chalabala - Fotolia
WannaCry : un impact important sur le système de santé britannique
Le fameux épisode de rançongiciel du printemps dernier aurait provoqué l’annulation de près de 20 000 consultations hospitalières outre-Manche. Et encore n’a-t-il que très peu duré.
Le bureau national d’audit britannique, le National Audit Office (NAO), s’est penché sur l’impact concret de l’épisode de ransomware qui a touché au moins 195 000 machines à travers le monde il y a un an. Il n’apparaît pas mineur, loin s’en faut, et aurait pu être bien pire s’il n’avait pas été très limité dans le temps.
Des systèmes administratifs ont été infectés. Mais pas uniquement. Des appareils médicaux l’ont été également – qu’ils concernent l’imagerie ou l’analyse sanguine, notamment. Plus de 1 200 équipements de diagnostic ont été touchés.
De vastes répercussions
Trente-quatre groupements médicaux – dont 25 groupements hospitaliers – ont été touchés et privés d’accès à leurs systèmes. Des systèmes informatiques de 21 autres ont également été infectés, mais sans que leur contrôle soit perdu. Et à cela s’ajoutent 46 groupements affectés dans leur fonctionnement, mais sans infection : ce sont des mesures préventives qui ont pénalisé leurs processus opérationnels. Au total, 34 % des groupements médicaux du Royaume-Uni ont donc été affectés d’une manière ou d’une autre.
Ces perturbations ont entraîné l’annulation de plus de 19 000 consultations et interventions. Mais ce chiffre n’est qu’une estimation « basée sur le taux normal de rendez-vous suivants une consultation initiale ». Entre le 12 et le 18 mai 2017, 6 912 consultations ont dû être annulées.
Tout cela va sans compter avec les perturbations ayant touché les cabinets de médecine générale : 595 d’entre eux ont vu leurs systèmes infectés et paralysés. Mais là, aucun chiffre n’est connu, faute de relevé durant l’incident. Et ce n’est pas la seule inconnue.
A cela s’ajoute notamment le nombre de patients ayant été redirigés vers d’autres organisations que celles qui auraient dû les prendre en charge, « y compris ceux transportés par ambulance ». Cinq services d’urgence se sont retrouvés dans l’incapacité de traiter certains patients.
Qui auraient pu être plus importantes
Un mois après l’épisode WannaCry, Lucien Mouney, de l’assureur Beazley, indiquait que l’impact de celui-ci aurait pu être bien pire que ce qu’il a été. Outre-Manche, on en est bien conscient.
Le NAO rappelle ainsi la découverte et l’activation d’un kill-switch dans la soirée du 12 mai dernier, par Marcus Hutchins, aussi connu sous le pseudonyme MalwareTech – mais jamais cité dans le rapport : « en raison des actions du chercheur, [certaines organisations infectées] n’ont pas vu leurs systèmes verrouillés ». Et le nombre d’organisations concernées n’est pas négligeable : selon les services de santé britanniques, les systèmes de 92 organisations ont été observés cherchant à communiquer avec l’infrastructure liée à WannaCry.
Le NAO explique que les équipes locales et nationales du ministère de la Santé, le National Health Service (NHS), ont travaillé d’arrache-pied durant le week-end des 13 et 14 mai pour « résoudre les problèmes et empêcher qu’une nouvelle vague d’organisations ne soit affectée par WannaCry le lundi 15 mai ».
Une réponse à incident dans la précipitation
Mais la réponse à l’épisode ne s’est pas faite sans douleur. A en croire le NAO, une certaine impréparation a dominé. Un plan de réponse existait, mais n’avait pas été testé « au niveau local ». Du coup, « il n’était pas immédiatement clair qui devait piloter la réponse et il y a eu des problèmes de communication ». « En l’absence de règles claires pour répondre à une cyber-attaque nationale, les organisations locales ont rapporté l’attaque à différentes organisations dans et hors du secteur de la santé, dont la police locale ».
L’absence de définition précise de canaux de communication alternatifs n’a pas aidé : « la communication était difficile au début de l’attaque, car de nombreuses organisations locales ne pouvaient pas communiquer avec le NHS par e-mail puisqu’elles avaient été infectées par WannaCry ou avaient coupé leurs systèmes de messagerie par précaution ». Localement, les équipes du NHS ont improvisé, utilisant leurs terminaux personnels et des applications comme WhatsApp.
En définitive, alors que l’épisode a commencé dans la matinée du 12 mai, le NHS n’a fait état d’un « incident majeur » qu’à 16h, avant de lancer ses plans de réponse à 18h45.
La maintenance en ligne de mire
Sans surprise, le NAO relève que toutes les organisations affectées présentaient les mêmes vulnérabilités, connues : « la majorité des équipements du NHS infectés utilisaient des versions supportées de Windows 7 sur lesquelles les correctifs n’avaient pas été appliqués » - plus de 90 % du parc fonctionnait alors sous ce système d’exploitation.
Alors il a fallu faire vite. Durant le week-end des 13 et 14 mai, le NHS a organisé une vaste campagne de déploiement de correctifs : 44 % des cabinets de généralistes ont été couverts au cours de ces deux jours, soit près de 3 500. Le 19 mai, tout le secteur de la santé britannique était à jour de correctifs et d’anti-virus.
Mais ce n’est pas faute d’avoir alerté avant ! Le NHS avait ainsi communiqué le 17 mars et le 28 avril précédents, demandant aux organismes de santé de déployer les correctifs diffusés par Microsoft.
Le NAO relève toutefois le cas d’équipements spécifiques, comme les systèmes d’imagerie par résonance magnétique « qui intègrent Windows XP » : « ces équipements sont généralement gérés par leurs constructeurs et les équipes locales ne sont pas en mesure d’appliquer les correctifs elles-mêmes ». Et pour le NHS, « le support de ces constructeurs est généralement médiocre ». Le 12 mai 2017, Windows XP représentait tout de même environ 5 % du parc installé.
Des risques mal mesurés
Pour autant, le NAO souligne que le risque lié à l’utilisation d’un système d’exploitation obsolète comme Windows XP aurait pu être réduit par des mesures de cloisonnement. Las, encore faudrait-il pour cela que le risque informatique soit pris au sérieux dans les établissements de santé britanniques. Et cela ne semble pas être pleinement le cas, malgré quelques précédents.
Ainsi, le NAO souligne que le NHS avait proposé aux établissements de santé d’évaluer leur posture de sécurité, avant l’épisode WannaCry. Quatre-vingt-huit groupements avaient accepté la proposition au 12 mai dernier. « Et aucun n’avait passé » le test. Selon le NHS, c’est bien simple : « en général, les groupements n’avaient pas identifié la cybersécurité comme un risque pour les prestations rendues aux patients et avaient tendance à surestimer leur préparation ».
D’après le NAO, aucune rançon n’a été payée par les organismes de santé britanniques dans le cadre de l’épisode WannaCry.