Résumé
- Confirmé:WannaCry a affecté les services du NHS en Angleterre du 12 mai au 19 mai 2017. Le National Audit Office a rapporté qu'au moins 80 des 236 trusts ont été infectés ou perturbés, 34 trusts ont été infectés et bloqués hors de leurs appareils, 46 trusts n'ont pas été infectés mais ont signalé des perturbations, et 603 autres organisations de soins primaires et autres organisations du NHS ont été infectées, dont 595 cabinets de médecine générale.
- Confirmé:NHS England a identifié 6 912 rendez-vous annulés pendant la fenêtre de réponse à l'incident et estimé plus de 19 000 annulations au total. Cinq services d'accidents et d'urgences ont détourné des patients. NHS Digital a indiqué au NAO qu'aucune donnée de patient n'a été compromise ou volée, et le Department, NHS England et la National Crime Agency ont déclaré au NAO qu'aucune organisation du NHS n'a payé la rançon.
- Limite:Les archives publiques confirment un échec de l'application des correctifs et de l'assurance, mais elles ne confirment pas l'affirmation simpliste selon laquelle Windows XP seul a causé la panne du NHS. La revue des leçons de NHS England a déclaré que l'attaque a exploité une vulnérabilité de Microsoft Windows, que la plupart des appareils infectés du NHS fonctionnaient sous Windows 7 pris en charge mais non corrigé, et que les appareils sous XP non pris en charge représentaient une minorité des appareils infectés.
- Évaluation:L'échec responsable n'était pas seulement une dette technique. C'était la combinaison de la visibilité des actifs, du déploiement des correctifs, de la gestion des appareils non pris en charge, de l'autonomie des trusts locaux, des organismes nationaux sans mécanisme de conformité pré-incident, d'une réponse cyber locale non testée, et des processus de continuité des soins qui ont dû recourir à une coordination papier et manuelle.
Un correctif peut être publié sans être gouverné
La version la plus courte de l'histoire de WannaCry et du NHS est qu'un correctif Microsoft existait avant l'attaque et que trop d'organisations du NHS ne l'avaient pas appliqué. Cette phrase est vraie, mais elle cache le problème de responsabilité. Un correctif est un artefact technique. L'application des correctifs est un système de gouvernance. Elle nécessite des registres d'actifs, une hiérarchisation des risques, des fenêtres de changement, des tests des systèmes cliniques, une coordination avec les fournisseurs, un consentement opérationnel local, une preuve de déploiement et une vue nationale des exceptions. En mai 2017, le NHS disposait de directives, d'avertissements et de support technique, mais il n'avait pas assez d'assurance que les directives s'étaient transformées en protection.
Microsoft a publié lebulletin de sécurité MS17-010le 14 mars 2017. Le bulletin qualifiait le problème de critique et indiquait que les vulnérabilités les plus graves pourraient permettre l'exécution de code à distance si un attaquant envoyait des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0. Microsoft a expliqué plus tard dans sesconseils aux clients WannaCryptque la mise à jour de mars corrigeait la vulnérabilité exploitée, que les organisations ayant activé les mises à jour automatiques étaient protégées contre cette vulnérabilité, et que Microsoft a pris la mesure inhabituelle de rendre les mises à jour largement disponibles pour les anciennes plateformes telles que Windows XP, Windows 8 et Windows Server 2003. Son blog de sécurité décrivait WannaCrypt comme un ver utilisant des vulnérabilités déjà corrigées, affectant les ordinateurs qui n'avaient pas appliqué le correctif. (Blog de sécurité Microsoft)
L'alerte archivée de NHS Digital,CC-1411, a formulé le même risque dans le langage du secteur de la santé. Elle identifiait le rançongiciel comme utilisant les vulnérabilités SMB corrigées dans MS17-010, avertissait que ces vulnérabilités seraient probablement utilisées par de futures variantes de logiciels malveillants pour l'auto-propagation, et indiquait que l'application des correctifs sur les versions concernées devait être prioritaire. Elle énumérait également des mesures de remédiation telles que le blocage des ports liés à SMB, la confirmation du verrouillage des ports, la mise à jour des plateformes vulnérables, l'utilisation de scanners de vulnérabilités, le maintien de la connectivité au domaine kill-switch, la mise en quarantaine des appareils infectés, la reconstruction des machines infectées selon une norme corrigée et le non-paiement de la rançon.
Ces détails sont importants car ils montrent que la réponse technique n'était pas obscure au 12 mai. La question plus difficile est de savoir si les contrôles nationaux et locaux avaient rendu la réponse opérationnellement incontournable. L'enquête du National Audit Officea rapporté que NHS Digital avait émis des alertes critiques en mars et avril 2017 avertissant les organisations d'appliquer les correctifs pour prévenir WannaCry. Il a également rapporté qu'avant l'attaque, le Department of Health ne disposait d'aucun mécanisme formel pour évaluer si les organisations du NHS s'étaient conformées à ses conseils et orientations. NHS Digital avait évalué 88 des 236 trusts sur site, et aucun n'avait réussi son évaluation de cybersécurité, mais NHS Digital ne pouvait pas exiger d'un organisme local qu'il prenne des mesures correctives.
C'est le pivot de la responsabilité. Le centre pouvait avertir. Les organisations locales contrôlaient de nombreux choix de mise en œuvre. Mais les patients subissaient le système combiné, pas la frontière entre une alerte centrale et une fenêtre de correctif locale.
Ce que les archives établissent
WannaCry a commencé à affecter le NHS le vendredi 12 mai 2017. Le NAO a rapporté que l'attaque mondiale de rançongiciel a touché plus de 200 000 ordinateurs dans au moins 100 pays, et que le NHS n'était pas la cible spécifique. À 16 heures ce jour-là, NHS England a déclaré un incident majeur et mis en place des dispositions d'urgence pour maintenir la santé et les soins aux patients. Un chercheur en sécurité a activé un kill switch ce soir-là, empêchant WannaCry de verrouiller d'autres appareils de la même manière. L'attaque a affecté les services du NHS pendant la semaine du 12 mai au 19 mai.
L'ampleur en Angleterre était significative mais pas entièrement mesurable. Selon le NAO, au moins 80 des 236 trusts en Angleterre ont été touchés parce qu'ils étaient soit infectés, soit avaient éteint leurs systèmes par précaution. Parmi eux, 34 ont été infectés et bloqués hors de leurs appareils, dont 25 trusts aigus. 46 autres ont signalé des perturbations sans être classés comme infectés; certains ont arrêté le courrier électronique et d'autres systèmes par précaution et ont dû utiliser le stylo et le papier pour des activités normalement effectuées électroniquement. NHS England et NHS Digital ont également identifié 21 trusts dont les systèmes ont tenté de contacter le domaine de WannaCry mais n'ont pas été bloqués, et 603 autres organisations de soins primaires et autres ont été infectées, dont 595 cabinets de médecine générale.
Les archives publiques sont tout aussi claires sur ce qui est inconnu. Le Department et NHS England ne connaissaient pas l'étendue complète des perturbations. Ils ne savaient pas combien d'organisations du NHS ne pouvaient pas accéder aux dossiers parce qu'elles partageaient des systèmes ou des données avec un trust infecté. Ils ne savaient pas combien de rendez-vous de généralistes avaient été annulés, ni combien d'ambulances et de patients avaient été détournés des cinq services d'accidents et d'urgences qui ne pouvaient pas traiter certains patients. NHS England a collecté des informations sur les annulations du 12 mai au 18 mai, mais le NAO a indiqué que les données ne couvraient pas tous les types de rendez-vous. Les 6 912 annulations identifiées et les plus de 19 000 annulations totales estimées ne constituent donc pas un registre complet de l'impact sur les patients.
Larevue des leçons apprises de NHS England, dirigée par le Chief Information Officer for Health and Social Care, a conservé le même cadre tout en ajoutant une texture opérationnelle. Elle a indiqué que le NHS n'avait pas été directement ciblé, qu'aucun préjudice pour les patients ni aucune compromission ou vol de données de patients n'avaient été signalés, et que 1 % de l'activité du NHS avait été directement touchée. Elle a également précisé que 80 des 236 trusts hospitaliers avaient été touchés, 595 des 7 454 cabinets de médecine générale et huit autres organisations du NHS et apparentées avaient été infectées, et que la perturbation avait rendu plus claire la dépendance du service de santé à la technologie de l'information.
Cette dernière conclusion est la plus importante. Un incident de rançongiciel qui n'a pas volé de données de patients a tout de même nui à la continuité des soins. Dans un hôpital numérique, la disponibilité n'est pas une couche de commodité. Elle fait partie du débit clinique, de la communication, de l'accès au diagnostic, du flux de rendez-vous et de l'escalade sécurisée.
Les systèmes non pris en charge faisaient partie de l'histoire, pas toute l'histoire
WannaCry est souvent raconté comme un récit édifiant sur Windows XP. Les logiciels non pris en charge comptaient. C'était un risque connu, et le Department et le Cabinet Office avaient écrit aux trusts en 2014 pour dire qu'ils avaient besoin de plans solides pour migrer des anciens logiciels tels que Windows XP d'ici avril 2015. Larevue du National Data Guardian, publiée en juillet 2016, proposait de nouvelles normes de sécurité des données et une méthode pour tester la conformité. La revueSafe Data, Safe Care de la Care Quality Commission, également publiée en juillet 2016, recommandait le remplacement urgent du matériel et des logiciels qui ne pouvaient plus être pris en charge, un audit et une validation plus solides, et une appropriation de la sécurité des données par la direction.
Mais un slogan sur les systèmes non pris en charge est trop étroit. La revue des leçons de NHS England a indiqué qu'aucune des 80 organisations du NHS touchées n'avait appliqué le correctif Microsoft conseillé par le bulletin CareCERT de NHS Digital le 25 avril 2017. Elle a également indiqué que WannaCry était une attaque utilisant une vulnérabilité spécifique de Microsoft Windows, pas une attaque contre les logiciels non pris en charge. La majorité des appareils infectés du NHS fonctionnaient sous Windows 7 pris en charge mais non corrigé. Les appareils sous XP non pris en charge représentaient une minorité des appareils infectés, et le nombre d'appareils XP était passé de 18 % à 1,8 % en janvier 2018.
La distinction est importante pour la responsabilité. Si l'échec n'était dû qu'aux « anciens systèmes d'exploitation », alors la réponse serait un financement de remplacement et une pression sur les fournisseurs. C'étaient de vrais problèmes, en particulier lorsque l'équipement médical ou les appareils de diagnostic dépendaient de logiciels plus anciens. Mais si des machines sous Windows 7 prises en charge restaient non corrigées après une alerte critique, alors la réponse inclut également la gouvernance des correctifs, la gestion des exceptions et la preuve de la clôture. Un appareil pris en charge peut être dangereux lorsqu'il n'est pas corrigé. Un appareil non pris en charge peut être isolé ou géré dans un modèle de contrôle compensatoire. Le système devait savoir quelle condition s'appliquait à chaque point terminal critique avant qu'un ver ne rende l'inventaire visible.
La revue des leçons a également noté que les contrôles de pare-feu et de réseau auraient pu réduire le risque d'infection. Elle a indiqué que même là où l'application des correctifs n'avait pas eu lieu, des mesures pour améliorer la sécurité des pare-feu réseau faisant face au réseau N3 auraient protégé les organisations contre l'infection. C'est une autre raison de ne pas traiter l'application des correctifs comme un simple interrupteur. L'application des correctifs était nécessaire, mais la segmentation du réseau, la configuration du périmètre, les contrôles d'exposition SMB et la connaissance des systèmes qui nécessitaient encore la prise en charge des protocoles hérités l'étaient tout autant.
Lesconseils du NCSC sur WannaCry, désormais marqués comme retirés parce qu'ils sont obsolètes, ont capturé la logique défensive d'urgence de l'époque. Ils conseillaient aux organisations de déployer MS17-010, de désactiver SMBv1 si l'application des correctifs n'était pas possible, de bloquer les ports pertinents si nécessaire, d'isoler les technologies héritées vulnérables, de mettre à jour l'antivirus et d'éviter de bloquer les domaines kill-switch. En d'autres termes, la réponse immédiate nécessitait un ensemble de contrôles superposés. Les organisations qui manquaient de listes d'actifs claires, de propriété des pare-feu, d'options DNS locales, de contacts avec les fournisseurs et de procédures de reconstruction testées ne pouvaient pas facilement exécuter cette réponse superposée sous la pression de l'urgence.
L'autonomie locale a rendu l'assurance centrale plus difficile
Le NHS n'est pas un domaine informatique monolithique. Les trusts locaux, les cabinets de médecine générale, les groupes de commande clinique, les fournisseurs, les unités de soutien à la commande et d'autres organisations opèrent dans des cadres nationaux mais assument de nombreuses responsabilités locales. Le NAO a déclaré que les organisations de soins de santé locales étaient responsables de la sécurité de l'information et des dispositions d'incident et d'urgence, y compris les cyberattaques. Les organismes nationaux les supervisaient et les soutenaient, mais n'avaient pas toujours l'autorité pour imposer des actions techniques spécifiques.
Cette structure n'est pas fondamentalement mauvaise. Les organisations cliniques locales comprennent leurs propres parcours de soins, équipements, fournisseurs et risques de changement. Un correctif peut casser une ancienne interface de diagnostic, une intégration patient-administration ou un processus de dispositif médical. Une instruction centrale qui ignore ces réalités peut produire un changement dangereux ou une résistance locale. Pourtant, l'autonomie locale devient dangereuse lorsque le centre ne peut pas voir quels sites sont exposés, lesquels ont accepté le risque, lesquels ont des contrôles compensatoires et lesquels sont incapables d'agir parce qu'un fournisseur, un budget ou une dépendance clinique bloque la remédiation.
Le point du NAO sur l'absence de mécanisme formel de conformité n'est donc pas une futilité bureaucratique. Il explique pourquoi un avertissement ne s'est pas transformé en réduction des risques à l'échelle du système. Une alerte nationale peut dire « appliquez le correctif maintenant ». Elle ne peut pas à elle seule prouver que chaque point terminal pertinent a le correctif, que les appareils non pris en charge sont isolés, que SMB est bloqué là où il le faut, que les systèmes nécessitant des exceptions sont nommés, ou que les cadres ont accepté un risque résiduel pour la sécurité des patients.
Lerapport du Public Accounts Committeea rendu politique la même faiblesse. Il a déclaré qu'il y avait eu des avertissements en 2016 et d'autres en mars et avril 2017, mais que l'application des correctifs n'avait eu lieu que dans environ deux tiers des trusts au moment de WannaCry, et qu'aucun des 88 trusts n'avait réussi les évaluations de NHS Digital. Il a également rapporté que le Department et le NHS reconnaissaient que les choses devaient changer et que la revue des leçons de 2018 contenait 22 recommandations, mais que les plans de mise en œuvre et les coûts n'avaient pas encore été convenus lorsque le Comité a rendu son rapport.
Ces preuves étayent une conclusion sobre: la responsabilité était répartie, mais le patient ne recevait pas des soins répartis. Si un trust local manquait du correctif, si un cabinet de médecine générale ne pouvait pas accéder aux systèmes, ou si une ambulance devait être détournée, le préjudice atteignait les gens par le biais d'un service public unique. La gouvernance répartie a besoin de boucles de preuves plus solides précisément parce que le service public apparaît unifié au point de besoin.
Un incident de continuité des soins, pas seulement un incident informatique
Le préjudice visible de WannaCry était l'interruption. Certaines organisations ont été infectées et bloquées. D'autres ont arrêté leurs systèmes pour réduire les risques. Certaines ont utilisé le papier. Certaines n'ont pas pu recevoir les résultats de tests ou accéder aux dossiers partagés. Certains patients ont vu leurs rendez-vous ou opérations annulés. Cinq zones ont détourné les patients des accidents et urgences. Le NAO a pris soin de dire que toutes les catégories n'avaient pas été entièrement comptabilisées, et la revue de NHS England n'a signalé aucun préjudice connu pour les patients. Ces limites doivent être respectées. L'absence de préjudice signalé n'est pas la preuve que tout risque clinique était absent, mais les archives publiques ne permettent pas d'inventer un nombre de morts ou un vol caché de données de patients.
Le prisme de responsabilité le plus utile est la capacité de continuité. Les services de santé ne peuvent survivre à une courte interruption numérique que si les modes dégradés sont prêts. Le repli sur le papier n'est pas un plan en soi. Il nécessite des listes de patients imprimables ou récentes, des alternatives d'accès à l'historique des médicaments, des voies de transfert sécurisées, des solutions de contournement pour les commandes de diagnostic, le suivi des références, la planification des blocs opératoires, la communication des résultats de laboratoire, la reprogrammation manuelle des rendez-vous et la réconciliation après le retour des systèmes. Chaque repli a un profil de débit et d'erreur. Une clinique qui peut gérer 20 exceptions manuelles peut ne pas en gérer des centaines. Un hôpital qui peut reporter en toute sécurité le travail électif pendant une journée peut avoir du mal si la visibilité diagnostique est altérée dans une région.
La revue des leçons de NHS England a reconnu la différence entre un incident cyber et un incident majeur conventionnel. Elle a indiqué que NHS England avait utilisé son cadre de préparation aux urgences, de résilience et d'intervention, qui offrait une structure solide, mais l'incident a également enseigné des leçons sur la façon dont le cyber diffère des autres incidents majeurs. Le cyber peut rendre les outils de communication eux-mêmes peu fiables. Il peut affecter plusieurs sites simultanément. Il peut être difficile au début de savoir si un site est infecté, déconnecté ou agit de manière défensive. Il peut nécessiter des actions de confinement technique qui réduisent la capacité de service. Il peut également se propager via des réseaux partagés, de sorte qu'aider une organisation peut dépendre de la façon dont une autre organisation se comporte.
C'est pourquoi la responsabilité ne devrait pas s'arrêter à l'appareil qui a manqué un correctif. Le système de soins avait besoin d'un moyen testé pour répondre aux questions de continuité de base dans des conditions cyber. Quels services doivent continuer à fonctionner même si le courrier électronique est hors ligne? Quels dossiers sont essentiels aux soins d'urgence? Quels systèmes peuvent être arrêtés localement sans coordination régionale? Quel organisme national dirige les communications? Quels fournisseurs doivent rejoindre le pont d'incident? Quels cadres locaux peuvent accepter un débit clinique réduit, et sur quelles preuves?
Le NAO a rapporté que le Department avait élaboré un plan incluant des rôles et responsabilités nationaux et locaux, mais ne l'avait pas testé au niveau local. Il a également constaté que le NHS ne s'était pas préparé à une cyberattaque nationale, de sorte qu'il n'était pas immédiatement clair qui devait diriger la réponse et qu'il y avait des problèmes de communication. Ce n'est pas une lacune de processus mineure. Dans la continuité cyber, les répétitions sont la façon dont les organisations découvrent si les listes de contacts fonctionnent, si les formulaires papier existent, si les listes de patients hors ligne sont assez récentes, si les fournisseurs répondent et si les cliniciens comprennent quels systèmes peuvent être reconnectés en toute sécurité.
L'interdépendance a transformé la protection locale en perturbation régionale
L'une des caractéristiques les plus difficiles de l'incident est que certaines organisations ont été lésées par les mesures défensives d'autres organisations. Un trust pouvait éviter l'infection directe et tout de même perdre l'accès à un processus de transfert d'ambulance, à un transfert d'images diagnostiques, à un chemin de commande de chimiothérapie, à un flux de résultats sanguins ou à une charge de travail de soins primaires parce qu'un autre fournisseur, partenaire de réseau ou prestataire a fermé l'accès pour se protéger. C'est un confinement local rationnel, mais cela crée des conséquences de service régionales.
L'étude de cas du kit de gestion de la continuité des activités de NHS England sur WannaCryrend cela concret. Elle décrit le County Durham and Darlington NHS Foundation Trust comme n'ayant pas subi d'attaque directe, tandis que le service d'ambulance a protégé son réseau en fermant l'accès, en désactivant les écrans de processus de transfert et en rendant indisponible un portail de réservation de transport de patients. Les centres tertiaires ont fermé l'accès, ce qui signifiait que les tomodensitogrammes et les IRM ne pouvaient pas être transférés électroniquement et que les commandes de chimiothérapie ne pouvaient pas être transférées par la voie habituelle. Le fournisseur informatique de soins primaires a protégé son réseau, après quoi le transfert automatisé des résultats sanguins a échoué et certains généralistes n'ont pas pu accéder à leurs charges de travail.
Les solutions de contournement dans cette étude de cas sont utiles parce qu'elles sont concrètes plutôt que spectaculaires. Les pré-alertes d'ambulance se sont poursuivies par ligne fixe et autres communications radio. Les réservations de transport de patients sont passées au téléphone. Les images ont été transférées sur DVD et envoyées par taxi. Les commandes de chimiothérapie sont revenues au papier et au fax. Les transferts de résultats sanguins sont passés au papier et ont ralenti le processus. Certains généralistes ont accédé aux charges de travail via des centres de traitement d'urgence. L'étude de cas a indiqué que les plans de continuité des activités ont été mis à jour par la suite et a conclu que les organisations du NHS doivent comprendre leurs interdépendances et articuler les plans pour les services partagés afin de minimiser l'impact sur l'économie de la santé.
C'est exactement le type de preuve que les décomptes globaux d'incidents manquent. Un incident cyber peut réduire la capacité de soins sans que chaque organisation touchée soit infectée. Il peut transformer une décision sécurisée d'une partie en panne pour une autre. Il peut nécessiter des méthodes analogiques qui sont sûres pour un faible volume mais fragiles à grande échelle. Un DVD envoyé par taxi peut sauver un parcours de diagnostic pour un petit nombre de scanners urgents; il ne remplace pas l'échange électronique ordinaire d'imagerie dans une région très active. Une voie de réservation téléphonique peut maintenir le transport des patients en mouvement; elle ne peut pas préserver automatiquement la priorisation, l'audit ou le débit si le volume d'appels augmente. Les commandes de chimiothérapie sur papier peuvent empêcher l'arrêt du traitement; elles créent des charges de transcription, de confirmation et de réconciliation que le processus numérique absorbe normalement.
Ces exemples expliquent également pourquoi la continuité des fournisseurs et des partenaires est importante pour les petites organisations. Un cabinet de médecine générale, un hospice, un prestataire communautaire, une clinique locale ou un service sous contrat peut ne pas posséder le système central dont il dépend. Il peut dépendre d'une unité de soutien à la commande, d'un système clinique hébergé, d'une interface de pathologie, d'un partenaire de diagnostic ou d'une voie de réseau contrôlée par quelqu'un d'autre. Lorsque cette dépendance est déconnectée, la petite organisation doit toujours répondre aux patients. Elle doit savoir si elle peut accéder aux dossiers via un site alternatif, si les résultats papier sont cliniquement acceptables, si les mises à jour des références sont mises en file d'attente et qui est responsable d'informer les patients que le chemin numérique a échoué.
Pour la responsabilité, l'interdépendance modifie le test de contrôle. Il ne suffit pas que chaque organisation dise qu'elle a un plan de continuité des activités. Les plans doivent se rencontrer. Si l'arrêt défensif d'un centre tertiaire bloque le transfert d'images, le plan du trust référent doit déjà connaître la voie alternative. Si un fournisseur informatique de soins primaires ferme l'accès, les cabinets locaux ont besoin d'options nommées pour l'accès urgent aux dossiers. Si les écrans de transfert d'ambulance sont indisponibles, les services d'urgence et les services d'ambulance ont besoin d'une solution de repli partagée qui a été répétée. L'étude de cas du NHS est de portée modeste, mais elle montre la vérité au niveau du système: la continuité cyber est un travail conjoint, et une dépendance conjointe non testée peut échouer même lorsque chaque entité essaie d'être prudent.
Le coût était plus large qu'une rançon qui n'a pas été payée
Aucune organisation du NHS n'a payé la rançon, selon le Department, NHS England et la National Crime Agency dans le rapport du NAO. Ce fait devrait empêcher une mauvaise lecture courante: la perte n'était pas la demande de rançon. C'était le travail annulé, les heures supplémentaires, le support informatique, la restauration, les soins différés, l'effort des fournisseurs et la remédiation ultérieure. Le NAO a déclaré que le Department ne connaissait pas le coût de la perturbation des services au moment de son enquête. Il a identifié des catégories de coûts telles que les rendez-vous annulés, le support informatique local supplémentaire, les consultants informatiques, la restauration des données et des systèmes, et les heures supplémentaires du personnel pendant la réponse du week-end.
La mise à jour ultérieure du Department of Health and Social Care,Securing cyber resilience in health and care: October 2018 progress update, renvoyait auPDF détaillé de la mise à jour de septembre 2018. Cette mise à jour est largement citée pour l'estimation selon laquelle WannaCry a coûté au NHS 92 millions de livres sterling, y compris la réponse directe et la récupération informatique ainsi que la perte de production. Cette estimation doit être utilisée avec prudence. Il s'agit d'une estimation des coûts du secteur public, pas d'une comptabilité complète de l'anxiété des patients, du temps des familles, des mouvements d'ambulance, du fardeau des fournisseurs locaux ou de chaque heure de personnel.
Les travaux universitaires montrent également pourquoi l'impact est difficile à chiffrer. Uneanalyse d'impact rétrospective de 2019 dans npj Digital Medicinea utilisé les Hospital Episode Statistics pour examiner les annulations, les admissions, les fréquentations des urgences, la mortalité et les coûts fiscaux. Elle n'a constaté aucune différence significative dans l'activité totale de tous les trusts pendant la semaine de WannaCry par rapport à la référence, mais les hôpitaux directement infectés ont eu moins d'admissions en urgence et électives, et l'étude a estimé à 5,9 millions de livres sterling la perte d'activité hospitalière dans les trusts infectés. Elle a également noté aucune augmentation de la mortalité, tout en avertissant que la mortalité est une mesure grossière du préjudice pour les patients.
La différence entre une estimation de 5,9 millions de livres sterling de l'activité hospitalière infectée et une estimation plus large de 92 millions de livres sterling du secteur public n'est pas nécessairement une contradiction. Elles mesurent des choses différentes. L'une examine l'activité dans les hôpitaux infectés sur une période définie à l'aide de données hospitalières. L'autre inclut la réponse plus large, la récupération et la remédiation informatique. Pour la responsabilité, le point important n'est pas de choisir le plus grand nombre et de l'appeler « le coût ». Il s'agit de demander quels coûts étaient évitables par une application plus précoce des correctifs, lesquels ont été encourus par le confinement nécessaire, lesquels étaient des investissements qui auraient dû être faits auparavant et lesquels sont retombés sur les patients et le personnel sans jamais apparaître dans un budget informatique.
Les prestataires de petite et moyenne taille se trouvent dans la même question. La question est la continuité à travers les petites organisations qui se connectent à un service national: cabinets de médecine générale, hospices, prestataires communautaires, sous-traitants, fournisseurs de dispositifs, partenaires locaux de support informatique et interfaces de soins sociaux. Le NAO a compté les soins primaires et d'autres organisations parmi les entités infectées et a noté que d'autres prestataires pouvaient être touchés par des systèmes partagés ou des informations retardées. Un incident cyber dans une grande institution publique devient donc un choc de continuité pour les petites organisations qui ont moins de redondance et moins de visibilité politique.
L'attribution ne répond pas à la question opérationnelle
Le Royaume-Uni a plus tard attribué WannaCry à la Corée du Nord. Ladéclaration du Foreign Office sur l'acteur nord-coréen derrière WannaCrya indiqué que le Royaume-Uni estimait que les acteurs nord-coréens connus sous le nom de Lazarus Group étaient derrière la campagne. Cette attribution est importante pour la dissuasion, les sanctions, la diplomatie et la sécurité nationale. Elle n'absout pas le contrôle opérationnel national. Les mêmes archives publiques indiquent que le NHS n'était pas la cible spécifique, que le ver s'est propagé par une vulnérabilité Windows connue et que les organisations locales auraient pu prendre des mesures relativement simples pour se protéger.
La responsabilité pénale et la responsabilité du service public sont des couches distinctes. L'attaquant contrôlait le code malveillant et la décision de le déployer. Microsoft contrôlait la divulgation des vulnérabilités et la publication des correctifs pour ses produits, puis la décision extraordinaire de rendre les correctifs disponibles pour les plateformes non prises en charge pendant l'urgence. NHS Digital contrôlait les alertes, les conseils, le support téléphonique et les avis spécifiques au secteur. NHS England contrôlait la coordination des incidents majeurs et l'escalade de la continuité des soins. Le Department of Health contrôlait la supervision des politiques et les priorités de financement. Les trusts et cabinets locaux contrôlaient de nombreuses décisions concernant les appareils, le réseau, les fournisseurs et la gestion du changement. Les fournisseurs contrôlaient certains dispositifs hérités, les conditions de support et les contraintes de compatibilité.
Aucune couche unique ne raconte toute l'histoire. Traiter l'incident comme un simple événement d'État hostile le rend trop éloigné de la gestion locale. Le traiter comme une simple non-conformité locale ignore le fait que les organismes nationaux avaient vu les signes avant-coureurs et ne disposaient pas de pouvoirs suffisants d'application ou d'assurance. Le traiter comme un simple problème Microsoft ignore que le correctif critique existait avant l'incident et que ne pas appliquer les correctifs est un choix opérationnel. Le traiter comme un simple problème de fournisseur ignore que les systèmes Windows pris en charge n'étaient pas non plus corrigés. La responsabilité est la carte de ces contrôles, pas la recherche d'un acteur qui peut tous les porter.
Le contrôle le plus conséquent était la preuve. Qui connaissait l'état des correctifs? Qui connaissait l'état d'exposition SMB? Qui savait quels systèmes n'étaient pas pris en charge? Qui savait quels dispositifs médicaux ne pouvaient pas être corrigés sans l'intervention du fournisseur? Qui savait si un trust local avait testé son plan d'urgence cyber? Qui savait à quelle vitesse les cabinets de médecine générale pouvaient passer à un fonctionnement manuel sûr? Les archives publiques montrent qu'une grande partie de ces réponses étaient soit indisponibles, incomplètes ou non exploitables au niveau central avant l'attaque.
Le programme post-incident confirme le diagnostic
Le bilan des mesures correctives après WannaCry est utile car il montre ce que les dirigeants nationaux pensaient avoir échoué. La revue des leçons de NHS England a recommandé un leadership plus fort et une responsabilité du conseil d'administration, des rôles plus clairs, des normes de cybersécurité, une résilience locale, une meilleure application des correctifs, le remplacement des logiciels non pris en charge, des processus de réponse améliorés et une coordination nationale plus forte. La mise à jour de 2018 du Department a décrit les travaux sur la réponse aux incidents majeurs, les opérations de cybersécurité, les normes de sécurité des données, les attentes des fournisseurs et les investissements. LeData Security and Protection Toolkit, qui a remplacé l'ancien Information Governance Toolkit à partir d'avril 2018, est devenu un mécanisme d'auto-évaluation en ligne permettant aux organisations ayant accès aux données et systèmes des patients du NHS de mesurer et de publier leurs performances par rapport aux dix normes de sécurité des données du National Data Guardian.
Ce kit d'outils n'est pas la preuve que le problème a disparu. L'auto-évaluation a des limites, et les incidents cyber ultérieurs dans les systèmes de santé montrent que les rançongiciels et les pannes de fournisseurs restent des risques sérieux. Mais c'est une preuve que le système post-WannaCry s'est orienté vers une assurance explicite plutôt que de simples conseils informels. Il a également fait sortir le cyber du domaine purement technique pour l'amener à la responsabilité au niveau du conseil d'administration, au signalement des incidents et à la continuité.
La stratégie gouvernementale ultérieure,A cyber resilient health and adult social care system in England, étend ce cadre jusqu'en 2030. Elle décrit la cybersécurité comme une condition pour protéger les données des patients, des usagers des services et du personnel et pour se rétablir rapidement en cas d'attaques. L'existence de la stratégie renforce la leçon fondamentale de 2017: dans les soins de santé, la cybersécurité n'est pas une discipline de back-office distincte. Elle sous-tend la confiance du public et la continuité des services.
Le rôle public plus large du National Cyber Security Centre s'est également développé au cours de cette période. Sonannonce de revue annuelle 2017a décrit la première année du nouveau centre et sa mission de rendre le Royaume-Uni plus sûr en ligne. La réponse à WannaCry a rendu cette mission concrète pour les hôpitaux et les cliniques. Elle a montré que la capacité cyber nationale devait se connecter aux opérations sectorielles, et non pas simplement publier des avertissements pour les équipes techniques.
Cinq tests de responsabilité
La valeur durable du cas du NHS est qu'il donne aux conseils d'administration et aux dirigeants du secteur public des tests pratiques. Ces tests ne consistent pas à blâmer un administrateur pour un correctif. Ils visent à déterminer si un service public peut prouver qu'un risque cyber connu a été converti en action opérationnelle.
1. Visibilité des actifs:Une organisation ne peut pas corriger ce qu'elle ne peut pas identifier. Elle a besoin d'un inventaire des serveurs, des points terminaux, des dispositifs médicaux, des systèmes non pris en charge, des versions de système d'exploitation, des services exposés, des fournisseurs et des dépendances cliniques. L'inventaire doit inclure les systèmes qu'il n'est pas pratique de posséder, tels que les anciens postes de diagnostic, les serveurs de fichiers partagés et les machines contrôlées en partie par les fournisseurs.
2. Assurance des correctifs:Émettre un avertissement ne suffit pas. Une alerte critique doit créer des actions suivies, des délais, une escalade exécutive, des exceptions nommées, des contrôles compensatoires et la preuve que le correctif a été installé ou que l'exposition a été contrôlée autrement. Lorsque l'autonomie locale bloque les mandats centraux, le centre a besoin au moins d'une visibilité fiable et d'une voie pour escalader le risque pour la sécurité des patients.
3. Confinement des systèmes hérités:Les systèmes non pris en charge ou difficiles à corriger nécessitent une segmentation, des restrictions d'accès, des plans fournisseurs, un financement de remplacement et une contingence clinique. Laisser un système non pris en charge est parfois une nécessité clinique temporaire, mais cela ne devrait pas être un fait non géré découvert lors d'une épidémie de ver.
4. Continuité spécifique au cyber:La planification d'urgence doit supposer que les systèmes de communication et de dossiers normaux peuvent être indisponibles. Le repli manuel nécessite une planification de la capacité, pas seulement des formulaires papier. Elle devrait préciser quels services cliniques se dégradent en premier, comment les patients sont détournés, comment les résultats de tests circulent, comment les rendez-vous sont reprogrammés et comment le travail hors ligne est réconcilié en toute sécurité.
5. Responsabilité à plusieurs niveaux:Le centre, les organismes locaux, les fournisseurs et les agences de sécurité nationale ont des contrôles différents. Un cadre mature ne réduit pas ces contrôles à une seule histoire de blâme. Il définit qui doit agir, qui doit vérifier, qui doit financer, qui doit communiquer et qui doit accepter le risque résiduel.
Ces tests sont inconfortables parce qu'ils rendent la cyber-résilience mesurable. Ils protègent également le personnel d'attentes impossibles. Pendant WannaCry, le personnel du NHS a fait des heures supplémentaires et a improvisé pour maintenir les services en marche. La revue des leçons a publiquement reconnu ces efforts. Une réponse locale héroïque ne devrait pas être utilisée comme preuve que la préparation était adéquate. C'est souvent la preuve que le système formel a laissé trop de travail aux personnes sous pression.
La limite de la responsabilité légale
Les sources publiques étayent de fortes critiques opérationnelles. Elles n'étayent pas des conclusions juridiques non fondées contre un trust, un cadre, un fournisseur ou un organisme national nommé. Les archives du PAC, du NAO, de NHS England, du DHSC, du CQC, du NCSC, de Microsoft et des universités établissent les avertissements, les manquements à l'assurance, les systèmes non corrigés, la perturbation des services et les réformes post-incident. Elles ne prouvent pas la négligence dans chaque organisation locale, ne quantifient pas chaque perte et ne montrent pas exactement quels appareils étaient responsables de chaque rendez-vous annulé.
Cette limite est importante parce que la leçon de responsabilité est plus large que le litige. Si les dirigeants réduisent le cas à une bataille juridique sur le point de savoir si une entité a manqué à un devoir, ils passent à côté de la conception du contrôle. La question de service public est de savoir si le NHS pouvait savoir, avant un événement cyber national, que chaque organisation avait fermé ou géré consciemment une vulnérabilité critique connue. La réponse de 2017 était non. La question de continuité des soins est de savoir si chaque organisation touchée avait suffisamment répété une panne cyber pour maintenir les services essentiels à une capacité dégradée connue. Les archives publiques indiquent que ces dispositions n'avaient pas été suffisamment testées.
WannaCry reste donc un cas de responsabilité publique parce qu'il a relié un arriéré de maintenance technique à la résilience face aux patients. Le risque avait des noms: MS17-010, SMBv1, systèmes d'exploitation non pris en charge, plans d'incident non testés, organismes locaux sans assurance de conformité centrale, réseaux partagés et systèmes cliniques qui ne pouvaient pas être éteints à la légère. Mais le préjudice avait des noms différents: rendez-vous annulés, patients détournés, dossiers indisponibles, informations retardées, heures supplémentaires du personnel et une estimation de 92 millions de livres sterling de remédiation et de perturbation.
La manière la plus responsable de se souvenir de l'incident n'est pas comme une fable morale sur les vieux logiciels. C'est un avertissement que les institutions publiques peuvent en savoir assez pour être inquiètes et ne toujours pas en savoir assez pour être prêtes. Un correctif peut exister. Une alerte peut être envoyée. Un conseil d'administration peut recevoir une formation sur le cyber. Un plan peut être écrit. Si l'organisation ne peut pas prouver que les systèmes vulnérables sont corrigés, isolés, remplacés ou contournés en toute sécurité, alors le risque est toujours porté par les patients, le personnel et les petits prestataires qui ne découvrent la dépendance que lorsque le service s'arrête.

