Résumé

  • Événement confirmé:Ascension a détecté une activité inhabituelle le 8 mai 2024, a ensuite décrit l'événement comme une attaque par ransomware, et a indiqué que les opérations cliniques étaient perturbées tandis que les hôpitaux et établissements restaient ouverts selon les procédures d'indisponibilité. Sa page publique dédiée à l'incident a ultérieurement précisé que tous les systèmes impactés, les fonctions cliniques et l'accès au EHR avaient été restaurés. (page de l'événement de cybersécurité Ascension)
  • Impact sur la continuité des soins:La mise à jour d'Ascension du 9 mai indiquait que les dossiers médicaux électroniques, MyChart, certains systèmes téléphoniques, et les systèmes utilisés pour commander des tests, des procédures et des médicaments étaient indisponibles. Certaines procédures, tests et rendez-vous non urgents ont été temporairement suspendus, et plusieurs hôpitaux étaient en déroutage pour les services médicaux d'urgence. (Mise à jour sur l'interruption du réseau Ascension)
  • Enregistrement des données:Le 19 décembre 2024, Ascension a déclaré qu'un examen complet des données avait révélé que des informations personnelles de certains patients actuels et anciens, résidents en soins pour personnes âgées et employés étaient concernées. L'entreprise a précisé que les types de données variaient et pouvaient inclure des informations médicales, de paiement, d'assurance, d'identification gouvernementale et d'autres informations personnelles, tout en affirmant ne disposer d'aucune preuve que des données aient été extraites du EHR ou d'autres systèmes cliniques. Le portail des violations de l'OCR du HHS est le répertoire fédéral public pour les signalements de violations importantes de données HIPAA. (Portail des violations de l'OCR du HHS)
  • Cartographie des responsabilités:Des acteurs criminels sont à l'origine de l'événement malveillant. Ascension contrôlait l'accès au réseau, l'isolement des systèmes cliniques, la formation aux procédures d'indisponibilité, l'ordre de rétablissement, la reconnexion des partenaires, la communication avec les patients, l'examen des données et le soutien. Les agences publiques contrôlaient l'application de la loi, la cyber-intelligence, la supervision des violations HIPAA et l'orientation sectorielle. Les patients et les cliniciens ne contrôlaient que des étapes de repli limitées et stressantes après que la panne système a atteint le chevet du patient.

Le ransomware a atteint le chevet du patient via les flux de travail

L'incident Ascension est facile à minimiser si on le décrit simplement comme une attaque par ransomware contre un hôpital. Une meilleure description est celle d'un test de continuité à l'échelle du système dans un réseau de soins. Le ransomware n'a pas eu besoin de toucher un ventilateur ou de modifier une prescription pour affecter les soins. Il lui suffisait de supprimer l'accès habituel aux dossiers partagés, aux canaux de commande, aux portails patients, aux téléphones, aux circuits pharmaceutiques et aux systèmes administratifs que les cliniciens utilisent pour transformer le récit d'un patient en traitement.

La première déclaration publique d'Ascension le 9 mai 2024 indiquait qu'elle avait détecté une activité inhabituelle sur certains systèmes technologiques du réseau le mercredi 8 mai, et pensait qu'elle était due à un événement de cybersécurité. Elle précisait que l'accès à certains systèmes avait été interrompu, que les opérations cliniques étaient perturbées, et que les équipes de soins avaient lancé des procédures entraînées pour maintenir la sécurité et minimiser l'impact sur la prestation des soins. Ascension a également déclaré avoir fait appel à Mandiant, informé les autorités compétentes, et enquêté sur les informations qui auraient pu être affectées. (Avis d'Ascension du 9 mai)

La page ultérieure de l'événement est plus directe. Elle indique que le 8 mai, Ascension a subi une attaque par ransomware et que, depuis lors, elle a restauré tous les systèmes impactés, les fonctions cliniques et l'accès au EHR. Cette dernière formulation est importante car elle fait passer l'événement d'un incident de cybersécurité suspecté à une attaque par ransomware confirmée, tout en définissant le point final de rétablissement revendiqué par l'entreprise. (Page de l'événement de cybersécurité Ascension)

Le problème de continuité a commencé dans l'intervalle entre ces deux états: après l'interruption des systèmes et avant que la restauration complète puisse être fiable. Pendant cet intervalle, les hôpitaux et établissements d'Ascension sont restés ouverts, mais « ouverts » ne signifiait pas normaux. Un hôpital peut rester ouvert alors que le dossier médical est inaccessible, que les commandes doivent être acheminées manuellement, que les prescriptions nécessitent une vérification supplémentaire, que les messages du portail s'accumulent, que le personnel utilise du papier, et que les services d'urgence sont déroutés vers certains sites pour maintenir la sécurité du triage. Il ne s'agit pas d'un inconvénient de communication. C'est un mode de fonctionnement différent.

Le dossier public doit également éviter le mélodrame. Ascension n'a pas dit que tous les soins s'étaient arrêtés. Elle a dit le contraire: les soins ont continué selon les protocoles d'indisponibilité. La question de la responsabilité n'est donc pas l'effondrement. C'est celle des soins en mode dégradé. Le système de santé disposait-il de procédures d'indisponibilité réalistes? Le personnel avait-il suffisamment de formation et de fournitures? Les hôpitaux régionaux ont-ils reçu des informations claires sur leur statut? Les ambulances savaient-elles où se rendre? Les pharmacies pouvaient-elles délivrer les médicaments pour les maladies chroniques? Les demandes d'analyses et d'imagerie pouvaient-elles être suivies sans le système habituel? L'entreprise pouvait-elle restaurer les systèmes sans reconnecter des infrastructures non sécurisées? Ces questions sont opérationnelles, pas rhétoriques.

« Ouvert » ne signifiait pas des soins normaux

La mise à jour d'Ascension du 9 mai à 17h30 nommait plusieurs systèmes indisponibles: les dossiers médicaux électroniques, MyChart, certains systèmes téléphoniques, et divers systèmes utilisés pour commander certains tests, procédures et médicaments. Elle demandait aux patients d'apporter leurs notes de rendez-vous, listes de médicaments, numéros d'ordonnance ou flacons de médicaments afin que les équipes de soins puissent transmettre les besoins en médicaments aux pharmacies. Elle indiquait que certaines procédures, tests et rendez-vous non urgents avaient été temporairement suspendus dans certains cas, et que plusieurs hôpitaux étaient en déroutage pour les services médicaux d'urgence en raison des procédures d'indisponibilité. (Page de l'événement de cybersécurité Ascension)

Cette liste est au cœur du problème. L'indisponibilité du EHR modifie la manière dont les cliniciens accèdent aux antécédents, allergies, médicaments, analyses antérieures, imagerie, listes de problèmes, notes de sortie et avis des spécialistes. L'indisponibilité du portail modifie la façon dont les patients communiquent avec les prestataires et consultent leurs résultats. La perturbation des systèmes téléphoniques affecte la planification, le triage entrant, les demandes de renouvellement et le suivi. La perturbation des systèmes de commande modifie le passage des analyses, de l'imagerie, des médicaments et des procédures de l'intention du clinicien à l'action réalisée. Le déroutage des ambulances modifie la répartition régionale des capacités d'urgence.

L'Associated Press a rapporté que l'attaque avait entraîné des déroutages d'ambulances, des reports de tests et des dossiers patients hors ligne dans un système exploitant environ 140 hôpitaux dans 19 États. AP a également rapporté que les dossiers électroniques et MyChart étaient affectés et que le personnel était revenu à des dossiers papier manuels. (Rapport d'AP sur la perturbation des soins à Ascension) Ces informations concordent avec les déclarations d'Ascension, mais la source officielle reste la page de l'entreprise pour ce qu'Ascension elle-même a confirmé.

La différence entre ouvert et normal a des conséquences pour les patients. Un patient souffrant ne vit pas une procédure d'indisponibilité comme un événement technique. Il subit des attentes plus longues, des questions répétées, l'incertitude quant à la visibilité des anciens dossiers, l'incertitude quant à l'avancement d'une demande d'analyse, et l'inquiétude que l'équipe soignante travaille sans le contexte habituel. Un clinicien peut assurer la sécurité des soins grâce à sa formation et à son jugement, mais la marge est plus étroite car le système d'enregistrement n'assure plus son travail de coordination ordinaire.

C'est pourquoi le mot « continuité » doit inclure la qualité de la continuité. Un hôpital peut garder ses portes ouvertes et se demander si la conciliation médicamenteuse a ralenti, si les délais d'analyse ont changé, si la programmation chirurgicale a été perturbée, si les admissions et transferts sont devenus plus difficiles, si les patients sortants ont pu obtenir leurs prescriptions, et si les patients ayant des moyens de transport limités ou une maîtrise limitée de l'anglais ont eu plus de difficultés à gérer les soins reprogrammés. Le dossier public ne répond pas à toutes ces questions, mais il prouve que c'étaient les bonnes questions.

Les procédures d'indisponibilité étaient le contrôle de sécurité caché

Ascension a déclaré que son personnel était formé aux protocoles et procédures d'indisponibilité établis. Cette déclaration est importante car les procédures d'indisponibilité ne sont pas un classeur de secours dans un placard. Elles sont un contrôle de sécurité qui doit fonctionner lorsque les cliniciens sont fatigués, les patients anxieux, les téléphones occupés et les gestionnaires dans l'attente de faits techniques incomplets.

Lors d'une panne du EHR, les procédures d'indisponibilité doivent définir comment les cliniciens documentent, comment les ordres sont rédigés, comment les médicaments sont vérifiés, comment les allergies sont contrôlées, comment les échantillons de laboratoire sont étiquetés, comment les demandes d'imagerie sont suivies, comment les notes manuscrites sont ultérieurement rapprochées, et comment les équipes de soins évitent de dupliquer ou de perdre des informations. Le dossier créé pendant la panne doit finalement être intégré au dossier médical permanent. Une note papier qui ne réintègre jamais le dossier n'est pas seulement un problème d'archivage. Elle peut affecter les soins futurs.

Les mises à jour d'Ascension des 7 et 11 juin montrent pourquoi la réconciliation était importante. Alors que l'accès au EHR était restauré par vagues, Ascension a averti que les dossiers médicaux et autres informations entre le 8 mai et la date de restauration locale du EHR pourraient ne pas être accessibles pendant que les informations recueillies pendant l'indisponibilité étaient téléchargées. L'entreprise a demandé aux patients de contacter le cabinet de leur clinicien pour connaître la disponibilité des dossiers durant cette période, et a averti que les messages du portail pourraient subir un léger retard. (Page de l'événement de cybersécurité Ascension)

C'est une phrase inhabituellement révélatrice. Elle montre que le rétablissement ne consistait pas seulement à redonner aux cliniciens l'accès au EHR. Il s'agissait également de mettre à jour le EHR avec les soins délivrés pendant qu'il était indisponible. Le dossier d'indisponibilité a dû être rassemblé, validé, saisi ou téléchargé, et rendu consultable. Jusqu'à ce que cela soit fait, les antécédents du patient pour la période de panne étaient partiellement hors de la vue numérique ordinaire.

Une bonne préparation aux indisponibilités comporte donc deux volets. Le premier est la sécurité des soins manuels pendant la panne. Le second est la réintégration propre par la suite. Ce second volet est souvent moins visible car le public voit le retour des connexions et suppose que le rétablissement est terminé. Dans le domaine de la santé, cette hypothèse est dangereuse. Le rétablissement n'est complet que lorsque le système d'enregistrement reflète avec précision ce qui s'est passé pendant le mode dégradé, et lorsque les cliniciens peuvent avoir confiance que le dossier restauré est suffisamment complet pour les décisions futures.

La restauration du EHR était une priorité clinique, pas seulement une étape informatique

Ascension a présenté à plusieurs reprises la restauration du EHR comme une priorité absolue du rétablissement. Le 29 mai, elle a déclaré que l'accès au EHR avait été restauré dans le premier marché et qu'un plan progressif était en cours. Le 4 juin, elle a indiqué que les marchés de Floride, d'Alabama et d'Austin avaient retrouvé l'accès au EHR. Le 5 juin, elle a ajouté le Tennessee, le Maryland et le centre du Texas. Le 7 juin, elle a ajouté l'Oklahoma et déclaré que l'objectif était une restauration du EHR à l'échelle du ministère d'ici le 14 juin. Le 11 juin, elle a énuméré la Floride, l'Alabama, le Tennessee, le Maryland, le centre du Texas, l'Oklahoma, le Wisconsin, l'Illinois, le Kansas, une partie du Michigan et une partie de l'Indiana, tout en poursuivant les travaux pour une achèvement d'ici le 14 juin. (Page de l'événement de cybersécurité Ascension)

Cette séquence de restauration doit être interprétée comme de la gouvernance clinique. L'accès au EHR n'est pas seulement une commodité numérique. C'est la mémoire partagée du système de soins. Le restaurer en premier est une déclaration sur ce que l'organisation jugeait le plus nécessaire pour la sécurité des soins. Mais une restauration par étapes soulève également des questions de responsabilité. Quels marchés ont été restaurés en premier et pourquoi? La séquence était-elle basée sur la préparation technique, l'acuité clinique, le volume de patients, la capacité alternative régionale, les dépendances des systèmes ou la confiance forensique? Comment les patients et les services d'ambulance ont-ils été informés de l'état des sites locaux?

Le dossier public ne donne qu'une partie de la réponse. Il montre une séquence progressive et un objectif. Il ne publie pas les règles de décision qui sous-tendent cette séquence. Cela est compréhensible pendant un incident en cours. C'est aussi une lacune de preuve post-incident. Un système de santé national devrait être en mesure de montrer aux régulateurs et aux organes de gouvernance interne pourquoi l'ordre de restauration correspondait au risque clinique.

Le langage de la restauration montre également la tension entre rapidité et sécurité. Ascension a répété à plusieurs reprises que les systèmes seraient restaurés de manière sûre et sécurisée, après validation et examen. C'est la bonne norme. Reconnecter un système non validé parce que l'hôpital en a besoin peut aggraver l'attaque. Attendre trop longtemps peut prolonger la perturbation clinique. La décision responsable se situe entre ces pressions.

Pour les événements futurs, une meilleure pratique publique serait une matrice de restauration clinique. Elle n'aurait pas besoin de divulguer des schémas de réseau. Elle pourrait identifier les états de service: EHR indisponible, EHR en lecture seule, EHR restauré pour la nouvelle documentation, dossiers d'indisponibilité en attente de téléchargement, portail disponible, transmission pharmaceutique restaurée, commande de tests restaurée, systèmes téléphoniques restaurés, connexions partenaires validées. Les patients et les cliniciens ont besoin de l'état de service, pas de la règle de pare-feu.

La continuité pharmaceutique était un test pratique des soins

L'accès aux médicaments a été l'un des exemples les plus clairs de la manière dont le ransomware quitte le centre de données et entre dans la vie quotidienne. Ascension a demandé aux patients d'apporter leurs flacons de médicaments, leurs numéros d'ordonnance et leurs listes de médicaments afin que les équipes de soins puissent transmettre les besoins en médicaments aux pharmacies. Plus tard, Ascension a déclaré que les sites de détail, de livraison à domicile et de pharmacie spécialisée Ascension Rx étaient ouverts et en mesure de répondre aux besoins en prescriptions, et que les prestataires de soins de santé pouvaient transmettre les ordonnances par voie électronique aux pharmacies Ascension Rx. (Page de l'événement de cybersécurité Ascension)

Cette séquence est importante car la continuité pharmaceutique n'est pas facultative. Pour les médicaments chroniques, un retard peut avoir des conséquences sur la santé. Pour les antibiotiques, les anticoagulants, l'insuline, les médicaments antiépileptiques, les médicaments pour la transplantation, les médicaments psychiatriques ou le contrôle de la douleur après une procédure, la friction dans le flux de travail peut devenir un risque clinique. Une équipe soignante peut appeler une pharmacie manuellement, mais le chemin manuel nécessite une connaissance actualisée des médicaments, une identité correcte du patient, un dosage clair, la gestion de l'assurance ou du paiement, la vérification par le pharmacien et un moyen de documenter ce qui a été fait.

Spectrum News a rapporté depuis le Wisconsin le cas de pharmacies locales confrontées à la cyberattaque d'Ascension et la nécessité de maintenir les patients sous médicaments chroniques. (Rapport de Spectrum News sur les pharmacies) Cette perspective locale est utile car la perturbation pharmaceutique est souvent dispersée. Elle n'apparaît pas toujours comme une défaillance hospitalière dramatique. Elle se manifeste par un patient, un pharmacien et un prescripteur qui tentent de reconstituer suffisamment d'informations pour maintenir le traitement.

La planification de l'indisponibilité des médicaments devrait donc être traitée comme un contrôle de sécurité des patients. Le plan devrait définir quelles listes de médicaments peuvent être consultées hors ligne, comment les allergies sont vérifiées, comment les flux de travail pour les substances contrôlées sont gérés, comment les renouvellements sont autorisés, comment les besoins urgents en médicaments sont priorisés, et comment la prescription manuelle est rapprochée du EHR après la restauration. Il devrait également définir ce qui est dit aux patients. Demander aux patients d'apporter leurs flacons de médicaments est sensé, mais cela transfère également la charge de travail à des personnes qui peuvent être malades, âgées, effrayées, à faible revenu, sans moyen de transport, ou sans ordonnances bien organisées.

Le dossier public montre qu'Ascension a reconnu le problème pharmaceutique. La question de responsabilité restante est de savoir avec quelle uniformité ces solutions de contournement ont fonctionné dans les différents États et sites de soins.

La reconnexion des partenaires était une surface de risque à part entière

Les mises à jour d'Ascension des 21 et 24 mai ont identifié un autre problème de rétablissement sous-estimé: les partenaires et fournisseurs devaient se reconnecter au réseau. Ascension a déclaré avoir lancé des points de contact réguliers avec les partenaires et fournisseurs critiques pour fournir des informations afin de les aider à rétablir leur connexion au réseau Ascension. Le 24 mai, l'entreprise a indiqué que de nombreux fournisseurs et partenaires avaient commencé à se reconnecter et à reprendre leurs services, ce qui devrait accélérer le rétablissement. (Page de l'événement de cybersécurité Ascension)

La reconnexion des partenaires n'est pas un détail de planification. C'est une décision de sécurité et de continuité. Les hôpitaux dépendent des laboratoires, des fournisseurs d'imagerie, des pharmacies, des partenaires de cycle de revenus, des fournisseurs de dispositifs, des systèmes en nuage, des prestataires de services spécialisés, des partenaires d'ambulance, des systèmes de personnel, des fournisseurs et des organisations de soutien. Une réponse à un ransomware peut nécessiter de déconnecter ou de limiter ces liens. Le rétablissement exige ensuite de décider quels liens peuvent être restaurés en toute sécurité, dans quel ordre, sous quelle surveillance, et avec quelles preuves de chaque côté.

C'est là que la continuité du secteur public et la localité des données se rejoignent. Les données de santé ne sont pas conservées dans un seul endroit bien rangé. Elles circulent à travers les systèmes cliniques, les serveurs de fichiers, les portails patients, les flux de facturation, les interfaces de laboratoire, les circuits pharmaceutiques, les canaux d'assurance et les environnements des fournisseurs. Ascension a déclaré plus tard que les attaquants avaient pris des fichiers sur sept des quelque 25 000 serveurs, utilisés principalement par les associés pour leurs tâches quotidiennes et routinières, et que certains fichiers pouvaient contenir des PHI et PII. Elle a également déclaré n'avoir aucune preuve que des données aient été extraites du EHR ou d'autres systèmes cliniques. (Page de l'événement de cybersécurité Ascension)

Ces déclarations tracent une frontière utile, mais elles soulignent également pourquoi la localité d'accès importe plus que la localité physique. Un dossier peut être légalement détenu par un système de santé à but non lucratif américain et devenir exposé s'il est accessible via un flux de travail compromis, un serveur de fichiers de routine ou un chemin partenaire. La souveraineté des données dans le domaine de la santé ne se limite pas à l'endroit où résident les données; c'est qui peut les toucher, les copier, les transmettre, les exporter, les visualiser ou s'y reconnecter après une violation.

La preuve post-incident qui compte n'est donc pas seulement « systèmes restaurés ». C'est « connexions restaurées avec validation ». Un système de santé devrait être en mesure de démontrer que la reconnexion des partenaires n'a pas réintroduit d'identifiants compromis, de relations de confiance obsolètes, d'accès à distance non examinés ou de chemins de données non surveillés.

La violation de données n'était pas la même chose que l'interruption clinique

La mise à jour d'Ascension du 19 décembre a complété une autre partie du dossier. Après avoir travaillé avec des experts tiers pour examiner les données potentiellement concernées, Ascension a déclaré qu'elle commencerait à informer les personnes dont les informations personnelles étaient impliquées et à offrir des services gratuits de surveillance du crédit et de protection de l'identité. Elle a précisé que les informations pouvaient comprendre des informations médicales telles que le numéro de dossier médical, la date de service, les types de tests de laboratoire ou les codes de procédure; des informations de paiement; des informations d'assurance; une identification gouvernementale; et d'autres informations personnelles telles que la date de naissance ou l'adresse. (Page de l'événement de cybersécurité Ascension)

Cet enregistrement des données ne doit pas être confondu avec le dossier de continuité des soins. L'interruption a eu lieu en mai et juin. La notification des données s'est développée sur plusieurs mois, après l'examen des fichiers. Les deux sont des conséquences de la même attaque, mais elles créent des obligations différentes. Une interruption clinique nécessite des soins de repli immédiats, des décisions de déroutage, des contrôles de sécurité, une communication avec les patients et une restauration. Une violation de données nécessite une analyse de la population concernée, une cartographie des champs, une notification légale, un soutien à l'identité, un rapport aux régulateurs et une vigilance à long terme contre les escroqueries.

La page de la règle de notification des violations du HHS explique le cadre fédéral de notification pour les informations de santé protégées non sécurisées, y compris les obligations de délai pour les violations affectant 500 personnes ou plus. (Règle de notification des violations du HHS) Le HHS publie également des conseils sur la soumission d'un avis au Secrétaire. (Page de signalement des violations du HHS) Le portail public des violations de l'OCR répertorie les signalements de violations importantes faisant l'objet d'une enquête. (Portail des violations de l'OCR du HHS)

La limite dans la déclaration d'Ascension est importante: les données des patients étaient impliquées, mais Ascension a affirmé qu'il n'y avait toujours aucune preuve que des données aient été extraites du EHR ou d'autres systèmes cliniques où sont stockés les dossiers complets des patients. C'est une assurance significative, pas une annulation complète du préjudice. Une date de service, un type de test de laboratoire, un code de procédure, un numéro d'assurance ou un identifiant gouvernemental peuvent toujours être sensibles. Le fait que les dossiers EHR complets n'aient pas été montrés comme ayant été pris, selon le dossier public d'Ascension, ne rend pas les données des serveurs de fichiers de routine inoffensives.

Cela ne prouve pas non plus que chaque personne affectée a subi le même risque. Ascension a déclaré que les données variaient d'une personne à l'autre et ne pouvaient pas être confirmées pour chaque individu dans la déclaration publique générique. Un bon enregistrement de notification devrait donner à chaque personne les catégories de champs disponibles les plus spécifiques et les mesures de soutien. Les grands systèmes de santé ne devraient pas s'appuyer sur une seule liste large lorsque le risque individuel diffère selon le type de données.

Les rapports étatiques et sectoriels montrent comment le dossier de confidentialité s'est transformé en dossier de protection des consommateurs. La procureure générale du Michigan, Dana Nessel, a encouragé les patients et les associés d'Ascension à envisager une surveillance gratuite du crédit après qu'Ascension a averti que certaines informations personnelles pouvaient être concernées. (Avis du procureur général du Michigan) Healthcare Dive a rapporté plus tard l'ampleur fédérale de la violation à 5,6 millions de personnes dans le contexte de notification publique des violations. (Rapport de Healthcare Dive sur la violation) Ces sources ne remplacent pas l'avis d'Ascension ni le portail du HHS, mais elles montrent que les conséquences de la violation sur la vie privée sont restées actives après la restauration clinique.

L'explication du fichier malveillant n'est pas la fin de la responsabilité

Le 12 juin, Ascension a déclaré avoir identifié comment l'attaquant avait obtenu l'accès: une personne travaillant dans l'un de ses établissements avait accidentellement téléchargé un fichier malveillant qu'elle croyait légitime. Ascension a affirmé n'avoir aucune raison de croire qu'il ne s'agissait pas d'une erreur honnête. (Page de l'événement de cybersécurité Ascension)

C'est un fait utile, mais il ne devrait pas devenir une fin commode. La sécurité moderne devrait supposer que certains employés cliqueront. Les contrôles responsables sont ce qui se passe avant et après le clic: sécurité des e-mails, isolation du navigateur, détonation des pièces jointes, détection sur les terminaux, moindre privilège, contrôle des applications, segmentation, détection des mouvements latéraux, contrôles d'accès aux serveurs de fichiers, isolation des sauvegardes, réponse aux incidents et préparation aux indisponibilités cliniques.

La page de la règle de sécurité du HHS énonce la norme en termes généraux: des mesures de protection administratives, physiques et techniques sont requises pour protéger la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques. (Règle de sécurité du HHS) Le HHS tient également à jour du matériel d'orientation en matière de cybersécurité pour les entités couvertes par HIPAA et les associés commerciaux. (Document d'orientation sur la cybersécurité du HHS) Le guide StopRansomware de la CISA met également l'accent sur la préparation, la prévention, la planification de la réponse, les sauvegardes et les communications. (Guide StopRansomware de la CISA)

Aucune de ces sources générales ne constitue une conclusion selon laquelle Ascension a enfreint une règle. Elles définissent les catégories de contrôle qui importent. Le principe fondamental de responsabilité est qu'un seul téléchargement accidentel ne devrait pas être autorisé à devenir une perturbation clinique à l'échelle du système si des couches raisonnables peuvent limiter le rayon de l'explosion. Si cela devient systémique, l'organisation doit être en mesure d'expliquer pourquoi, ce qui a échoué, ce qui a fonctionné et ce qui a changé.

Le langage de l'« erreur honnête » est humain. Il évite de faire d'un travailleur individuel un bouc émissaire. Mais un langage humain devrait être associé à un apprentissage organisationnel. Blâmer un travailleur est une responsabilité faible. Traiter l'action du travailleur comme un signal dans un système de contrôle plus large est plus fort.

Le rétablissement financier n'a pas mesuré le fardeau des patients

Les divulgations financières d'Ascension montrent que l'événement a eu des conséquences opérationnelles au-delà de la page de l'incident. En septembre 2024, Ascension a déclaré que les opérations de mai et juin avaient été impactées par l'incident de cybersécurité, entraînant une réduction des revenus due à l'interruption des activités, des coûts pour remédier aux problèmes et d'autres dépenses d'exploitation. L'entreprise a également affirmé que le bilan et les niveaux de liquidité restaient solides, avec des liquidités suffisantes pour continuer à fournir des soins. (Résultats financiers du T4 FY24 d'Ascension)

En février 2025, Ascension a déclaré que les opérations du T4 FY24 avaient été impactées par la cyberattaque de mai, mais que la reprise des volumes pour l'exercice FY25 s'était poursuivie et que le volume de patients dans les mêmes établissements s'était amélioré d'environ 5 à 6 % depuis l'événement cybernétique, les principaux KPI opérationnels revenant à un état normal de fonctionnement. (Résultats financiers du T2 FY25 d'Ascension)

Ces déclarations sont utiles pour la résilience organisationnelle, mais elles ne constituent pas un compte rendu complet du préjudice subi par les patients. La reprise des revenus et des volumes peut coexister avec des rendez-vous retardés, la frustration des patients, le stress des pharmacies, les heures supplémentaires des cliniciens, les déroutages locaux, les antécédents répétés, la documentation manuelle et la perte de confiance. Un système peut se rétablir financièrement tandis que certains patients se souviennent encore du jour où leurs dossiers étaient indisponibles.

Le dossier de responsabilité serait plus solide si les rapports post-incident distinguaient au moins quatre mesures de rétablissement. Premièrement, la restauration technique: quels systèmes étaient propres et disponibles. Deuxièmement, la restauration clinique: quelles fonctions de soins sont revenues à un flux de travail ordinaire. Troisièmement, la restauration des dossiers: comment la documentation de l'indisponibilité a été réconciliée. Quatrièmement, le soutien aux patients: quels retards, déroutages, reprogrammations et avis de données ont nécessité un suivi.

Les pages financières d'Ascension montrent une grande organisation absorbant l'événement. Elles ne montrent pas la répartition complète des inconvénients et des risques entre les patients, les cliniciens, les pharmacies, les services d'ambulance et les communautés locales. Ce n'est pas un défaut propre à Ascension. C'est un problème plus large dans les rapports d'incidents cybernétiques: les bilans sont plus faciles à résumer que les frictions dans les soins.

Le secteur a traité le ransomware hospitalier comme une fonction publique

Ascension a déclaré avoir informé les forces de l'ordre et les partenaires gouvernementaux, notamment le FBI, la CISA, le HHS et l'American Hospital Association, et partagé des renseignements pertinents sur les menaces avec H-ISAC afin que les partenaires et pairs du secteur puissent se protéger. (Page de l'événement de cybersécurité Ascension) Ce cadre multi-agences est important car un événement de ransomware hospitalier n'est pas seulement une affaire privée entre une victime et un attaquant.

Les hôpitaux font partie de la capacité d'urgence régionale. Lorsque plusieurs hôpitaux entrent en procédure d'indisponibilité ou de déroutage, les hôpitaux environnants, les services médicaux d'urgence, les autorités de santé publique et les patients ressentent le changement. C'est la continuité du secteur public en pratique. Le gouvernement ne gère pas le EHR d'Ascension, mais il a intérêt à ce que les soins d'urgence, les avertissements publics, l'application de la loi, les renseignements sur les menaces et la supervision HIPAA restent fonctionnels lorsqu'un grand système de santé est perturbé.

Le travail de l'American Hospital Association en matière de cybersécurité a présenté à plusieurs reprises les ransomwares contre les hôpitaux comme un problème de sécurité des patients. Sa page sur la cybersécurité met en avant la préparation à la cyber-résilience pour les hôpitaux et les systèmes de santé. (Centre de ressources en cybersécurité de l'AHA) L'AHA a également résumé une discussion du Conseil de sécurité des Nations unies au cours de laquelle le président d'Ascension a partagé que l'attaque de mai avait perturbé les opérations dans les hôpitaux d'Ascension, chiffré des milliers de systèmes informatiques et rendu les dossiers médicaux électroniques inaccessibles. (Résumé de l'AHA sur le ransomware au Conseil de sécurité de l'ONU)

Ces sources sectorielles doivent être utilisées avec prudence. Elles ne remplacent pas la chronologie des incidents propre à Ascension. Elles montrent que la cyber-résilience hospitalière fait désormais partie des discussions sur la sécurité nationale, la santé publique et la gestion des urgences. Plus les soins de santé se numérisent, moins il est crédible de traiter le ransomware comme une question informatique de back-office.

Les patients avaient un contrôle limité et une exposition élevée

Les instructions d'Ascension aux patients étaient pratiques: apportez vos symptômes, listes de médicaments, numéros d'ordonnance ou flacons; surveillez les mises à jour; utilisez la surveillance du crédit si vous êtes inquiet; contactez les cabinets des cliniciens pour la disponibilité des dossiers pendant l'indisponibilité; appelez le 911 en cas d'urgence. Ces mesures ont aidé les gens à naviguer dans une situation difficile. Elles montrent également le déséquilibre.

Les patients pouvaient apporter leurs flacons. Ils ne pouvaient pas restaurer le EHR. Ils pouvaient répéter leurs antécédents médicaux. Ils ne pouvaient pas savoir si une note antérieure était visible. Ils pouvaient accepter une reprogrammation. Ils ne pouvaient pas choisir l'ordre de restauration. Ils pouvaient s'inscrire à la surveillance du crédit. Ils ne pouvaient pas rendre non exposé un code de procédure, un numéro d'assurance ou une date de service. Ils pouvaient être vigilants face aux escroqueries. Ils ne pouvaient pas connaître tous les endroits où leurs données pourraient être copiées.

Ce déséquilibre est la raison pour laquelle le langage de la vigilance ne devrait jamais se substituer à la responsabilité organisationnelle. Il est approprié de dire aux patients ce qu'ils doivent faire. Il est insuffisant de laisser entendre que l'action du patient peut compenser des contrôles manquants. Dans le domaine de la santé, la personne la plus exposée aux dommages en aval est souvent celle qui a le moins de pouvoir opérationnel.

La dimension de la vulnérabilité est particulièrement importante car la mission d'Ascension met l'accent sur les soins aux personnes pauvres et vulnérables, et ses ressources médiatiques décrivent un grand système avec des visites aux urgences, des naissances, des chirurgies, des sorties et des programmes de bénéfices communautaires. (Ressources médiatiques d'Ascension) Une panne due à un ransomware ne frappe pas de manière uniforme. Les patients sans moyen de transport, sans congé payé, atteints de maladies chroniques, avec un logement instable, avec des barrières linguistiques, avec des besoins en santé mentale, ou avec des régimes médicamenteux complexes ont moins de marge face aux frictions.

Un plan de continuité responsable devrait donc mesurer le fardeau imposé aux patients. Combien de rendez-vous ont été suspendus ou reprogrammés? Combien de patients ont eu besoin d'un soutien de contournement pour leurs médicaments? Quelles langues ont été utilisées dans les avis? Comment les patients sans accès fiable à Internet ou au téléphone ont-ils été joints? Comment les déroutages d'urgence ont-ils été coordonnés avec les services médicaux d'urgence locaux? Comment la documentation de l'indisponibilité a-t-elle été réconciliée pour les patients nécessitant des soins continus? Ces questions définissent la responsabilité au chevet du patient mieux qu'une simple date de restauration.

La souveraineté des données concernait l'accessibilité

Le sujet manifeste « Souveraineté et localité des données » n'est pas une question étroite de l'emplacement physique des serveurs. Le cas d'Ascension montre la question plus pertinente pour les soins de santé: quelles données étaient accessibles via quels chemins d'accès pendant le travail ordinaire?

Ascension a déclaré que les attaquants avaient pris des fichiers sur sept des quelque 25 000 serveurs utilisés principalement par les associés pour leurs tâches quotidiennes et routinières. Elle a également précisé que ces fichiers pouvaient contenir des PHI et PII. Cette combinaison est révélatrice. Les données sensibles peuvent résider dans des espaces de travail de routine, des exportations, des pièces jointes, des dossiers partagés, des files d'attente de travail, des fichiers de reporting, des documents numérisés et des magasins opérationnels temporaires. Le EHR peut être le dossier complet du patient, mais ce n'est pas le seul endroit où apparaissent les informations sur le patient.

La page actuelle d'Ascension One décrit une expérience numérique patient pour payer les factures, consulter les résultats de tests et de laboratoire, rester en contact avec les médecins et planifier et gérer les rendez-vous familiaux. (Ascension One) Ce langage de produit public n'est pas une source d'incident. Il aide les lecteurs à comprendre l'attente ordinaire: les patients et les cliniciens vivent désormais les soins à travers des comptes, des portails, des dossiers et des flux de travail connectés. Lorsque la réponse au ransomware désactive des parties de cet écosystème, la localité devient fonctionnelle. Les données et les soins sont locaux par rapport au système qui peut y accéder au moment où ils sont nécessaires.

Les questions de minimisation des données et de gouvernance des accès suivent. Pourquoi les serveurs de fichiers de routine contenaient-ils les champs qu'ils contenaient? Les exportations sensibles étaient-elles limitées dans le temps? Les fichiers étaient-ils classifiés et surveillés? Les serveurs des associés de routine étaient-ils segmentés des systèmes cliniques? Les fichiers téléchargés étaient-ils restreints par des contrôles sur les terminaux? Les anciens fichiers de routine étaient-ils archivés ou supprimés? Les chemins d'accès des partenaires étaient-ils suffisamment étroits? Le dossier public ne répond pas à ces questions; il les rend nécessaires.

La bonne leçon n'est pas que les systèmes EHR ne devraient jamais se connecter à d'autres systèmes. Les soins de santé ne peuvent pas fonctionner ainsi. La leçon est que chaque copie secondaire des données des patients fait partie du rayon d'explosion clinique et de confidentialité.

À quoi ressemblerait de meilleures preuves

Un dossier public post-incident mature pour un système de santé devrait répondre à plusieurs questions sans publier de détails de sécurité sensibles.

Premièrement, il devrait fournir une chronologie de l'état des services. Il devrait identifier quand l'accès au EHR, l'accès au portail, les systèmes téléphoniques, la commande de médicaments, la commande de laboratoire, la planification des procédures, la transmission pharmaceutique, les systèmes de facturation, les connexions des partenaires et le statut de déroutage régional ont changé. La page de l'événement d'Ascension a fourni de nombreuses mises à jour, mais une chronologie consolidée rendrait le dossier plus facile à auditer.

Deuxièmement, il devrait fournir un compte rendu de l'indisponibilité clinique. Ce compte rendu devrait expliquer quelles procédures d'indisponibilité ont été activées, comment le personnel a été soutenu, comment la documentation manuelle a été réconciliée, comment les contrôles de sécurité des médicaments et des laboratoires ont été maintenus, et si des examens de sécurité spécifiques à l'incident ont eu lieu. Il ne devrait pas révéler des événements privés concernant les patients, mais il devrait montrer le système de contrôle.

Troisièmement, il devrait fournir une cartographie des données par catégorie. L'avis de décembre d'Ascension énumérait les catégories possibles, mais la norme plus solide est une notification au niveau du champ lorsque cela est possible: le numéro de dossier médical, la date de service, le code de procédure, le type de test de laboratoire, l'identifiant d'assurance, le champ de paiement, l'identifiant gouvernemental, l'adresse, la date de naissance et les données des employés ne devraient pas être mélangés si chaque personne peut être informée plus spécifiquement.

Quatrièmement, il devrait expliquer le chemin d'accès et le confinement à un niveau élevé. L'explication du fichier malveillant est utile. Un dossier complet ajouterait les contrôles organisationnels modifiés par la suite, tels que le filtrage des e-mails, la politique des terminaux, l'examen de l'accès aux serveurs de fichiers, la segmentation, la journalisation, l'isolation des sauvegardes et les contrôles d'accès privilégiés, sans donner aux attaquants un manuel d'utilisation.

Cinquièmement, il devrait publier des mesures agrégées de l'impact sur les patients: les suspensions de rendez-vous, les reprogrammations, la durée des déroutages par région, le volume de contournement pharmaceutique, l'arriéré du portail et l'activité de la ligne d'assistance. La divulgation publique peut préserver la vie privée tout en restant significative.

Enfin, il devrait clarifier les questions non résolues. Si un litige, un examen réglementaire ou un risque de sécurité limite les détails, il faut le dire. Les patients peuvent mieux gérer l'incertitude lorsque les limites sont nommées.

La leçon est la résilience au chevet du patient

Ascension a été victime d'un crime. Ce fait doit être énoncé clairement. Des acteurs criminels sont à l'origine de l'attaque par ransomware. Les forces de l'ordre et les agences cybernétiques ont le rôle public d'enquête, de renseignement et de dissuasion. Aucun hôpital ne devrait être tenu de déjouer chaque tentative malveillante sans incident.

Mais la responsabilité en matière de soins de santé ne s'arrête pas au statut de victime. Un système de santé contrôle l'architecture, la formation, les procédures d'indisponibilité, les dépendances envers les partenaires, les magasins de données, la séquence de rétablissement et les communications avec les patients qui déterminent si un ransomware devient une panne gérable ou une perturbation au chevet du patient. Le dossier public d'Ascension montre à la fois de la résilience et des tensions: les hôpitaux sont restés ouverts, les cliniciens ont continué à soigner, la restauration du EHR a été priorisée, les pharmacies sont revenues en ligne, les systèmes ont finalement été restaurés, et des avis ont été envoyés. Il montre également des déroutages d'urgence, des soins interrompus, l'absence d'accès ordinaire aux dossiers, une complétude retardée du portail, des mois d'analyse de données et un impact financier significatif.

La leçon durable est que le rétablissement après un ransomware dans le domaine de la santé est une discipline clinique. Elle relève de la supervision du conseil d'administration, des opérations infirmières, de la direction des pharmacies, de la gestion des urgences, de la planification du cycle de revenus, de la conformité en matière de confidentialité, de la gouvernance des fournisseurs et des communications avec les patients, et pas seulement des opérations de sécurité. Le dossier fait partie des soins. Le système de commande fait partie des soins. Le portail fait partie des soins. Le dossier d'indisponibilité fait partie des soins. Lorsque ces systèmes échouent, la responsabilité est mesurée par la capacité de l'organisation à continuer de traiter les gens en toute sécurité tout en prouvant que la fondation numérique peut à nouveau être digne de confiance.