Résumé
- Événement confirmé:Ascension a détecté une activité inhabituelle le 8 mai 2024, a par la suite décrit l'événement comme une attaque par ransomware, et a indiqué que les opérations cliniques avaient été perturbées tandis que les hôpitaux et établissements restaient ouverts selon des procédures de secours. Sa page publique d'incident a ultérieurement déclaré que tous les systèmes touchés, les fonctions cliniques et l'accès au DME avaient été rétablis. (Page d'incident de cybersécurité d'Ascension)
- Impact sur la continuité des soins:La mise à jour d'Ascension du 9 mai a indiqué que les dossiers médicaux électroniques, MyChart, certains systèmes téléphoniques et les systèmes utilisés pour commander des tests, des procédures et des médicaments étaient indisponibles. Certaines procédures électives non urgentes, des tests et des rendez-vous ont été temporairement suspendus, et plusieurs hôpitaux étaient en déroutement pour les services médicaux d'urgence. (Mise à jour d'Ascension sur l'interruption du réseau)
- Enregistrement des données:Le 19 décembre 2024, Ascension a déclaré qu'un examen des données avait révélé que des informations personnelles de certains patients actuels et anciens, résidents de résidences pour personnes âgées et employés étaient concernées. Elle a indiqué que les types de données variaient et pouvaient inclure des informations médicales, de paiement, d'assurance, d'identification gouvernementale et d'autres informations personnelles, tout en affirmant n'avoir aucune preuve que des données aient été extraites du DME ou d'autres systèmes cliniques. Le portail des violations de l'OCR du HHS est la liste fédérale publique des signalements de violations HIPAA de grande ampleur. (Portail des violations HHS OCR)
- Cartographie des responsabilités:Des acteurs criminels ont causé l'événement malveillant. Ascension contrôlait l'accès au réseau, l'isolement des systèmes cliniques, la formation aux procédures de secours, la séquence de récupération, la reconnexion des partenaires, la communication avec les patients, l'examen des données et le soutien. Les agences publiques contrôlaient l'application de la loi, le renseignement cybernétique, la surveillance des violations HIPAA et les directives sectorielles. Les patients et les cliniciens ne contrôlaient que des étapes de repli limitées et stressantes une fois que la panne du système atteignait le chevet du patient.
Le ransomware a atteint le chevet via les flux de travail
L'incident d'Ascension est facile à minimiser si on le décrit uniquement comme une attaque par ransomware contre un hôpital. Une meilleure description est celle d'un test de continuité à l'échelle du système au sein d'un réseau de soins. Le ransomware n'a pas eu besoin de toucher un ventilateur ni de modifier une prescription pour affecter les soins. Il lui suffisait de supprimer l'accès ordinaire aux dossiers partagés, aux canaux de commande, aux portails patients, aux téléphones, aux circuits pharmaceutiques et aux systèmes administratifs que les cliniciens utilisent pour transformer l'histoire d'un patient en traitement.
La première déclaration publique d'Ascension le 9 mai 2024 indiquait avoir détecté une activité inhabituelle sur certains systèmes de réseau technologique le mercredi 8 mai et pensait qu'elle était due à un incident de cybersécurité. Elle disait que l'accès à certains systèmes avait été interrompu, que les opérations cliniques étaient perturbées et que les équipes soignantes avaient mis en œuvre des procédures apprises pour maintenir la sécurité et la continuité des soins avec un impact minimal. Ascension a également déclaré avoir engagé Mandiant, informé les autorités compétentes et mené une enquête sur les informations éventuellement affectées. (Avis d'Ascension du 9 mai)
La page d'incident ultérieure est plus directe. Elle indique que le 8 mai, Ascension a subi une attaque par ransomware et que, depuis lors, tous les systèmes touchés, les fonctions cliniques et l'accès au DME ont été rétablis. Cette formulation ultérieure est importante car elle fait passer l'événement du statut d'incident de cybersécurité suspecté à celui d'attaque par ransomware confirmée, tout en définissant le point de récupération revendiqué par l'entreprise. (Page d'incident de cybersécurité d'Ascension)
Le problème de continuité a commencé dans l'écart entre ces deux états: après l'interruption des systèmes et avant que la restauration complète puisse être considérée comme fiable. Pendant cet intervalle, les hôpitaux et établissements d'Ascension sont restés ouverts, mais « ouverts » ne signifiait pas « normaux ».
Un hôpital peut rester ouvert alors que le dossier médical est inaccessible, que les commandes doivent être acheminées manuellement, que les prescriptions nécessitent des vérifications supplémentaires, que les messages du portail s'accumulent, que le personnel utilise du papier et que les services d'urgence sont déroutés de certains sites pour assurer la sécurité du triage. Ce n'est pas un simple inconvénient de communication. C'est un mode de fonctionnement différent.
Le dossier public doit également éviter le sensationnalisme. Ascension n'a pas dit que tous les soins avaient cessé. Elle a affirmé le contraire: les soins ont continué selon des protocoles de secours. La question de responsabilité n'est donc pas l'effondrement. C'est le mode dégradé des soins. Le système de santé disposait-il de procédures de secours réalistes? Le personnel avait-il suffisamment de formation et de fournitures? Les hôpitaux régionaux ont-ils reçu des informations claires sur leur statut? Les ambulances savaient-elles où aller? Les pharmacies pouvaient-elles délivrer les médicaments chroniques?
Les commandes de laboratoire et d'imagerie pouvaient-elles être suivies sans le système habituel? L'entreprise pouvait-elle restaurer les systèmes sans reconnecter une infrastructure dangereuse? Ces questions sont opérationnelles, pas rhétoriques.
« Ouvert » n'était pas synonyme de soins normaux
La mise à jour d'Ascension du 9 mai à 17 h 30 a nommé plusieurs systèmes indisponibles: dossiers médicaux électroniques, MyChart, certains systèmes téléphoniques et divers systèmes utilisés pour commander certains tests, procédures et médicaments. Elle a demandé aux patients d'apporter leurs notes de rendez-vous, listes de médicaments, numéros d'ordonnance ou flacons de médicaments afin que les équipes soignantes puissent transmettre les besoins en médicaments aux pharmacies par téléphone. Elle a indiqué que des procédures électives non urgentes, des tests et des rendez-vous avaient été temporairement suspendus dans certains cas, et a signalé que plusieurs hôpitaux étaient en déroutement pour les services médicaux d'urgence en raison des procédures de secours. (Page d'incident de cybersécurité d'Ascension)
Cette liste est au cœur du dossier. L'indisponibilité du DME modifie la manière dont les cliniciens récupèrent les antécédents, les allergies, les médicaments, les analyses antérieures, l'imagerie, la liste des problèmes, les notes de sortie et les avis spécialisés. L'indisponibilité du portail modifie la façon dont les patients communiquent avec les prestataires et consultent les résultats. La perturbation des systèmes téléphoniques modifie la planification des rendez-vous, le triage des appels, les demandes de renouvellement et le suivi.
La perturbation des systèmes de commande modifie la manière dont les laboratoires, l'imagerie, les médicaments et les procédures passent de l'intention du clinicien à l'action réalisée. Le déroutement des ambulances modifie la répartition régionale des capacités d'urgence.
L'Associated Press a rapporté que l'attaque avait entraîné le déroutement d'ambulances, le report de tests et l'indisponibilité des dossiers patients dans un système exploitant environ 140 hôpitaux dans 19 États. L'AP a également rapporté que les dossiers électroniques et MyChart étaient affectés et que le personnel utilisait des dossiers papier manuels. (Reportage de l'AP sur la perturbation des soins chez Ascension) Ce reportage correspond aux déclarations d'Ascension, mais la source officielle reste la page de l'entreprise pour ce qu'Ascension elle-même a confirmé.
La différence entre ouvert et normal a des conséquences pour les patients. Un patient qui souffre ne vit pas une procédure de secours comme un événement technique. Il subit des attentes plus longues, des questions répétées, l'incertitude quant à la visibilité des anciens dossiers, l'incertitude quant à l'acheminement d'une prescription et la crainte que l'équipe soignante travaille sans le contexte habituel. Un clinicien peut assurer la sécurité des soins grâce à sa formation et à son jugement, mais la marge est plus étroite car le système d'information ne fait plus son travail ordinaire de coordination.
C'est pourquoi le mot « continuité » doit inclure la qualité de la continuité. Un hôpital peut garder ses portes ouvertes tout en se demandant si la conciliation médicamenteuse a ralenti, si les délais de laboratoire ont changé, si la programmation chirurgicale a été perturbée, si les admissions et les transferts sont devenus plus difficiles, si les patients sortis ont pu obtenir leurs prescriptions, et si les patients ayant des difficultés de transport ou une maîtrise limitée de l'anglais ont eu plus de mal à réorganiser leurs soins. Le dossier public ne répond pas à toutes ces questions, mais il prouve qu'elles étaient les bonnes questions.
Les procédures de secours étaient le contrôle de sécurité caché
Ascension a déclaré que son personnel était formé aux protocoles et procédures de secours établis. Cette déclaration est importante car les procédures de secours ne sont pas un classeur de sauvegarde dans une armoire. Elles constituent un contrôle de sécurité qui doit fonctionner alors que les cliniciens sont fatigués, les patients anxieux, les téléphones occupés et les gestionnaires attendent des informations techniques incomplètes.
Lors d'une panne du DME, les procédures de secours doivent définir comment les cliniciens documentent, comment les ordonnances sont rédigées, comment les médicaments sont vérifiés, comment les allergies sont contrôlées, comment les échantillons de laboratoire sont étiquetés, comment les demandes d'imagerie sont suivies, comment les notes manuscrites sont ensuite rapprochées et comment les équipes soignantes évitent de dupliquer ou de perdre des informations. Le dossier créé pendant la panne doit finalement faire partie du dossier médical permanent. Une note papier qui ne réintègre jamais le dossier n'est pas seulement un problème d'archivage.
Elle peut affecter les soins futurs.
Les mises à jour d'Ascension des 7 et 11 juin montrent pourquoi le rapprochement était important. À mesure que l'accès au DME était rétabli par vagues, Ascension a averti que les dossiers médicaux et autres informations entre le 8 mai et la date de restauration locale du DME pouvaient ne pas être accessibles pendant le téléchargement des informations recueillies pendant la panne. Elle a demandé aux patients de contacter le cabinet de leur clinicien pour connaître la disponibilité des dossiers pendant cette période et a averti que les messages du portail pouvaient subir un léger retard. (Page d'incident de cybersécurité d'Ascension)
C'est une phrase inhabituellement révélatrice. Elle montre que la récupération ne consistait pas seulement à redonner aux cliniciens l'accès au DME. Il s'agissait aussi de mettre le DME à jour avec les soins dispensés pendant son indisponibilité. Le dossier de la panne devait être recueilli, validé, saisi ou téléchargé et rendu consultable. Jusqu'à ce que cela soit fait, les antécédents du patient pour la période de la panne étaient partiellement hors de la vue numérique ordinaire.
Une bonne préparation aux pannes comporte donc deux volets. Le premier volet consiste à assurer des soins manuels sécuritaires pendant la panne. Le second volet est une réintégration propre par la suite. Le second volet est souvent moins visible car le public voit les connexions revenir et suppose que la récupération est terminée. Dans le secteur de la santé, cette hypothèse est dangereuse. La récupération n'est complète que lorsque le système d'information reflète fidèlement ce qui s'est passé en mode dégradé et que les cliniciens peuvent avoir confiance que le dossier restauré est suffisamment complet pour les décisions futures.
La restauration du DME était une priorité clinique, pas seulement une étape informatique
Ascension a régulièrement présenté la restauration du DME comme une priorité absolue de récupération. Le 29 mai, elle a déclaré que l'accès au DME avait été rétabli sur le premier marché et qu'un plan progressif était en cours. Le 4 juin, elle a indiqué que les marchés de Floride, d'Alabama et d'Austin avaient retrouvé l'accès au DME. Le 5 juin, elle a ajouté le Tennessee, le Maryland et le centre du Texas. Le 7 juin, elle a ajouté l'Oklahoma et a déclaré que l'objectif était une restauration du DME à l'échelle du ministère d'ici le 14 juin. Le 11 juin, elle a énuméré la Floride, l'Alabama, le Tennessee, le Maryland, le centre du Texas, l'Oklahoma, le Wisconsin, l'Illinois, le Kansas, une partie du Michigan et une partie de l'Indiana, tout en visant toujours l'achèvement pour le 14 juin. (Page d'incident de cybersécurité d'Ascension)
Cette séquence de restauration doit être lue comme une gouvernance clinique. L'accès au DME n'est pas seulement une commodité numérique. C'est la mémoire partagée du système de soins. Le rétablir en premier est une déclaration sur ce que l'organisation jugeait le plus nécessaire pour la sécurité des soins. Mais une restauration par étapes soulève également des questions de responsabilité. Quels marchés ont été rétablis en premier et pourquoi? La séquence était-elle basée sur la préparation technique, l'acuité clinique, le volume de patients, la capacité alternative régionale, les dépendances du système ou la confiance médico-légale?
Comment les patients et les services d'ambulance ont-ils été informés de l'état des sites locaux?
Le dossier public ne donne qu'une partie de la réponse. Il montre une séquence progressive et un objectif. Il ne publie pas les règles de décision derrière la séquence. Cela est compréhensible pendant un incident en direct. C'est aussi une lacune dans les preuves post-incident. Un système de santé national devrait être en mesure de montrer aux régulateurs et aux organes de gouvernance internes pourquoi l'ordre de restauration correspondait au risque clinique.
Le langage de la restauration montre également la tension entre la vitesse et la sécurité. Ascension a répété à plusieurs reprises que les systèmes seraient restaurés de manière sûre et sécurisée, après validation et vérification. C'est la bonne norme. Reconnecter un système non validé parce que l'hôpital en a besoin peut aggraver l'attaque. Attendre trop longtemps peut prolonger la perturbation clinique. La décision responsable se situe entre ces pressions.
Pour les événements futurs, la meilleure pratique publique serait une matrice de restauration clinique. Elle n'aurait pas besoin de divulguer des schémas de réseau. Elle pourrait identifier les états de service: DME indisponible, DME en lecture seule, DME restauré pour la nouvelle documentation, dossiers de panne en attente de téléchargement, portail disponible, transmission pharmaceutique restaurée, commande de tests restaurée, systèmes téléphoniques restaurés, connexions partenaires validées. Les patients et les cliniciens ont besoin de connaître l'état du service, pas la règle du pare-feu.
La continuité pharmaceutique était un test pratique des soins
L'accès aux médicaments a été l'un des exemples les plus clairs de la manière dont un ransomware quitte le centre de données et entre dans la vie quotidienne. Ascension a demandé aux patients d'apporter leurs flacons de médicaments, leurs numéros d'ordonnance et leurs listes de médicaments afin que les équipes soignantes puissent transmettre les besoins en médicaments aux pharmacies par téléphone. Plus tard, Ascension a déclaré que les pharmacies de détail, de livraison et de spécialités Ascension Rx étaient ouvertes et en mesure de répondre aux besoins de prescriptions, et que les prestataires de soins de santé pouvaient transmettre les ordonnances par voie électronique aux pharmacies Ascension Rx. (Page d'incident de cybersécurité d'Ascension)
Cette séquence est importante parce que la continuité pharmaceutique n'est pas optionnelle. Pour les médicaments chroniques, un retard peut avoir des conséquences sur la santé. Pour les antibiotiques, les anticoagulants, l'insuline, les antiépileptiques, les immunosuppresseurs, les psychotropes ou le contrôle de la douleur après une intervention, les frictions dans le flux de travail peuvent devenir un risque clinique.
Une équipe soignante peut appeler une pharmacie manuellement, mais le chemin manuel nécessite une connaissance actualisée des médicaments, une identité correcte du patient, un dosage clair, une gestion de l'assurance ou du paiement, la vérification par le pharmacien et un moyen de documenter ce qui a été fait.
Spectrum News a rapporté depuis le Wisconsin que des pharmacies locales faisaient face à la cyberattaque d'Ascension et à la nécessité de maintenir les patients sous médicaments chroniques. (Reportage de Spectrum News sur les pharmacies) Cette perspective locale est utile car la perturbation pharmaceutique est souvent dispersée. Elle n'apparaît pas toujours comme une défaillance hospitalière spectaculaire. Elle apparaît comme un patient, un pharmacien et un prescripteur essayant de reconstituer suffisamment d'informations pour maintenir le traitement.
La planification des pannes de médicaments doit donc être traitée comme un contrôle de sécurité des patients. Le plan doit définir quelles listes de médicaments peuvent être consultées hors ligne, comment les allergies sont vérifiées, comment les flux de travail des substances contrôlées sont gérés, comment les renouvellements sont autorisés, comment les besoins urgents en médicaments sont priorisés et comment les prescriptions manuelles sont rapprochées avec le DME après la restauration. Il doit également définir ce qui est dit aux patients.
Demander aux patients d'apporter leurs flacons de médicaments est sensé, mais cela transfère également le travail à des personnes qui peuvent être malades, âgées, effrayées, à faible revenu, sans moyen de transport ou sans prescriptions bien organisées.
Le dossier public montre qu'Ascension a reconnu le problème pharmaceutique. La question de responsabilité restante est de savoir dans quelle mesure ces solutions de contournement ont fonctionné de manière uniforme d'un État à l'autre et d'un site de soins à l'autre.
La reconnexion des partenaires était sa propre surface de risque
Les mises à jour d'Ascension des 21 et 24 mai ont identifié un autre problème de récupération sous-estimé: les partenaires et les fournisseurs devaient se reconnecter au réseau. Ascension a déclaré avoir lancé des points de contact réguliers avec les partenaires et fournisseurs critiques pour fournir des informations afin de les aider à rétablir leur connexion au réseau Ascension. Le 24 mai, elle a indiqué que de nombreux fournisseurs et partenaires avaient commencé à se reconnecter et à reprendre leurs services, ce qui devrait accélérer la récupération. (Page d'incident de cybersécurité d'Ascension)
La reconnexion des partenaires n'est pas un détail de planification. C'est une décision de sécurité et de continuité. Les hôpitaux dépendent de laboratoires, de fournisseurs d'imagerie, de pharmacies, de partenaires de cycle de revenus, de fournisseurs d'appareils, de systèmes en nuage, de prestataires de services spécialisés, de partenaires ambulanciers, de systèmes de dotation en personnel, de fournisseurs et d'organisations de soutien. Une réponse à un ransomware peut nécessiter de déconnecter ou de limiter ces liens.
La récupération nécessite alors de décider quels liens peuvent être rétablis en toute sécurité, dans quel ordre, sous quelle surveillance et avec quelles preuves de chaque côté.
C'est là que la continuité du secteur public et la localité des données se rencontrent. Les données de santé ne sont pas conservées dans un seul endroit bien ordonné. Elles circulent à travers les systèmes cliniques, les serveurs de fichiers, les portails patients, les flux de travail de facturation, les interfaces de laboratoire, les circuits pharmaceutiques, les canaux d'assurance et les environnements des fournisseurs. Ascension a déclaré plus tard que les attaquants avaient pris des fichiers de sept des quelque 25 000 serveurs, utilisés principalement par les associés pour des tâches quotidiennes et routinières, et que certains fichiers pouvaient contenir des PHI et des PII. Elle a également déclaré n'avoir aucune preuve que des données aient été extraites du DME et d'autres systèmes cliniques. (Page d'incident de cybersécurité d'Ascension)
Ces déclarations tracent une limite utile, mais elles soulignent également pourquoi la localité d'accès importe plus que la localité physique. Un dossier peut être légalement détenu par un système de santé à but non lucratif américain et néanmoins être exposé s'il est accessible via un flux de travail compromis, un serveur de fichiers de routine ou un chemin partenaire. La souveraineté des données dans le secteur de la santé ne se résume pas à l'endroit où les données résident; c'est aussi qui peut les toucher, les copier, les transmettre, les exporter, les visualiser ou s'y reconnecter après une violation.
La preuve post-incident qui importe n'est donc pas seulement « systèmes restaurés ». C'est « connexions restaurées avec validation ». Un système de santé devrait être en mesure de montrer que la reconnexion des partenaires n'a pas réintroduit des identifiants compromis, des relations de confiance périmées, un accès à distance non examiné ou des chemins de données non surveillés.
La violation de données n'était pas la même chose que la panne clinique
La mise à jour d'Ascension du 19 décembre a complété une autre partie du dossier. Après avoir travaillé avec des experts tiers pour examiner les données potentiellement impliquées, Ascension a déclaré qu'elle commencerait à informer les personnes dont les informations personnelles étaient concernées et à offrir des services gratuits de surveillance du crédit et de protection de l'identité. Elle a précisé que les informations pouvaient inclure des informations médicales telles que le numéro de dossier médical, la date de service, les types de tests de laboratoire ou les codes de procédure; des informations de paiement; des informations d'assurance; une identification gouvernementale; et d'autres informations personnelles telles que la date de naissance ou l'adresse. (Page d'incident de cybersécurité d'Ascension)
Ce dossier de données ne doit pas être confondu avec le dossier de continuité des soins. La panne s'est produite en mai et juin. La notification des données s'est développée sur plusieurs mois, après examen des fichiers. Les deux sont des conséquences de la même attaque, mais elles créent des obligations différentes. Une panne clinique exige des soins de repli immédiats, des décisions de déroutement, des contrôles de sécurité, une communication avec les patients et une restauration.
Une violation de données nécessite une analyse de la population, une cartographie des champs, une notification légale, un soutien à l'identité, un signalement au régulateur et une vigilance à long terme contre les escroqueries.
La page de la règle de notification des violations du HHS explique le cadre fédéral de notification pour les informations de santé protégées non sécurisées, y compris les obligations de délai pour les violations affectant 500 personnes ou plus. (Règle de notification des violations HIPAA) Le HHS publie également des directives sur la soumission d'un avis au Secrétaire. (Page de signalement des violations du HHS) Le portail public des violations de l'OCR répertorie les signalements de grandes violations faisant l'objet d'une enquête. (Portail des violations HHS OCR)
La limite dans la déclaration d'Ascension est importante: des données de patients étaient impliquées, mais Ascension a déclaré qu'il n'y avait toujours aucune preuve que des données aient été extraites du DME et d'autres systèmes cliniques où les dossiers complets des patients sont stockés. C'est une assurance significative, pas une suppression totale du préjudice. Une date de service, un type de test de laboratoire, un code de procédure, un numéro d'assurance ou un identifiant gouvernemental peuvent encore être sensibles.
Le fait que les dossiers complets du DME n'aient pas été montrés comme ayant été pris, selon le dossier public d'Ascension, ne rend pas les données de routine des serveurs de fichiers inoffensives.
Cela ne prouve pas non plus que chaque personne affectée a subi le même risque. Ascension a déclaré que les données variaient selon les individus et ne pouvaient pas être confirmées pour chaque personne dans la déclaration publique générique. Un bon dossier de notification devrait donner à chaque personne les catégories de champs les plus spécifiques disponibles et les mesures de soutien. Les grands systèmes de santé ne devraient pas se fier à une seule liste large lorsque le risque individuel diffère selon le type de données.
Les rapports des États et du secteur montrent comment le dossier de confidentialité s'est transformé en dossier de protection des consommateurs. La procureure générale du Michigan, Dana Nessel, a encouragé les patients et les associés d'Ascension à envisager une surveillance gratuite du crédit après qu'Ascension a averti que certaines informations personnelles pouvaient avoir été impliquées. (Avis de la procureure générale du Michigan) Healthcare Dive a ensuite rapporté que l'échelle fédérale de la violation était de 5,6 millions de personnes dans le contexte de la notification publique de violation. (Rapport de Healthcare Dive sur la violation) Ces sources ne remplacent pas l'avis d'Ascension ni le portail du HHS, mais elles montrent que les conséquences de la violation sur la vie privée sont restées actives après la restauration clinique.
L'explication du fichier malveillant n'est pas la fin de la responsabilité
Le 12 juin, Ascension a déclaré avoir identifié comment l'attaquant avait obtenu l'accès: une personne travaillant dans l'un de ses établissements a accidentellement téléchargé un fichier malveillant qu'elle croyait légitime. Ascension a déclaré n'avoir aucune raison de croire qu'il s'agissait d'autre chose qu'une erreur honnête. (Page d'incident de cybersécurité d'Ascension)
C'est un fait utile, mais il ne doit pas devenir une fin commode. La sécurité moderne devrait supposer que certains employés cliqueront. Les contrôles responsables sont ce qui se passe avant et après le clic: sécurité des courriels, isolation du navigateur, détonation des pièces jointes, détection des points de terminaison, moindre privilège, contrôle des applications, segmentation, détection des mouvements latéraux, contrôles d'accès aux serveurs de fichiers, isolation des sauvegardes, réponse aux incidents et préparation aux pannes cliniques.
La page de la règle de sécurité du HHS énonce la norme de la règle en termes généraux: des garanties administratives, physiques et techniques sont requises pour protéger la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques. (Règle de sécurité HIPAA) Le HHS maintient également du matériel d'orientation en cybersécurité pour les entités couvertes par HIPAA et les associés commerciaux. (Guide de cybersécurité du HHS) Le guide StopRansomware de la CISA met également l'accent sur la préparation, la prévention, la planification de la réponse, les sauvegardes et les communications. (Guide StopRansomware de la CISA)
Aucune de ces sources générales ne constitue une conclusion selon laquelle Ascension aurait enfreint une règle. Elles définissent les catégories de contrôle qui importent. Le principe fondamental de responsabilité est qu'un seul téléchargement accidentel ne devrait pas pouvoir devenir une perturbation clinique à l'échelle du système si des couches raisonnables peuvent limiter le rayon de l'explosion. S'il devient systémique, l'organisation doit être en mesure d'expliquer pourquoi, ce qui a échoué, ce qui a fonctionné et ce qui a changé.
L'expression « erreur honnête » est humaine. Elle évite de désigner un travailleur individuel comme bouc émissaire. Mais un langage humain doit être associé à un apprentissage organisationnel. Blâmer un travailleur est une responsabilité faible. Traiter l'action du travailleur comme un signal dans un système de contrôle plus large est plus fort.
La reprise financière n'a pas mesuré le fardeau des patients
Les divulgations financières d'Ascension montrent que l'événement a eu des conséquences opérationnelles au-delà de la page d'incident. En septembre 2024, Ascension a déclaré que les opérations de mai et juin avaient été affectées par l'incident de cybersécurité, entraînant une réduction des revenus due à l'interruption des activités et des coûts pour remédier aux problèmes et autres dépenses d'exploitation. Elle a également indiqué que le bilan et les niveaux de liquidité restaient solides, avec une liquidité suffisante pour continuer à fournir des soins. (Résultats financiers T4 EF24 d'Ascension)
En février 2025, Ascension a déclaré que les opérations du T4 EF24 avaient été affectées par la cyberattaque de mai, mais que la reprise du volume de l'EF25 s'était poursuivie et que le volume de patients dans les mêmes établissements s'était amélioré d'environ 5 à 6 % depuis l'événement cybernétique, les indicateurs clés de performance opérationnelle revenant à un état normal. (Résultats financiers T2 EF25 d'Ascension)
Ces déclarations sont utiles pour la résilience organisationnelle, mais elles ne constituent pas un compte rendu complet du préjudice aux patients. La reprise des revenus et la reprise du volume peuvent coexister avec des rendez-vous retardés, la frustration des patients, le stress des pharmacies, les heures supplémentaires des cliniciens, les déroutements locaux, les antécédents répétés, la documentation manuelle et la perte de confiance. Un système peut se rétablir financièrement tandis que certains patients se souviennent encore du jour où leurs dossiers étaient indisponibles.
Le dossier de responsabilité serait plus solide si le rapport post-incident séparait au moins quatre mesures de récupération. Premièrement, la restauration technique: quels systèmes étaient propres et disponibles. Deuxièmement, la restauration clinique: quelles fonctions de soins sont revenues à un flux de travail ordinaire. Troisièmement, la restauration des dossiers: comment la documentation de la panne a été rapprochée. Quatrièmement, le soutien aux patients: quels retards, déroutements, reports et avis de données ont nécessité un suivi.
Les pages financières d'Ascension montrent une grande organisation absorbant l'événement. Elles ne montrent pas la répartition complète des inconvénients et des risques entre les patients, les cliniciens, les pharmacies, les services d'ambulance et les communautés locales. Ce n'est pas un défaut propre à Ascension. C'est un problème plus large dans le signalement des incidents cybernétiques: les bilans financiers sont plus faciles à résumer que les frictions dans les soins.
Le secteur a traité le ransomware hospitalier comme une fonction publique
Ascension a déclaré avoir informé les forces de l'ordre et les partenaires gouvernementaux, notamment le FBI, la CISA, le HHS et l'American Hospital Association, et partagé des renseignements pertinents sur les menaces avec H-ISAC afin que les partenaires et pairs du secteur puissent se protéger. (Page d'incident de cybersécurité d'Ascension) Ce cadre multi-agences est important car un événement de ransomware hospitalier n'est pas seulement une affaire privée entre une victime et un attaquant.
Les hôpitaux font partie de la capacité d'urgence régionale. Lorsque plusieurs hôpitaux passent en procédures de secours ou en déroutement, les hôpitaux environnants, les agences de services médicaux d'urgence, les autorités de santé publique et les patients en ressentent les effets. C'est la continuité du secteur public en pratique. Le gouvernement ne gère pas le DME d'Ascension, mais il a un intérêt à ce que les soins d'urgence, les avertissements publics, l'application de la loi, le renseignement sur les menaces et la surveillance HIPAA restent fonctionnels lorsqu'un grand système de santé est perturbé.
Le travail de cybersécurité de l'American Hospital Association a régulièrement présenté les ransomwares contre les hôpitaux comme un problème de sécurité des patients. Sa page de cybersécurité met en avant la préparation à la cyber-résilience pour les hôpitaux et les systèmes de santé. (Centre de ressources en cybersécurité de l'AHA) L'AHA a également résumé une discussion du Conseil de sécurité des Nations Unies au cours de laquelle le président d'Ascension a partagé que l'attaque de mai avait perturbé les opérations dans les hôpitaux d'Ascension, chiffré des milliers de systèmes informatiques et rendu les dossiers médicaux électroniques inaccessibles. (Résumé de l'AHA sur le Conseil de sécurité de l'ONU et les ransomwares)
Ces sources sectorielles doivent être utilisées avec prudence. Elles ne remplacent pas la chronologie des incidents d'Ascension. Elles montrent que la cyber-résilience hospitalière fait désormais partie de la conversation sur la sécurité nationale, la santé publique et la gestion des urgences. Plus les soins de santé se numérisent, moins il est crédible de traiter les ransomwares comme une question informatique de back-office.
Les patients avaient un contrôle limité et une exposition élevée
Les instructions d'Ascension aux patients étaient pratiques: apportez vos symptômes, vos listes de médicaments, vos numéros d'ordonnance ou vos flacons; surveillez les mises à jour; utilisez la surveillance du crédit si vous êtes inquiet; contactez les cabinets des cliniciens pour connaître la disponibilité des dossiers pendant la panne; appelez le 911 en cas d'urgence. Ces mesures ont aidé les gens à naviguer dans une situation difficile. Elles montrent aussi le déséquilibre.
Les patients pouvaient apporter des flacons. Ils ne pouvaient pas restaurer le DME. Ils pouvaient répéter leurs antécédents médicaux. Ils ne pouvaient pas savoir si une note antérieure était visible. Ils pouvaient accepter un nouveau rendez-vous. Ils ne pouvaient pas choisir l'ordre de restauration. Ils pouvaient s'inscrire à la surveillance du crédit. Ils ne pouvaient pas supprimer l'exposition d'un code de procédure, d'un numéro d'assurance ou d'une date de service. Ils pouvaient être vigilants face aux escroqueries. Ils ne pouvaient pas connaître tous les endroits où leurs données pouvaient être copiées.
Ce déséquilibre est la raison pour laquelle le langage de la vigilance ne doit jamais remplacer la responsabilité organisationnelle. Il est approprié de dire aux patients quoi faire. Il est insuffisant de laisser entendre que l'action des patients peut compenser des contrôles manquants. Dans le secteur de la santé, la personne la plus exposée aux préjudices en aval est souvent celle qui a le moins de pouvoir opérationnel.
La dimension de la vulnérabilité est particulièrement importante parce que la mission d'Ascension met l'accent sur les soins aux personnes pauvres et vulnérables, et que ses ressources médiatiques décrivent un vaste système avec des visites aux urgences, des naissances, des chirurgies, des sorties et des programmes de bienfaisance communautaire. (Ressources médiatiques d'Ascension) Une panne de ransomware ne frappe pas de manière égale. Les patients sans moyen de transport, sans congé payé, atteints de maladies chroniques, en situation de logement instable, avec des barrières linguistiques, des besoins en santé mentale ou des régimes médicamenteux complexes ont moins de marge pour les frictions.
Un plan de continuité responsable devrait donc mesurer le fardeau imposé aux patients. Combien de rendez-vous ont été suspendus ou reportés? Combien de patients ont eu besoin d'un soutien de contournement pour les médicaments? Quelles langues ont été utilisées dans les avis? Comment les patients sans accès fiable à Internet ou au téléphone ont-ils été contactés? Comment les déroutements d'urgence ont-ils été coordonnés avec les services médicaux d'urgence locaux? Comment la documentation de la panne a-t-elle été rapprochée pour les patients nécessitant des soins continus?
Ces questions définissent la responsabilité au chevet du patient mieux qu'une seule date de restauration.
La souveraineté des données concernait l'accessibilité
Le sujet manifeste « Souveraineté et localité des données » n'est pas une question étroite de l'emplacement physique des serveurs. Le cas d'Ascension montre la question de santé la plus pertinente: quelles données étaient accessibles via quels chemins d'accès pendant le travail ordinaire?
Ascension a déclaré que les attaquants avaient pris des fichiers de sept des quelque 25 000 serveurs utilisés principalement par les associés pour des tâches quotidiennes et routinières. Elle a également indiqué que ces fichiers pouvaient contenir des PHI et des PII. Cette combinaison est révélatrice. Des données sensibles peuvent se trouver dans des espaces de travail courants, des exportations, des pièces jointes, des dossiers partagés, des files d'attente de travail, des fichiers de rapports, des documents numérisés et des magasins opérationnels temporaires.
Le DME peut être le dossier complet du patient, mais ce n'est pas le seul endroit où les informations du patient apparaissent.
La page actuelle Ascension One décrit une expérience numérique du patient pour payer les factures, consulter les résultats de tests et de laboratoire, rester en contact avec les médecins et planifier et gérer les rendez-vous familiaux. (Ascension One) Ce langage public sur les produits n'est pas une source d'incident. Il aide les lecteurs à comprendre l'attente ordinaire: les patients et les cliniciens vivent désormais les soins à travers des comptes, des portails, des dossiers et des flux de travail connectés. Lorsque la réponse au ransomware désactive des parties de cet écosystème, la localité devient fonctionnelle. Les données et les soins sont locaux au système qui peut y accéder au moment où ils sont nécessaires.
Les questions de minimisation des données et de gouvernance de l'accès suivent. Pourquoi les serveurs de fichiers de routine contenaient-ils les champs qu'ils contenaient? Les exportations sensibles étaient-elles limitées dans le temps? Les fichiers étaient-ils classifiés et surveillés? Les serveurs de routine des associés étaient-ils segmentés des systèmes cliniques? Les fichiers téléchargés étaient-ils restreints par des contrôles de point de terminaison? Les anciens fichiers de routine étaient-ils archivés ou supprimés? Les chemins d'accès des partenaires étaient-ils suffisamment étroits?
Le dossier public ne répond pas à ces questions; il les rend nécessaires.
La bonne leçon n'est pas que les systèmes de DME ne devraient jamais se connecter à d'autres systèmes. Les soins de santé ne peuvent pas fonctionner ainsi. La leçon est que chaque copie secondaire des données des patients fait partie du rayon de l'explosion clinique et de confidentialité.
À quoi ressembleraient de meilleures preuves
Un dossier public post-incident mature pour un système de santé devrait répondre à plusieurs questions sans publier de détails de sécurité sensibles.
Premièrement, il devrait fournir une chronologie de l'état des services. Il devrait identifier quand l'accès au DME, l'accès au portail, les systèmes téléphoniques, la commande de médicaments, la commande de laboratoire, la programmation des procédures, la transmission pharmaceutique, les systèmes de facturation, les connexions des partenaires et le statut de déroutement régional ont changé. La page d'incident d'Ascension a fourni de nombreuses mises à jour, mais une chronologie consolidée rendrait le dossier plus facile à auditer.
Deuxièmement, il devrait fournir un compte rendu de la panne clinique. Ce compte rendu devrait expliquer quelles procédures de secours ont été activées, comment le personnel a été soutenu, comment la documentation manuelle a été rapprochée, comment la sécurité des médicaments et des laboratoires a été maintenue et si des examens de sécurité spécifiques à l'incident ont eu lieu. Il ne devrait pas révéler d'événements privés de patients, mais il devrait montrer le système de contrôle.
Troisièmement, il devrait fournir une carte des données par catégorie. L'avis de décembre d'Ascension a énuméré les catégories possibles, mais la norme plus stricte est une notification au niveau du champ lorsque cela est possible: le numéro de dossier médical, la date de service, le code de procédure, le type de test de laboratoire, l'identifiant d'assurance, le champ de paiement, l'identifiant gouvernemental, l'adresse, la date de naissance et les données des employés ne devraient pas être mélangés si chaque personne peut être informée plus spécifiquement.
Quatrièmement, il devrait expliquer le chemin d'accès et le confinement à un niveau élevé. L'explication du fichier malveillant est utile. Un dossier complet ajouterait les contrôles organisationnels modifiés par la suite, tels que le filtrage des courriels, la politique des points de terminaison, l'examen de l'accès aux serveurs de fichiers, la segmentation, la journalisation, l'isolation des sauvegardes et les contrôles d'accès privilégiés, sans donner un manuel aux attaquants.
Cinquièmement, il devrait publier des mesures agrégées de l'impact sur les patients: les suspensions de rendez-vous, les reports, la durée des déroutements par région, le volume de contournement des pharmacies, l'arriéré des portails et l'activité des lignes de soutien. La divulgation publique peut préserver la vie privée tout en restant significative.
Enfin, il devrait clarifier les questions non résolues. Si un litige, un examen réglementaire ou un risque de sécurité limite les détails, il faut le dire. Les patients gèrent mieux l'incertitude lorsque les limites sont nommées.
La leçon est la résilience au chevet du patient
Ascension a été victime d'un crime. Ce fait doit être énoncé clairement. Des acteurs criminels ont causé l'attaque par ransomware. Les forces de l'ordre et les agences cybernétiques ont le rôle public d'enquête, de renseignement et de dissuasion. Aucun hôpital ne devrait être tenu de déjouer toutes les tentatives malveillantes sans incident.
Mais la responsabilité en matière de soins de santé ne s'arrête pas au statut de victime. Un système de santé contrôle l'architecture, la formation, les procédures de secours, les dépendances des partenaires, les magasins de données, la séquence de récupération et les communications aux patients qui déterminent si un ransomware devient une panne gérable ou une perturbation au chevet du patient.
Le dossier public d'Ascension montre à la fois la résilience et la tension: les hôpitaux sont restés ouverts, les cliniciens ont continué à soigner, la restauration du DME a été prioritaire, les pharmacies sont revenues en ligne, les systèmes ont finalement été restaurés et des avis ont été envoyés. Il montre également des déroutements d'urgence, des soins suspendus, l'absence d'accès ordinaire aux dossiers, une exhaustivité retardée du portail, des mois d'analyse des données et un impact financier significatif.
La leçon durable est que la récupération après un ransomware dans le secteur de la santé est une discipline clinique. Elle relève de la surveillance du conseil d'administration, des opérations infirmières, de la direction de la pharmacie, de la gestion des urgences, de la planification du cycle de revenus, de la conformité en matière de confidentialité, de la gouvernance des fournisseurs et des communications aux patients, et pas seulement des opérations de sécurité. Le dossier médical fait partie des soins. Le système de commande fait partie des soins. Le portail fait partie des soins. Le dossier de panne fait partie des soins.
Lorsque ces systèmes échouent, la responsabilité se mesure à la capacité de l'organisation à continuer de traiter les gens en toute sécurité tout en prouvant que la fondation numérique peut être à nouveau digne de confiance.
Typographie
La typographie est l'art et la technique de disposer les caractères pour rendre le langage écrit lisible, fluide et visuellement attrayant. Elle implique le choix des polices, des tailles de points, des longueurs de ligne, de l'interlignage et de l'espacement des lettres.
- La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
- Les éléments clés incluent le choix de la police, le crénage, l'approche et l'interlignage.
- Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.

