Nouveau coup dur pour les hôpitaux anglais

Après le piratage du système d’information de la clinique esthétique londonienne, London Bridge Plastic Surgery accordé au groupe The Dark Overlord et ses photos intimes volées de célébrités et têtes couronnées, annoncé en début de semaine dernière. 

C’est au tour du NHS, le service de santé publique de repasser à la guillotine.
En effet un récent rapport du National Audit Office (NAO) publié le 27 octobre revient sur les dégâts considérables causés par le rançongiciel WannaCry le 12 mai dernier auprès de 45 établissements publiques de santé du pays.

Le rapport met en cause la vétusté du parc informatique des établissements publiques de santé britanniques et l’ignorance totale de la SSI malgré plusieurs avertissement du ministère de la santé, qui avait demandé aux établissements depuis 2014 de migrer leurs postes Windows XP vers un système d’exploitation supporté et à jour, au vue de l’état de la menace.
Le constat est que trois ans après ses premiers avertissements, non seulement les établissements n’avaient pas agit, mais de plus, le NHS était dans l’incapacité d’évaluer l’état d’avancement de ce chantier de migration.

Les chiffres ont également été revus à la hausse dans ce rapport, il souligne que non pas 45 comme le NHS l’avait initialement indiqué, mais au moins 81 hôpitaux sur 236 auraient été victimes du rançongiciel WannaCry, tout comme 603 établissements de soins, dont 595 cabinets de médecins généralistes.
Sans l’intervention de Marcus Hutchins alias « Malwaretech », qui a découvert et activé le fameux « Kill Switch » en déclarant le nom de domaine qui a permis de stopper la propagation de WannaCry, les dégâts auraient été beaucoup plus importants selon le NAO.
Même si aucun établissement n’aurait payé la rançon demandée, il est aujourd’hui impossible pour le NHS d’évaluer le coût considérable de cet incident.
La confidentialité des données de santé des patients n’a, à première vue pas été compromise par le rançongiciel, mais certains praticiens avouent avoir communiqués des informations médicales à l’aide de l’application WhatsApp depuis leurs smartphones personnels. Donc, les praticiens les plus sensibles à la confidentialité des données avouent avoir utilisé une application qui fait du chiffrement de bout en bout (je doute malgré tout de sa certification critères communs EAL), mais qu’ont bien pu utiliser ceux qui se taisent ? 

Le « bilan » sanitaire est également abordé dans ce rapport, et là encore les chiffres sont impressionnants :

• 5 régions dont les hôpitaux étaient dans l’incapacité d’assurer les urgences et de nombreux patients redirigés vers d’autres régions
• 6 jours de perturbations pour les patients (je n’ose pas imaginer pour le personnel
• plus de 19 000 rendez-vous et opérations annulés

Même si le niveau de maturité en terme de SSI est probablement moins catastrophique dans les établissements de santé Français, je me demandait (même si j’ai bien une idée), on en est où du plan d’actions demandées par l’instruction n°SG/DSSIS/2016/309 un an après sa publication ? Peut-on se fier à toutes les belles déclarations « Hôpital Numérique » qu’ont remplis la majorité des établissements ?