Londres, le lundi 15 mai 2017 – Cela n’aurait pu être qu’un article parmi tant d’autres sur les failles des systèmes informatiques hospitaliers. Aujourd’hui, l’éditorial fait figure de signe prémonitoire. Mercredi dernier, le docteur Krishna Chintapalli, médecin britannique qui travaille au sein du NHS, signait dans le British Medical Journal (BMJ) une réflexion rappelant à quel point les hôpitaux représentent une cible privilégiée pour les pirates informatiques. Les chiffres confirmant la véracité d’une telle alerte se multiplient : au deuxième trimestre 2016, plus de la moitié des cyber-attaques comptabilisées concernaient des établissements de santé.
Des milliers d’interventions déprogrammées
Le 12 mai, deux jours après ce nouvel avertissement de Krishna Chintapalli, un peu après midi, les messageries électroniques de plusieurs hôpitaux britanniques ont commencé à se bloquer les unes après les autres. Bientôt, ce sont les logiciels de gestion des patients qui sont devenues inaccessibles. Des fenêtres s’ouvraient pour réclamer le versement d’une "rançon" en bitcoins. Rapidement, l’infection était généralisée et le fonctionnement des établissements profondément perturbé. Impossibilité d’administrer les traitements programmés, d’organiser les sorties des blocs opératoires, de disposer des résultats d’examens, de consulter le planning des activités de radiologie : médecins, infirmières et patients ont été submergés par ce bug informatique d’une ampleur inédite. Au total, 45 autorités régionales de santé ont été affectées en Angleterre et en Ecosse. Le Pays de Galles et l’Irlande du Nord sont demeurés épargnés. Cette attaque géante a conduit au report de nombreuses interventions non urgentes : à Londres, le Bart Health NHS Trust, le plus grand pôle du pays qui assure la gestion de cinq hôpitaux a annulé l’ensemble des rendez-vous programmés, tandis que les ambulances étaient détournées vers d’autres centres. Les britanniques ont été priés de restreindre le plus possible leur demande de soins ce week-end.
Peu à peu, l’activité reprend aujourd’hui, mais l’enquête ne fait que commencer. Les explications demeurent restreintes et le NHS n’est notamment pas capable d’indiquer si des données personnelles de patients ont pu être dérobées. Aucune information sur le nombre de personnes qui pourraient avoir été médicalement affectées par le fléau n’est également disponible.
Vol de Tomahawks
Bien que l’attaque ait concerné de nombreux pays et de multiples entreprises (dont Renault en France) et institutions, le cas du NHS a ravivé les critiques contre la vulnérabilité du système informatique des hôpitaux britanniques, alors que le budget du NHS est comme souvent un thème phare de la campagne des législatives. « En 2014, le renouvellement des protections des systèmes informatiques du NHS n’a pas été effectué. Voilà pourquoi nous avons cette terrible situation » a ainsi dénoncé Jeremy Corbyn, chef de file de l’opposition travailliste. Cette réactualisation n’a pu être faite en raison notamment des coupes opérées dans le budget dédié au système informatique du NHS. Pourtant, le dispositif aurait besoin d’une sérieuse modernisation : le vulnérable Microsoft XP est encore fréquemment utilisé, sur plusieurs centaines de milliers d’ordinateurs selon un ancien responsable de NHS digital, un chiffre qui serait en réalité bien moindre selon le gouvernement. Outre la vétusté du dispositif, la complexité du système marquée par une très grande interconnectivité, renforce sa vulnérabilité en multipliant les points d’entrées. De fait, si aucune n’avait eu l’ampleur spectaculaire de celle de vendredi, le NHS a déjà essuyé de nombreuses attaques par le passé : 88 des 260 trusts ont ainsi été victimes de "rançonnage" entre mi 2015 et fin 2016.
Par ailleurs, au-delà de la fragilité du NHS, les défauts de communication de l’agence de sécurité américaine (NSA) ont également été pointés du doigt. Les failles existantes pour cibler les hôpitaux avaient en effet été identifiées par cette dernière, mais la NSA n’a communiqué sur le sujet à ses homologues que lorsque les données lui ont été volées. Au total, le virus qui s’est répandu ce week-end aurait touché 200 000 cibles. « Un scenario équivalent avec des armes conventionnelles serait comme si l’armée américaine se faisait voler des missiles Tomahawks » a comparé Brad Smith, directeur juridique de Microsoft.
Laissez revenir les petits papiers ?
Si la France n’a pas été épargnée par l’attaque, les hôpitaux n’ont pas eu à en pâtir. Pourtant, les systèmes informatiques français ne sont eux aussi pas dépourvus de failles : l’inexpérience des responsables des programmes informatiques dans les hôpitaux a souvent été épinglée, ainsi que le manque d’homogénéité au sein du réseau. Cependant, une prise de conscience s’est installée ces derniers mois. Ainsi, un plan pour protéger les systèmes d’information en santé a été présenté en décembre dernier.
Néanmoins, au-delà de toutes les mesures de vigilance qui pourront être déployées, l’incident grave de ce week-end signale combien peut être dangereuse la confiance que nous plaçons dans nos ordinateurs, nous rendant parfaitement impuissants dès lors que le système flanche.
Aurélie Haroche
