Publicité en cours de chargement...

Publicité en cours de chargement...

Nouveau coup dur pour les hôpitaux anglais

31 oct. 2017 - 10:30,
Tribune - Charles Blanc-Rolin
Les systèmes d’informations de santé britanniques reviennent sur le devant de la scène pour le meilleur du pire.

Après le piratage du système d’information de la clinique esthétique londonienne, London Bridge Plastic Surgery accordé au groupe The Dark Overlord et ses photos intimes volées de célébrités et têtes couronnées, annoncé en début de semaine dernière

C’est au tour du NHS, le service de santé publique de repasser à la guillotine.
En effet un récent rapport du National Audit Office (NAO) publié le 27 octobre revient sur les dégâts considérables causés par le rançongiciel WannaCry le 12 mai dernier auprès de 45 établissements publiques de santé du pays.

Le rapport met en cause la vétusté du parc informatique des établissements publiques de santé britanniques et l’ignorance totale de la SSI malgré plusieurs avertissement du ministère de la santé, qui avait demandé aux établissements depuis 2014 de migrer leurs postes Windows XP vers un système d’exploitation supporté et à jour, au vue de l’état de la menace.
Le constat est que trois ans après ses premiers avertissements, non seulement les établissements n’avaient pas agit, mais de plus, le NHS était dans l’incapacité d’évaluer l’état d’avancement de ce chantier de migration.

Les chiffres ont également été revus à la hausse dans ce rapport, il souligne que non pas 45 comme le NHS l’avait initialement indiqué, mais au moins 81 hôpitaux sur 236 auraient été victimes du rançongiciel WannaCry, tout comme 603 établissements de soins, dont 595 cabinets de médecins généralistes.
Sans l’intervention de Marcus Hutchins alias « Malwaretech », qui a découvert et activé le fameux « Kill Switch » en déclarant le nom de domaine qui a permis de stopper la propagation de WannaCry, les dégâts auraient été beaucoup plus importants selon le NAO.
Même si aucun établissement n’aurait payé la rançon demandée, il est aujourd’hui impossible pour le NHS d’évaluer le coût considérable de cet incident.
La confidentialité des données de santé des patients n’a, à première vue pas été compromise par le rançongiciel, mais certains praticiens avouent avoir communiqués des informations médicales à l’aide de l’application WhatsApp depuis leurs smartphones personnels. Donc, les praticiens les plus sensibles à la confidentialité des données avouent avoir utilisé une application qui fait du chiffrement de bout en bout (je doute malgré tout de sa certification critères communs EAL), mais qu’ont bien pu utiliser ceux qui se taisent ? 

Le « bilan » sanitaire est également abordé dans ce rapport, et là encore les chiffres sont impressionnants :

  • 5 régions dont les hôpitaux étaient dans l’incapacité d’assurer les urgences et de nombreux patients redirigés vers d’autres régions
  • 6 jours de perturbations pour les patients (je n’ose pas imaginer pour le personnel
  • plus de 19 000 rendez-vous et opérations annulés

Même si le niveau de maturité en terme de SSI est probablement moins catastrophique dans les établissements de santé Français, je me demandait (même si j’ai bien une idée), on en est où du plan d’actions demandées par l’instruction n°SG/DSSIS/2016/309 un an après sa publication ? Peut-on se fier à toutes les belles déclarations « Hôpital Numérique » qu’ont remplis la majorité des établissements ?

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.