Une attaque de ransomware a contribué au décès d'un patient

La mort d'une personne a été liée à une attaque par ransomware contre les services de transfusion sanguine du NHS dans les hôpitaux et les cabinets de médecins généralistes de Londres en juin dernier.

Le King's College Hospital NHS Foundation Trust a confirmé qu'un patient était « décédé de manière inattendue » lors de la cyberattaque du 3 juin 2024, qui a perturbé plus de 10 000 rendez-vous.

Un porte-parole de l'établissement a déclaré qu'un certain nombre de facteurs contributifs ont conduit au décès du patient, notamment « une longue attente pour obtenir le résultat d'un test sanguin ».

Les données des patients gérées par Synnovis, une agence qui gère les laboratoires des fiducies du NHS et des médecins généralistes du sud-est de Londres, ont été volées lors de l'incident.

Un porte-parole de l'établissement a déclaré qu'un examen détaillé des soins prodigués au patient avait été entrepris.

« L'enquête sur l'incident lié à la sécurité des patients a identifié un certain nombre de facteurs contributifs qui ont conduit au décès du patient », ont-ils déclaré.

« Cela incluait une longue attente pour un résultat d'analyse sanguine en raison de la cyberattaque qui avait eu un impact sur les services de pathologie à l'époque.

« Nous avons rencontré la famille du patient et lui avons fait part des conclusions de l’enquête de sécurité. »

Le porte-parole a ajouté qu'ils ne pouvaient pas confirmer la date du décès ni l'âge de la personne, invoquant la confidentialité.

Mark Dollar, directeur général de Synnovis, a déclaré : « Nous sommes profondément attristés d'apprendre que la cyberattaque criminelle de l'année dernière a été identifiée comme l'un des facteurs ayant contribué au décès de ce patient.

« Nos pensées vont à la famille concernée. »

Plus de 10 000 rendez-vous ont été annulés dans les deux établissements du NHS londoniens les plus touchés. Un nombre important de cabinets médicaux londoniens n'ont pas pu prescrire d'analyses sanguines à leurs patients.

Le Health Service Journal (HSJ) a rapporté près de 600 incidents liés à l'attaque, dont 170 ont entraîné des dommages aux patients. Un cas a entraîné des dommages « graves », 14 ont entraîné des dommages « modérés » et les autres ont été identifiés comme des dommages « légers », a précisé le HSJ.

Selon les directives du NHS, un préjudice grave survient lorsque les patients subissent un préjudice permanent, ont besoin de soins vitaux ou pourraient avoir réduit leur espérance de vie, entre autres facteurs.

Deryck Mitchelson, de la société de cybersécurité Check Point, a déclaré que les cyberattaques étaient plus que de simples « perturbations » car elles causaient des « dommages aux patients ».

M. Mitchelson, ancien directeur de National Digital et responsable de la sécurité de l'information pour le NHS National Services Scotland, a déclaré que les systèmes informatiques n'étaient jamais aussi sûrs que le maillon le plus faible de la chaîne.

« Le décès désormais confirmé est tragique, mais pas surprenant. Lorsque les systèmes qui sous-tendent le diagnostic et le traitement sont démantelés à grande échelle, les conséquences ne sont pas hypothétiques. Il s'agit du coût réel », a-t-il déclaré.

« Ce n'était pas un acte anonyme. Ce n'étaient pas seulement des systèmes ou des données que vous cibliez, c'était des soins. C'étaient des personnes. L'une d'elles a perdu la vie. Cela devrait peser lourd. »

Qilin, le groupe cybercriminel basé en Russie responsable de l'attaque, avait précédemment déclaré qu'il était « désolé » pour tous les dommages causés, mais qu'il n'était « pas à blâmer ».

Le gang du ransomware s'est adressé à la BBC en juin 2024 sur le service de chat crypté qTox et a tenté de justifier l'attaque comme une forme de protestation politique.

Qilin a affirmé avoir mené cette cyberattaque en guise de vengeance pour les actions du gouvernement britannique dans une guerre non divulguée.