ascension à Wichita, au Kansas, a lui expliqué avoir failli administrer à un bébé « la mauvaise dose de narcotique » en raison d’une confusion dans les documents administratifs. Il était « difficile de déchiffrer quelle était la bonne dose » dans le dosser, a-t-il déclaré.
Lisa Watson, infirmière dans l’unité de soins intensifs de l’hôpital Ascension Via Christi St. Francis à Wichita, a également failli administrer le mauvais médicament à un patient gravement malade parce qu’elle ne pouvait pas le scanner comme d’habitude. « Mon patient serait probablement décédé si je ne l’avais pas détecté » a-t-elle déclaré.
Un décès suite au retard des résultats
Melissa Larue, infirmière en soins intensifs à l’hôpital Ascension Saint Agnes de Baltimore, dans le Maryland, a aussi raconté qu’elle avait failli « administrer la mauvaise dose » d’un médicament pour la tension artérielle d’un patient. « Heureusement, cela a été corrigé avant que cela ne se produise » ajoute la soignante.
Une infirmière des urgences d’un hôpital du Michigan a par ailleurs déclaré qu’une femme souffrant d’hypoglycémie et d’une « altération de l’état mental » a fait un arrêt cardiaque et est décédée. Le personnel a indiqué avoir attendu pendant quatre heures les résultats du laboratoire dont il avait besoin pour déterminer comment la traiter, mais ne pas les avoir reçus.
Le 14 juin, Ascension a indiqué avoir rétabli l’accès aux dossiers médicaux électroniques sur l’ensemble de son réseau, mais les « dossiers médicaux et autres informations recueillies entre le 8 mai » et le moment où le service a été rétabli « peuvent être temporairement inaccessibles pendant que nous travaillons à la mise à jour du portail avec les informations recueillies pendant le temps d’arrêt du système » a précisé le groupe. Des employés ont en outre continué à relever des incidents, comme la perte de résultats.
Les attaques graves par ransomwares en hausse de 264 %
En mars, le ministère fédéral de la Santé et des Services sociaux a déclaré que les attaques graves par ransomwares avaient augmenté de 264 % au cours des cinq dernières années. Selon un rapport du FBI concernant la criminalité commise sur internet, en 2023, le secteur de la santé est en outre celui qui a subi la plupart de ces attaques parmi les 16 secteurs considérés comme capitaux pour la sécurité nationale et suivis par le rapport (cf. Deux fois plus de cyberattaques contre des établissements de santé en 2021). Sur 1 200 attaques, 250 concernaient des groups médicaux cette année là.
Malgré l’augmentation des cyberattaques touchant le secteur de la santé, une perturbation de l’ampleur de celle du groupe Ascension, et ayant duré plusieurs semaines, dépasse ce à quoi la plupart des systèmes de santé sont préparés, a déclaré John Clark, pharmacien en chef associé au système de santé de l’université du Michigan. « Je ne crois pas que quiconque soit totalement préparé à un processus sur le long terme comme celui-ci » a-t-il expliqué. La plupart des plans de gestion de crise « sont conçus pour des périodes d’arrêt d’une durée d’un, deux ou trois jours » précise-t-il.
« Nous avons commencé à considérer ces attaques comme des problèmes de santé publique »
Selon les experts en cybersécurité, le Gouvernement fédéral exige des hôpitaux qu’ils protègent les données de santé sensibles des patients (cf. Angleterre : des données de santé divulguées sur le darknet). En revanche, les hôpitaux ne sont pas tenus de prévenir les cyberattaques susceptibles de compromettre leurs systèmes électroniques, ni de s’y préparer.
« Nous avons commencé à considérer ces attaques comme des problèmes de santé publique et des catastrophes de l’ampleur des tremblements de terre ou des ouragans » a toutefois déclaré Jeff Tully, codirecteur du Center for Healthcare Cybersecurity à l’université de Californie-San Diego. Ces incidents de cybersécurité doivent être pris en compte en se demandant « quand » ils surviendront, et non pas « si » ils surviendront explique-t-il.
Josh Corman, expert en cybersécurité, ajoute que les rançongiciels considèrent les hôpitaux comme des proies parfaites. « Ils ont une sécurité déplorable et ils paieront » considère-t-il. Ainsi, « les hôpitaux sont devenus la cible numéro un des ransomwares ».
Renforcer les normes de cybersécurité dans le secteur de la santé
Ces derniers mois, l’administration Biden a fait pression pour renforcer les normes de cybersécurité dans le secteur de la santé, mais on ne sait pas exactement quelles nouvelles mesures seront exigées.
En janvier, le ministère de la Santé et des Services sociaux a notamment incité les entreprises à améliorer la sécurité des courriers électroniques, à ajouter une authentification multifactorielle, et à mettre en place des formations ainsi que des tests en matière de cybersécurité.
Les Centers for Medicare & Medicaid Services devraient publier de nouvelles exigences pour les hôpitaux, mais leur portée comme le calendrier ne sont pas clairs. Il en est de même pour la mise à jour de la réglementation sur la protection de la vie privée des patients que le ministère de la Santé et des Services sociaux devrait effectuer.
Source : NPR, Rachana Pradhan et Kate Wells (19/06/2024) – Photo : Pixabay
