Résumé
- Confirmé:WannaCry a affecté les services du NHS en Angleterre du 12 mai au 19 mai 2017. Le National Audit Office a rapporté qu'au moins 80 des 236 trusts ont été infectés ou perturbés, 34 trusts ont été infectés et bloqués hors de leurs appareils, 46 trusts n'ont pas été infectés mais ont signalé des perturbations, et 603 autres organisations de soins primaires et autres organismes du NHS ont été infectés, dont 595 cabinets de médecine générale.
- Confirmé:NHS England a recensé 6 912 rendez-vous annulés pendant la fenêtre de réponse à l'incident et estimé à plus de 19 000 le nombre total d'annulations. Cinq services d'urgence ont détourné des patients. NHS Digital a déclaré au NAO qu'aucune donnée de patient n'avait été compromise ou volée, et le Department, NHS England et la National Crime Agency ont déclaré au NAO qu'aucune organisation du NHS n'avait payé la rançon.
- Limite:Les données publiques indiquent une défaillance en matière d'application des correctifs et d'assurance, mais ne soutiennent pas l'affirmation simpliste selon laquelle Windows XP serait seul responsable de la panne du NHS. Le retour d'expérience de NHS England a indiqué que l'attaque exploitait une vulnérabilité Microsoft Windows, que la plupart des appareils infectés du NHS utilisaient Windows 7, un système pris en charge mais non corrigé, et que les appareils Windows XP non pris en charge représentaient une minorité des appareils infectés.
- Évaluation:La défaillance dont il faut rendre compte ne se résume pas à une dette technique. C'est la combinaison de la visibilité des actifs, du déploiement des correctifs, de la gestion des appareils non pris en charge, de l'autonomie locale des trusts, de l'absence de mécanisme de conformité pré-incident au niveau national, de la réponse cyber locale non testée et des processus de continuité des soins contraints de recourir au papier et à la coordination manuelle.
Un correctif peut être publié sans être gouverné
La version la plus courte de l'histoire du WannaCry au NHS est qu'un correctif Microsoft existait avant l'attaque et que trop d'organisations du NHS ne l'avaient pas appliqué. Cette phrase est vraie, mais elle masque le problème de responsabilité. Un correctif est un artefact technique. L'application des correctifs est un système de gouvernance. Elle nécessite des registres d'actifs, une hiérarchisation des risques, des fenêtres de changement, des tests sur les systèmes cliniques, une coordination avec les fournisseurs, un consentement opérationnel local, une preuve de déploiement et une vue nationale des exceptions.
En mai 2017, le NHS disposait de recommandations, d'alertes et de support technique, mais pas d'une assurance suffisante que ces recommandations étaient devenues une protection effective.
Microsoft a publié lebulletin de sécurité MS17-010le 14 mars 2017. Le bulletin qualifiait le problème de critique et indiquait que les vulnérabilités les plus graves pouvaient permettre l'exécution de code à distance si un attaquant envoyait des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0. Microsoft a expliqué par la suite dans sesconseils clients pour WannaCryptque la mise à jour de mars corrigeait la vulnérabilité exploitée, que les organisations ayant activé les mises à jour automatiques étaient protégées contre cette vulnérabilité, et que Microsoft avait pris la décision inhabituelle de rendre ces mises à jour largement disponibles pour les anciennes plateformes telles que Windows XP, Windows 8 et Windows Server 2003. Son blog de sécurité a décrit WannaCrypt comme un ver utilisant des vulnérabilités déjà corrigées, affectant les ordinateurs qui n'avaient pas appliqué le correctif. (Blog de sécurité Microsoft)
L'alerte archivée de NHS Digital,CC-1411, a présenté le même risque dans le langage du secteur de la santé. Elle identifiait le ransomware comme utilisant les vulnérabilités SMB corrigées par MS17-010, avertissait que ces vulnérabilités seraient probablement utilisées par de futures variantes de logiciels malveillants à des fins d'auto-propagation, et indiquait que l'application des correctifs sur les versions concernées devait être prioritaire. Elle listait également des mesures correctives telles que le blocage des ports liés à SMB, la confirmation du verrouillage des ports, la mise à jour des plateformes vulnérables, l'utilisation de scanners de vulnérabilités, le maintien de la connectivité au domaine du coupe-circuit, la mise en quarantaine des appareils infectés, la reconstruction des machines infectées selon un standard corrigé et le refus de payer la rançon.
Ces détails sont importants car ils montrent que la réponse technique n'était pas obscure au 12 mai. La question plus difficile est de savoir si les contrôles nationaux et locaux avaient rendu cette réponse opérationnellement incontournable. L'enquête du National Audit Officea rapporté que NHS Digital avait émis des alertes critiques en mars et avril 2017 demandant aux organisations de corriger leurs systèmes pour prévenir WannaCry. Elle a également indiqué qu'avant l'attaque, le Department of Health ne disposait d'aucun mécanisme formel pour évaluer si les organisations du NHS s'étaient conformées à ses conseils et recommandations. NHS Digital avait évalué 88 des 236 trusts sur site, et aucun n'avait réussi son évaluation de cybersécurité, mais NHS Digital ne pouvait pas obliger un organisme local à prendre des mesures correctives.
C'est là le pivot de la responsabilité. Le centre pouvait alerter. Les organisations locales contrôlaient de nombreux choix de mise en œuvre. Mais les patients subissaient le système dans son ensemble, et non la frontière entre une alerte centrale et une fenêtre de correctif locale.
Ce que les faits établissent
WannaCry a commencé à affecter le NHS le vendredi 12 mai 2017. Le NAO a rapporté que l'attaque mondiale par ransomware avait touché plus de 200 000 ordinateurs dans au moins 100 pays, et que le NHS n'était pas la cible spécifique. À 16 heures ce jour-là, NHS England a déclaré un incident majeur et mis en place des dispositions d'urgence pour maintenir les soins de santé et les soins aux patients. Un chercheur en sécurité a activé un coupe-circuit ce soir-là, empêchant WannaCry de verrouiller d'autres appareils de la même manière. L'attaque a affecté les services du NHS pendant la semaine du 12 au 19 mai.
L'ampleur en Angleterre était significative mais pas entièrement mesurable. Selon le NAO, au moins 80 des 236 trusts en Angleterre ont été touchés parce qu'ils étaient infectés ou avaient éteint leurs systèmes par précaution. Parmi eux, 34 ont été infectés et bloqués hors de leurs appareils, dont 25 trusts de soins aigus. 46 autres ont signalé des perturbations sans être catégorisés comme infectés; certains ont arrêté leurs systèmes de messagerie et autres systèmes par précaution et ont dû utiliser le papier et le stylo pour des activités normalement effectuées électroniquement.
NHS England et NHS Digital ont également identifié 21 trusts dont les systèmes ont tenté de contacter le domaine WannaCry mais n'ont pas été bloqués, et 603 autres organisations de soins primaires et autres ont été infectées, dont 595 cabinets de médecine générale.
Les données publiques sont tout aussi claires sur ce qui est inconnu. Le Department et NHS England ne connaissaient pas l'étendue complète des perturbations. Ils ne savaient pas combien d'organisations du NHS ne pouvaient pas accéder aux dossiers parce qu'elles partageaient des systèmes ou des données avec un trust infecté. Ils ne savaient pas combien de rendez-vous chez le généraliste avaient été annulés, ni combien d'ambulances et de patients avaient été détournés des cinq services d'urgence qui ne pouvaient pas traiter certains patients.
NHS England a collecté des informations sur les annulations du 12 au 18 mai, mais le NAO a indiqué que les données ne couvraient pas tous les types de rendez-vous. Les 6 912 annulations identifiées et les plus de 19 000 annulations totales estimées ne constituent donc pas un registre complet de l'impact sur les patients.
Leretour d'expérience de NHS England, dirigé par le Chief Information Officer for Health and Social Care, a conservé le même cadre tout en ajoutant une texture opérationnelle. Il a indiqué que le NHS n'avait pas été directement ciblé, qu'il n'y avait pas eu de signalement de préjudice pour les patients ou de compromission ou vol de données de patients, et que 1 % de l'activité du NHS avait été directement affectée. Il a également précisé que 80 des 236 trusts hospitaliers avaient été touchés, que 595 des 7 454 cabinets de médecine générale et huit autres organisations du NHS et assimilées avaient été infectés, et que la perturbation avait rendu plus évidente la dépendance du service de santé aux technologies de l'information.
Cette dernière conclusion est la plus importante. Un incident de ransomware qui n'a pas volé de données de patients a néanmoins porté atteinte à la continuité des soins. Dans un hôpital numérique, la disponibilité n'est pas une couche de commodité. Elle fait partie intégrante du débit clinique, de la communication, de l'accès au diagnostic, du flux des rendez-vous et de l'escalade en toute sécurité.
Les systèmes non pris en charge faisaient partie de l'histoire, pas toute l'histoire
WannaCry est souvent raconté comme une mise en garde sur Windows XP. Les logiciels non pris en charge étaient un problème. C'était un risque connu, et le Department et le Cabinet Office avaient écrit aux trusts en 2014 pour leur dire qu'ils devaient avoir des plans solides pour migrer des anciens logiciels tels que Windows XP d'ici avril 2015. Larevue du National Data Guardian, publiée en juillet 2016, proposait de nouvelles normes de sécurité des données et une méthode de test de conformité. Larevue Safe Data, Safe Care de la Care Quality Commission, également publiée en juillet 2016, recommandait le remplacement urgent du matériel et des logiciels qui ne pouvaient plus être pris en charge, un audit et une validation renforcés, et une appropriation de la sécurité des données par la direction.
Mais un slogan sur les systèmes non pris en charge est trop réducteur. Le retour d'expérience de NHS England a indiqué qu'aucune des 80 organisations du NHS touchées n'avait appliqué le correctif Microsoft recommandé par le bulletin CareCERT de NHS Digital du 25 avril 2017. Il a également précisé que WannaCry était une attaque utilisant une vulnérabilité spécifique de Microsoft Windows, et non une attaque contre les logiciels non pris en charge. La majorité des appareils infectés du NHS fonctionnaient sous Windows 7, un système pris en charge mais non corrigé.
Les appareils Windows XP non pris en charge représentaient une minorité des appareils infectés, et le nombre d'appareils XP était passé de 18 % à 1,8 % en janvier 2018.
La distinction est importante pour les responsabilités. Si la défaillance n'était due qu'à de « vieux systèmes d'exploitation », la réponse serait un financement de remplacement et des pressions sur les fournisseurs. Ces problèmes étaient réels, en particulier lorsque le matériel médical ou les dispositifs de diagnostic dépendaient de logiciels plus anciens. Mais si des machines Windows 7 prises en charge sont restées non corrigées après une alerte critique, alors la réponse inclut également la gouvernance des correctifs, la gestion des exceptions et la preuve de la correction.
Un appareil pris en charge peut être dangereux lorsqu'il n'est pas corrigé. Un appareil non pris en charge peut être isolé ou géré dans un modèle de contrôle compensatoire. Le système devait savoir quelle condition s'appliquait à chaque point terminal critique avant qu'un ver ne rende l'inventaire visible.
Le retour d'expérience a également noté que des contrôles de pare-feu et de réseau auraient pu réduire le risque d'infection. Il a indiqué que, même là où les correctifs n'avaient pas été appliqués, des actions visant à améliorer la sécurité des pare-feu réseau faisant face au réseau N3 auraient protégé les organisations contre l'infection. C'est une autre raison de ne pas considérer l'application des correctifs comme un interrupteur unique.
Les correctifs étaient nécessaires, mais la segmentation du réseau, la configuration du périmètre, les contrôles d'exposition SMB et la connaissance des systèmes qui nécessitaient encore la prise en charge de protocoles hérités l'étaient tout autant.
Leguide NCSC sur WannaCry, désormais marqué comme retiré car obsolète, a saisi la logique défensive d'urgence à l'époque. Il conseillait aux organisations de déployer MS17-010, de désactiver SMBv1 si les correctifs n'étaient pas possibles, de bloquer les ports concernés si nécessaire, d'isoler les technologies héritées vulnérables, de mettre à jour les antivirus et d'éviter de bloquer les domaines du coupe-circuit. En d'autres termes, la réponse immédiate nécessitait un ensemble de contrôles en couches. Les organisations qui ne disposaient pas de listes d'actifs claires, de propriété des pare-feu, d'options DNS locales, de contacts fournisseurs et de procédures de reconstruction testées ne pouvaient pas facilement exécuter cette réponse en couches sous la pression de l'urgence.
L'autonomie locale a rendu l'assurance centrale plus difficile
Le NHS n'est pas un parc informatique monolithique. Les trusts locaux, les cabinets de médecine générale, les groupes de commande clinique, les fournisseurs, les unités de soutien à la commande et d'autres organisations opèrent dans des cadres nationaux mais assument de nombreuses responsabilités locales. Le NAO a déclaré que les organismes de santé locaux étaient responsables de la sécurité des informations et des dispositions en cas d'incident et d'urgence, y compris les cyberattaques. Les organismes nationaux les supervisaient et les soutenaient, mais n'avaient pas toujours le pouvoir d'imposer des actions techniques spécifiques.
Cette structure n'est pas fondamentalement mauvaise. Les organisations cliniques locales comprennent leurs propres parcours de soins, leurs équipements, leurs fournisseurs et les risques liés aux changements. Un correctif peut casser une ancienne interface de diagnostic, une intégration de gestion des patients ou un processus lié à un dispositif médical. Une instruction centrale qui ignore ces réalités peut entraîner des changements dangereux ou une résistance locale.
Cependant, l'autonomie locale devient dangereuse lorsque le centre ne peut pas voir quels sites sont exposés, lesquels ont accepté le risque, lesquels disposent de contrôles compensatoires, et lesquels sont incapables d'agir parce qu'un fournisseur, un budget ou une dépendance clinique bloque la remédiation.
La remarque du NAO concernant l'absence de mécanisme formel de conformité n'est donc pas un détail bureaucratique. Elle explique pourquoi un avertissement n'a pas entraîné une réduction des risques à l'échelle du système. Une alerte nationale peut dire « corrigez maintenant ». Elle ne peut pas prouver à elle seule que chaque point terminal concerné a le correctif, que les appareils non pris en charge sont isolés, que SMB est bloqué là où il le faut, que les systèmes nécessitant des exceptions sont nommés ou que les dirigeants ont accepté un risque résiduel pour la sécurité des patients.
Lerapport du Public Accounts Committeea rendu politique la même faiblesse. Il a indiqué qu'il y avait eu des avertissements en 2016 et d'autres en mars et avril 2017, mais que les correctifs n'avaient été appliqués que dans environ deux tiers des trusts au moment de WannaCry, et qu'aucun des 88 trusts n'avait réussi les évaluations de NHS Digital. Il a également rapporté que le Department et le NHS reconnaissaient que les choses devaient changer et que le retour d'expérience de 2018 contenait 22 recommandations, mais que les plans de mise en œuvre et les coûts n'avaient pas encore été convenus lorsque le Comité a publié son rapport.
Ces preuves étayent une conclusion sobre: la responsabilité était répartie, mais le patient n'a pas reçu des soins répartis. Si un trust local n'avait pas le correctif, si un cabinet de médecine générale ne pouvait pas accéder aux systèmes ou si une ambulance devait être détournée, le préjudice atteignait les gens par le biais d'un service public unique. La gouvernance répartie nécessite des boucles de preuves plus solides précisément parce que le service public semble unifié au point de besoin.
Un incident de continuité des soins, pas seulement un incident informatique
Le préjudice visible de WannaCry a été l'interruption. Certaines organisations ont été infectées et bloquées. D'autres ont arrêté leurs systèmes pour réduire les risques. Certaines ont utilisé le papier. Certaines n'ont pas pu recevoir les résultats de tests ou accéder aux dossiers partagés. Certains patients ont vu leurs rendez-vous ou leurs opérations annulés. Cinq zones ont détourné les patients des services d'urgence. Le NAO a pris soin de dire que toutes les catégories n'avaient pas été entièrement comptabilisées, et le retour d'expérience de NHS England n'a fait état d'aucun préjudice connu pour les patients.
Ces limites doivent être respectées. L'absence de préjudice signalé ne prouve pas que tous les risques cliniques étaient absents, mais les données publiques ne permettent pas d'inventer un bilan de décès ou un vol caché de données de patients.
L'angle de responsabilité le plus utile est la capacité de continuité. Les services de santé ne peuvent survivre à une courte interruption numérique que si des modes dégradés sont prêts. Le recours au papier ne constitue pas un plan en soi.
Il nécessite des listes de patients imprimables ou récentes, des solutions de rechange pour accéder à l'historique des médicaments, des itinéraires de transfert sûrs, des solutions de contournement pour les commandes de diagnostic, un suivi des références, une planification des blocs opératoires, une communication des résultats de laboratoire, une reprogrammation manuelle des rendez-vous et une réconciliation après le retour des systèmes. Chaque solution de repli a un profil de débit et d'erreur. Une clinique qui peut gérer 20 exceptions manuelles peut ne pas en gérer des centaines.
Un hôpital qui peut reporter en toute sécurité les activités non urgentes pendant une journée peut avoir des difficultés si la visibilité diagnostique est altérée dans toute une région.
Le retour d'expérience de NHS England a reconnu la différence entre un cyberincident et un incident majeur conventionnel. Il a indiqué que NHS England avait utilisé son cadre de préparation aux urgences, de résilience et de réponse, ce qui avait fourni une structure solide, mais l'incident a également enseigné des leçons sur la façon dont le cyber diffère des autres incidents majeurs. Le cyber peut rendre les outils de communication eux-mêmes peu fiables. Il peut affecter plusieurs sites simultanément. Il peut être difficile au début de savoir si un site est infecté, déconnecté ou agit de manière défensive.
Il peut nécessiter des actions de confinement technique qui réduisent la capacité de service. Il peut également se propager via des réseaux partagés, de sorte qu'aider une organisation peut dépendre du comportement d'une autre organisation.
C'est pourquoi la responsabilité ne devrait pas s'arrêter à l'appareil qui a manqué un correctif. Le système de soins avait besoin d'un moyen testé pour répondre aux questions fondamentales de continuité dans des conditions cyber. Quels services doivent continuer à fonctionner même si la messagerie est hors ligne? Quels dossiers sont essentiels aux soins d'urgence? Quels systèmes peuvent être arrêtés localement sans coordination régionale? Quel organisme national dirige les communications? Quels fournisseurs doivent rejoindre le pont d'incident? Quels dirigeants locaux peuvent accepter une réduction du débit clinique, et sur quelles preuves?
Le NAO a rapporté que le Department avait élaboré un plan incluant les rôles et responsabilités nationaux et locaux, mais ne l'avait pas testé au niveau local. Il a également constaté que le NHS n'avait pas répété de cyberattaque nationale, de sorte qu'il n'était pas immédiatement clair qui devait diriger la réponse et qu'il y avait des problèmes de communication. Ce n'est pas une lacune de processus mineure.
Dans la continuité cyber, les répétitions sont la façon dont les organisations découvrent si les listes de contacts fonctionnent, si les formulaires papier existent, si les listes de patients hors ligne sont assez récentes, si les fournisseurs répondent et si les cliniciens comprennent quels systèmes peuvent être reconnectés en toute sécurité.
L'interdépendance a transformé la protection locale en perturbation régionale
L'une des caractéristiques les plus difficiles de l'incident est que certaines organisations ont été lésées par les mesures défensives d'autres organisations. Un trust pouvait éviter l'infection directe tout en perdant l'accès à un processus de transfert d'ambulance, un transfert d'image diagnostique, un chemin de commande de chimiothérapie, un flux de résultats sanguins ou une charge de travail en soins primaires parce qu'un autre fournisseur, fournisseur ou partenaire réseau avait fermé l'accès pour se protéger. C'est un confinement local rationnel, mais cela crée des conséquences régionales sur les services.
L'étude de cas ultérieure de NHS England sur laboîte à outils de gestion de la continuité des activités pour WannaCryrend cela concret. Elle décrit le County Durham and Darlington NHS Foundation Trust comme n'ayant pas subi d'attaque directe, tandis que le service d'ambulance protégeait son réseau en fermant l'accès, en désactivant les écrans du processus de transfert et en rendant indisponible un portail de réservation de transport de patients. Les centres tertiaires ont fermé l'accès, ce qui signifiait que les scanners CT et IRM ne pouvaient pas être transférés électroniquement et que les commandes de chimiothérapie ne pouvaient pas être transférées par la voie habituelle. Le fournisseur informatique de soins primaires a protégé son réseau, après quoi le transfert automatisé des résultats sanguins a échoué et certains généralistes n'ont pas pu accéder à leur charge de travail.
Les solutions de contournement dans cette étude de cas sont utiles parce qu'elles sont concrètes plutôt que dramatiques. Les pré-alertes d'ambulance se sont poursuivies par ligne fixe et autres communications radio. Les réservations de transport de patients sont passées au téléphone. Les images ont été transférées sur DVD et envoyées par taxi. Les commandes de chimiothérapie sont revenues au papier et au fax. Les transferts de résultats sanguins sont passés au papier et ont ralenti le processus. Certains généralistes ont accédé à leur charge de travail par l'intermédiaire de centres de soins d'urgence.
L'étude de cas indiquait que les plans de continuité des activités avaient été mis à jour par la suite et concluait que les organisations du NHS doivent comprendre leurs interdépendances et articuler leurs plans pour les services partagés afin de minimiser l'impact sur l'économie de la santé.
C'est exactement le type de preuves que les décomptes généraux d'incidents manquent. Un cyberincident peut réduire la capacité de soins sans que toutes les organisations touchées soient infectées. Il peut transformer une décision sécurisée d'une partie en une panne pour une autre. Il peut nécessiter des méthodes analogiques qui sont sûres pour un faible volume, mais fragiles à grande échelle. Un DVD envoyé par taxi peut sauver un parcours de diagnostic pour un petit nombre de scanners urgents; il ne remplace pas l'échange d'imagerie électronique ordinaire dans une région très fréquentée.
Une ligne de réservation téléphonique peut permettre le transport des patients; elle ne peut pas automatiquement préserver la hiérarchisation, l'audit ou le débit si le volume d'appels augmente. Les commandes de chimiothérapie sur papier peuvent empêcher l'arrêt du traitement; elles créent des charges de transcription, de confirmation et de réconciliation que le processus numérique absorbe normalement.
Ces exemples expliquent également pourquoi la continuité des fournisseurs et des partenaires est importante pour les petites organisations. Un cabinet de médecine générale, un hospice, un prestataire communautaire, une clinique locale ou un service sous contrat peut ne pas posséder le système central dont il dépend. Il peut dépendre d'une unité de soutien à la commande, d'un système clinique hébergé, d'une interface de pathologie, d'un partenaire de diagnostic ou d'une route réseau contrôlée par quelqu'un d'autre. Lorsque cette dépendance est déconnectée, la petite organisation doit toujours répondre aux patients.
Elle doit savoir si elle peut accéder aux dossiers via un autre site, si les résultats papier sont cliniquement acceptables, si les mises à jour des références sont mises en file d'attente et qui est responsable d'informer les patients que le chemin numérique a échoué.
Pour la responsabilité, l'interdépendance modifie le test de contrôle. Il ne suffit pas que chaque organisation dise qu'elle a un plan de continuité des activités. Les plans doivent se rencontrer. Si l'arrêt défensif d'un centre tertiaire bloque le transfert d'images, le plan du trust référent doit déjà connaître l'itinéraire de remplacement. Si un fournisseur informatique de soins primaires ferme l'accès, les cabinets locaux ont besoin d'options nommées pour un accès urgent aux dossiers.
Si les écrans de transfert d'ambulance sont indisponibles, les services d'urgence et les services d'ambulance ont besoin d'une solution de secours partagée qui a été répétée. L'étude de cas du NHS est de portée modeste, mais elle montre la vérité au niveau du système: la continuité cyber est un travail conjoint, et une dépendance conjointe non testée peut échouer même lorsque chaque entité essaie d'être prudent.
Le coût a été plus large qu'une rançon qui n'a pas été payée
Aucune organisation du NHS n'a payé la rançon, selon le Department, NHS England et la National Crime Agency dans le rapport du NAO. Ce fait devrait empêcher une interprétation erronée courante: la perte n'était pas la demande de rançon. C'était le travail annulé, les heures supplémentaires, le support informatique, la restauration, les soins différés, l'effort des fournisseurs et la remédiation ultérieure. Le NAO a déclaré que le Department ne connaissait pas le coût de la perturbation des services au moment de son enquête.
Il a identifié des catégories de coûts telles que les rendez-vous annulés, le support informatique local supplémentaire, les consultants informatiques, la restauration des données et des systèmes et les heures supplémentaires du personnel pendant la réponse du week-end.
La mise à jour ultérieure du Department of Health and Social Care,Securing cyber resilience in health and care: October 2018 progress update, renvoyait audocument PDF détaillé de la mise à jour de septembre 2018. Cette mise à jour est largement citée pour l'estimation selon laquelle WannaCry a coûté 92 millions de livres sterling au NHS, y compris la réponse directe, la récupération informatique et la perte de production. Cette estimation doit être utilisée avec prudence. Il s'agit d'une estimation de coût du secteur public, pas d'une comptabilité complète de l'anxiété des patients, du temps des familles, des mouvements d'ambulance, de la charge des fournisseurs locaux ou de chaque heure de travail du personnel.
Les travaux universitaires montrent également pourquoi l'impact est difficile à chiffrer. Uneanalyse d'impact rétrospective de npj Digital Medicinede 2019 a utilisé les Hospital Episode Statistics pour examiner les annulations, les admissions, les fréquentations des urgences, la mortalité et les coûts fiscaux. Elle n'a trouvé aucune différence significative dans l'activité totale de tous les trusts pendant la semaine WannaCry par rapport à la référence, mais les hôpitaux directement infectés ont eu moins d'admissions en urgence et électives, et l'étude a estimé à 5,9 millions de livres sterling la perte d'activité hospitalière dans les trusts infectés. Elle a également noté aucune augmentation de la mortalité, tout en avertissant que la mortalité est une mesure grossière du préjudice pour les patients.
La différence entre une estimation de 5,9 millions de livres sterling de l'activité hospitalière infectée et une estimation plus large de 92 millions de livres sterling pour le secteur public n'est pas nécessairement une contradiction. Elles mesurent des choses différentes. L'une examine l'activité des hôpitaux infectés sur une période définie à l'aide des données hospitalières. L'autre inclut la réponse plus large, la récupération et la remédiation informatique. Pour la responsabilité, l'important n'est pas de choisir le plus grand nombre et de l'appeler « le coût ».
C'est de demander quels coûts étaient évitables par une application plus précoce des correctifs, lesquels ont été engagés par le confinement nécessaire, lesquels étaient des investissements qui auraient dû avoir lieu auparavant, et lesquels sont tombés sur les patients et le personnel sans jamais apparaître dans un budget informatique.
Les fournisseurs de petite et moyenne taille se trouvent dans cette même question. Le problème est la continuité entre les petites organisations qui se connectent à un service national: les cabinets de médecine générale, les hospices, les prestataires communautaires, les sous-traitants, les fournisseurs de dispositifs, les partenaires de support informatique locaux et les interfaces avec les soins sociaux. Le NAO a compté les soins primaires et d'autres organisations parmi les entités infectées et a noté que d'autres prestataires pouvaient être affectés par des systèmes partagés ou des informations retardées.
Un cyberincident dans une grande institution publique devient donc un choc de continuité pour les petites organisations qui ont moins de redondance et moins de visibilité politique.
L'attribution ne répond pas à la question opérationnelle
Le Royaume-Uni a par la suite attribué WannaCry à la Corée du Nord. La déclaration du Foreign Office surl'acteur nord-coréen derrière WannaCrya déclaré que le Royaume-Uni estimait que les acteurs nord-coréens connus sous le nom de Lazarus Group étaient à l'origine de la campagne. Cette attribution est importante pour la dissuasion, les sanctions, la diplomatie et la sécurité nationale. Elle ne décharge pas le contrôle opérationnel national. Les mêmes données publiques indiquent que le NHS n'était pas la cible spécifique, que le ver s'est propagé par une vulnérabilité Windows connue et que les organisations locales auraient pu prendre des mesures relativement simples pour se protéger.
La responsabilité pénale et la responsabilité du service public sont des couches distinctes. L'attaquant contrôlait le code malveillant et la décision de le déployer. Microsoft contrôlait la divulgation de la vulnérabilité et la publication du correctif pour ses produits, puis la décision extraordinaire de rendre les correctifs disponibles pour les plateformes non prises en charge pendant l'urgence. NHS Digital contrôlait les alertes, les conseils, le support par hotline et les avis sectoriels. NHS England contrôlait la coordination des incidents majeurs et l'escalade de la continuité des soins.
Le Department of Health contrôlait la supervision des politiques et les priorités de financement. Les trusts et cabinets locaux contrôlaient de nombreuses décisions concernant les appareils, le réseau, les fournisseurs et la gestion du changement. Les fournisseurs contrôlaient certains dispositifs hérités, les conditions de support et les contraintes de compatibilité.
Aucune couche ne raconte toute l'histoire. Traiter l'incident comme un simple événement d'État hostile le rend trop éloigné de la gestion locale. Le traiter comme une simple non-conformité locale ignore le fait que les organismes nationaux avaient vu des signes avant-coureurs et n'avaient pas assez de pouvoir d'exécution ou d'assurance. Le traiter comme un simple problème Microsoft ignore que le correctif critique existait avant l'incident et que ne pas appliquer les correctifs est un choix opérationnel. Le traiter comme un simple problème de fournisseur ignore que les systèmes Windows pris en charge n'étaient pas non plus corrigés.
La responsabilité est la carte de ces contrôles, pas la recherche d'un acteur qui pourrait tous les porter.
Le contrôle le plus conséquent était la preuve. Qui connaissait l'état des correctifs? Qui connaissait l'état de l'exposition SMB? Qui savait quels systèmes n'étaient pas pris en charge? Qui savait quels dispositifs médicaux ne pouvaient pas être corrigés sans l'intervention du fournisseur? Qui savait si un trust local avait testé son plan d'urgence cybernétique? Qui savait à quelle vitesse les cabinets de médecine générale pouvaient passer à un fonctionnement manuel sûr? Les données publiques montrent qu'un grand nombre de ces réponses étaient soit indisponibles, incomplètes, soit non exploitables au niveau central avant l'attaque.
Le programme post-incident confirme le diagnostic
Le bilan des mesures correctives après WannaCry est utile parce qu'il montre ce que les dirigeants nationaux pensaient avoir échoué. Le retour d'expérience de NHS England recommandait un leadership plus fort et une responsabilité des conseils d'administration, des rôles plus clairs, des normes de cybersécurité, une résilience locale, de meilleurs correctifs, le remplacement des logiciels non pris en charge, des processus de réponse améliorés et une coordination nationale plus forte. La mise à jour de 2018 du Department décrivait les travaux sur la réponse aux incidents majeurs, les opérations de cybersécurité, les normes de sécurité des données, les attentes des fournisseurs et les investissements. LeData Security and Protection Toolkit, qui a remplacé l'ancien Information Governance Toolkit à partir d'avril 2018, est devenu un mécanisme d'auto-évaluation en ligne permettant aux organisations ayant accès aux données et aux systèmes des patients du NHS de mesurer et de publier leurs performances par rapport aux dix normes de sécurité des données du National Data Guardian.
Cette boîte à outils ne prouve pas que le problème a disparu. L'auto-évaluation a des limites, et les cyberincidents ultérieurs dans les systèmes de santé montrent que les ransomwares et les pannes de fournisseurs restent des risques sérieux. Mais elle prouve que le système post-WannaCry s'est orienté vers une assurance explicite plutôt que de simples recommandations informelles. Il a également fait sortir le cyber du domaine purement technique pour l'intégrer dans la responsabilité au niveau du conseil d'administration, le signalement des incidents et la continuité.
La stratégie gouvernementale ultérieure,A cyber resilient health and adult social care system in England, étend ce cadre à 2030. Elle décrit la cybersécurité comme une condition pour protéger les données des patients, des utilisateurs de services et du personnel, et pour se rétablir rapidement en cas d'attaque. L'existence de la stratégie renforce la leçon fondamentale de 2017: dans le domaine de la santé, la cybersécurité n'est pas une discipline de back-office distincte. Elle sous-tend la confiance du public et la continuité des services.
Le rôle public plus large du National Cyber Security Centre s'est également développé pendant cette période. Sonannonce de bilan annuel 2017décrivait la première année du nouveau centre et sa mission de rendre le Royaume-Uni plus sûr en ligne. La réponse à WannaCry a concrétisé cette mission pour les hôpitaux et les cliniques. Elle a montré que la capacité cybernétique nationale devait se connecter aux opérations sectorielles, et non se contenter de publier des avertissements à l'intention des équipes techniques.
Cinq tests de responsabilité
La valeur durable du cas du NHS est qu'il donne aux conseils d'administration et aux dirigeants du secteur public des tests pratiques. Ces tests ne visent pas à blâmer un administrateur pour un correctif. Ils visent à déterminer si un service public peut prouver qu'un risque cybernétique connu a été converti en action opérationnelle.
1. Visibilité des actifs:Une organisation ne peut pas corriger ce qu'elle ne peut pas identifier. Elle a besoin d'un inventaire des serveurs, des points terminaux, des dispositifs médicaux, des systèmes non pris en charge, des versions de systèmes d'exploitation, des services exposés, des fournisseurs et des dépendances cliniques. L'inventaire doit inclure les systèmes qu'il n'est pas pratique de posséder, tels que les anciens postes de travail de diagnostic, les serveurs de fichiers partagés et les machines contrôlées en partie par les fournisseurs.
2. Assurance des correctifs:Émettre un avertissement ne suffit pas. Une alerte critique doit créer des actions suivies, des délais, une escalade vers la direction, des exceptions nommées, des contrôles compensatoires et la preuve que le correctif a été installé ou que l'exposition a été contrôlée par d'autres moyens. Là où l'autonomie locale bloque les mandats centraux, le centre a besoin au moins d'une visibilité fiable et d'un moyen d'escalader le risque pour la sécurité des patients.
3. Confinement des systèmes hérités:Les systèmes non pris en charge ou difficiles à corriger nécessitent une segmentation, des restrictions d'accès, des plans fournisseurs, un financement de remplacement et une contingence clinique. Laisser un système non pris en charge est parfois une nécessité clinique temporaire, mais cela ne devrait pas être un fait non géré découvert lors d'une épidémie de ver informatique.
4. Continuité spécifique au cyber:La planification d'urgence doit supposer que les systèmes de communication et de dossiers habituels peuvent être indisponibles. Les solutions de repli manuelles nécessitent une planification de la capacité, pas seulement des formulaires papier. Elles doivent préciser quels services cliniques se dégradent en premier, comment les patients sont détournés, comment les résultats des tests circulent, comment les rendez-vous sont reprogrammés et comment le travail hors ligne est réconcilié en toute sécurité.
5. Responsabilité à plusieurs niveaux:Le centre, les organismes locaux, les fournisseurs et les agences de sécurité nationale ont des contrôles différents. Un cadre mature ne réduit pas ces contrôles à une seule histoire de blâme. Il définit qui doit agir, qui doit vérifier, qui doit financer, qui doit communiquer et qui doit accepter le risque résiduel.
Ces tests sont inconfortables parce qu'ils rendent la résilience cybernétique mesurable. Ils protègent également le personnel d'attentes impossibles. Pendant WannaCry, le personnel du NHS a fait des heures supplémentaires et improvisé pour maintenir les services en marche. Le retour d'expérience a publiquement reconnu ces efforts. Une réponse locale héroïque ne doit pas être utilisée comme preuve que la préparation était adéquate. C'est souvent la preuve que le système formel a laissé trop de travail aux personnes sous pression.
La limite de responsabilité juridique
Les sources publiques étayent de fortes critiques opérationnelles. Elles n'étayent pas de conclusions juridiques non fondées contre un trust, un dirigeant, un fournisseur ou un organisme national nommé. Les rapports du PAC, du NAO, de NHS England, du DHSC, de la CQC, du NCSC, de Microsoft et les travaux universitaires établissent les avertissements, les assurances manquées, les systèmes non corrigés, les perturbations de service et les réformes post-incident.
Ils ne prouvent pas la négligence dans chaque organisation locale, ne quantifient pas toutes les pertes et ne montrent pas exactement quels appareils étaient responsables de chaque rendez-vous annulé.
Cette limite est importante parce que la leçon de responsabilité est plus large que le litige. Si les dirigeants réduisent l'affaire à une bataille juridique sur la question de savoir si une entité a manqué à une obligation, ils passent à côté de la conception du contrôle. La question de service public est de savoir si le NHS pouvait savoir, avant un événement cybernétique national, que chaque organisation avait corrigé ou géré consciemment une vulnérabilité critique connue. La réponse en 2017 était non.
La question de continuité des soins est de savoir si chaque organisation touchée avait suffisamment répété une panne cybernétique pour maintenir les services essentiels en mouvement à une capacité dégradée connue. Les données publiques indiquent que ces dispositions n'avaient pas été suffisamment testées.
WannaCry reste donc un cas de responsabilité publique parce qu'il a relié un retard de maintenance technique à la résilience face aux patients. Le risque avait des noms: MS17-010, SMBv1, systèmes d'exploitation non pris en charge, plans d'incident non testés, organismes locaux sans assurance centrale de conformité, réseaux partagés et systèmes cliniques qui ne pouvaient pas être arrêtés à la légère.
Mais le préjudice avait des noms différents: rendez-vous annulés, patients détournés, dossiers indisponibles, informations retardées, heures supplémentaires du personnel et une estimation de 92 millions de livres sterling de remédiation et de perturbation.
La manière la plus responsable de se souvenir de l'incident n'est pas comme une fable morale sur les vieux logiciels. C'est un avertissement que les institutions publiques peuvent en savoir assez pour s'inquiéter sans en savoir assez pour être prêtes. Un correctif peut exister. Une alerte peut être envoyée. Un conseil d'administration peut recevoir une formation cybernétique. Un plan peut être écrit.
Si l'organisation ne peut pas prouver que les systèmes vulnérables sont corrigés, isolés, remplacés ou contournés en toute sécurité, alors le risque est toujours porté par les patients, le personnel et les petits prestataires qui ne découvrent la dépendance que lorsque le service s'arrête.
Typographie
La typographie est l'art et la technique de disposer les caractères pour rendre le langage écrit lisible, compréhensible et visuellement attrayant. Elle implique le choix des polices, des tailles de points, des longueurs de ligne, des interlignes et des espacements des lettres.
- La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
- Les éléments clés incluent le choix de la police, le crénage, l'approche et l'interlignage.
- Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.

