Résumé
- WannaCry a affecté les soins du NHS parce qu’un contrôle technique local, le déploiement de correctifs, est devenu un contrôle national de continuité clinique une fois que le ransomware a atteint les hôpitaux, les cabinets de médecine générale et les systèmes de soutien.
- Les dossiers d’examen du National Audit Office et de NHS England montrent un problème de responsabilité partagée: les organismes nationaux ont émis des alertes et des directives, mais les organisations locales devaient toujours connaître leurs actifs, l’état des correctifs, les exceptions pour les systèmes non pris en charge et les dispositions de repli clinique.
- Le correctif Microsoft MS17-010, les alertes CareCERT de NHS Digital, les conseils du CISA et les directives de gestion des correctifs du NIST présentent l’événement comme un échec de la maintenance vérifiée, et non comme une simple épidémie de malware surprise.
- Les rendez-vous annulés, les diagnostics perturbés, le personnel détourné et les arrêts préventifs ont rendu le dossier patient aussi important que le dossier des appareils infectés.
- Une norme de réparation crédible relierait l’inventaire des postes de travail, les décisions concernant les logiciels non pris en charge, les preuves de correctifs, les contraintes des fournisseurs, les pratiques de temps d’arrêt clinique, le rapprochement des annulations et le reporting public dans un seul dossier de gouvernance centré sur les soins.
La gouvernance des correctifs est devenue visible au guichet des rendez-vous
Le principal dossier public commence par la page d’enquête du National Audit Office surWannaCry et le NHSet le rapport complet du NAOInvestigation: WannaCry cyber attack and the NHS. Ces documents sont importants parce qu’ils ne traitent pas l’événement comme un incident de malware abstrait. Ils replacent l’attaque dans un service de santé où les organisations ont dû annuler des rendez-vous, détourner des efforts, isoler des systèmes et maintenir les soins aux patients tout en essayant de comprendre ce qui était infecté et ce qui était simplement arrêté par précaution.
Lerapport de retour d’expériencede NHS England ajoute la couche opérationnelle: dispositifs d’urgence, communications nationales, réponses locales, préoccupations concernant les dispositifs de diagnostic et recommandations pour le système de santé et de soins. Le rapport du Public Accounts Committee de la Chambre des communes sur laCyberattaque contre le NHSfournit la couche de responsabilité: les questions posées par le Parlement n’étaient pas seulement « quel malware a été utilisé? » mais « pourquoi le service de santé était-il vulnérable, qui était responsable de la préparation et pourquoi les mesures d’hygiène informatique de base n’ont-elles pas protégé les services? »
C’est le cadre utile pour WannaCry. Un correctif peut sembler anodin lorsqu’il apparaît comme une tâche technique mensuelle. Il devient important lorsque l’absence de correctif détermine si un rendez-vous patient a lieu, si un dispositif de diagnostic est digne de confiance, si une clinique peut accéder aux dossiers, si un trajet d’ambulance change et si le personnel doit improviser. Le public lésé par la perturbation ne se soucie pas de la distinction interne entre les directives nationales et l’exécution locale. Les patients font l’expérience d’un service unique.
La question de la responsabilité est donc celle de la gouvernance locale des correctifs en tant que gouvernance des soins. NHS England a pu donner des directives nationales. NHS Digital a pu diffuser des alertes techniques. Microsoft a pu publier des correctifs. Les autorités nationales de cybersécurité ont pu avertir contre les ransomwares.
Mais les trusts et les organisations de soins locaux devaient encore savoir quels appareils ils possédaient, quels systèmes d’exploitation n’étaient plus pris en charge, quels systèmes cliniques pouvaient être corrigés en toute sécurité, quels appareils dépendaient des fournisseurs, quelles exceptions avaient l’approbation du conseil d’administration et quels services aux patients seraient protégés si les systèmes étaient mis hors ligne.
WannaCry a rendu cette chaîne visible. Le poste de travail était l’endroit où le malware s’exécutait, mais le guichet des rendez-vous était l’endroit où l’échec de la gouvernance est devenu lisible pour le public.
Le dossier public montre une responsabilité partagée, pas un simple transfert
L’alerte CareCERT de NHS Digital sur WannaCrya orienté les organisations vers les conseils de Microsoft, la vérification du MS17-010, l’analyse des vulnérabilités, les contrôles des ports SMB et d’autres mesures de protection. L’alerte sur les indicateurs WannaCrydu CISA a également conseillé aux administrateurs d’appliquer le correctif MS17-010 ou d’utiliser des mesures d’atténuation telles que la désactivation de SMBv1 et le blocage de SMB aux frontières du réseau. Lebulletin de sécurité MS17-010de Microsoft avait été publié en mars 2017, avant l’épidémie de mai. Les propresconseils de Microsoft pour les attaques WannaCryptont lié l’incident à des systèmes Windows plus anciens, à l’application des correctifs et à un support d’urgence inhabituel pour certaines versions non prises en charge.
Ces sources posent une question de responsabilité difficile. Si un correctif critique existait avant l’épidémie, pourquoi le service aux patients était-il encore exposé? La réponse n’est pas une personne ayant oublié une seule mise à jour. Les parcs informatiques de santé contiennent d’anciennes applications cliniques, des dispositifs médicaux, des systèmes gérés par des fournisseurs, des réseaux locaux, un historique d’achats, des contraintes de temps d’arrêt opérationnel et des effectifs techniques inégaux. Cette complexité est réelle. Mais la complexité ne supprime pas la responsabilité; elle change ce que la responsabilité doit prouver.
Un dossier de responsabilité montrerait comment les alertes nationales se sont transformées en actions locales. Il montrerait quelles organisations ont reçu l’alerte, qui était responsable de la réponse, comment l’organisation a vérifié l’exposition des actifs, comment les exceptions ont été escaladées, comment les systèmes non pris en charge ont été isolés et comment les responsables cliniques ont été informés des services aux patients susceptibles d’être affectés. Il montrerait également quels systèmes ont été intentionnellement arrêtés pour limiter la propagation et quels systèmes étaient réellement infectés.
Cette distinction est importante car une précaution peut toujours annuler des soins.
Le rapport du Public Accounts Committee est important car il a insisté sur la question de la gouvernance plutôt que d’accepter la complexité technique comme réponse. Un service de santé national ne peut pas s’appuyer sur une chaîne où chaque entité peut pointer ailleurs: du fournisseur au client, de l’organisme national au trust, du trust au fournisseur, du fournisseur à la contrainte de l’appareil, du conseil d’administration à l’équipe informatique. Le devoir envers les patients exige une chaîne de preuves qui traverse ces frontières.
L’examen de NHS England a rendu le même problème concret. Il a identifié la nécessité d’une planification plus solide des incidents, de rôles plus clairs, d’une action locale plus robuste et d’une meilleure assurance. La leçon n’est pas que tous les trusts disposaient de ressources identiques ou d’une exposition identique. C’est qu’un système de santé a besoin d’une preuve minimale partagée: connaître le parc, corriger ou isoler les risques connus, répéter les soins de repli et signaler l’impact honnêtement.
Les systèmes non pris en charge sont des décisions de risque, pas un bruit de fond
Les systèmes non pris en charge et hérités sont souvent décrits comme des sédiments: d’anciennes couches laissées par le temps. Dans un hôpital, ce sont des décisions avec des conséquences. Une application clinique peut ne pas prendre en charge un système d’exploitation actuel. Un dispositif de diagnostic peut nécessiter une certification du fournisseur avant qu’un correctif puisse être appliqué. Un service local peut dépendre d’un petit fournisseur. Un projet de remplacement peut attendre un financement en capital. Rien de tout cela n’est imaginaire.
Mais chaque exception devrait avoir un responsable, une date de révision, un contrôle compensatoire et une évaluation de la continuité des soins.
Lafiche d’information sur le ransomware WannaCrydu CISA explique le point préventif de base en termes simples: les systèmes dotés du correctif MS17-010 n’étaient pas vulnérables à l’exploit utilisé par WannaCry. L’entrée NVD pourCVE-2017-0144fournit l’enregistrement de la vulnérabilité derrière cette conversation sur les correctifs. Pour les soins de santé, le mot important est « vérifié ». Il ne suffit pas de supposer qu’un correctif est présent parce qu’une politique indique qu’une mise à jour mensuelle a lieu. L’organisation a besoin de preuves que les hôtes exposés ont été identifiés, que l’état des correctifs a été vérifié et que les systèmes qui ne pouvaient pas être corrigés ont été isolés ou contrôlés d’une autre manière.
LeGuide de planification de la gestion des correctifs d’entreprisedu NIST a ensuite présenté l’application des correctifs comme une maintenance préventive plutôt que comme un rituel de sécurité étroit. C’est exactement le langage dont le cas du NHS avait besoin. Les hôpitaux effectuent une maintenance préventive sur les équipements physiques parce qu’une interruption de service peut nuire aux patients. Les équipements numériques devraient être régis avec le même sérieux opérationnel. Un poste de travail, un partage de fichiers, un système d’imagerie ou une application locale fait partie de la prestation de soins lorsque sa défaillance annule des soins.
Leguide de gestion de la configuration axé sur la sécuritédu NIST est également important parce que l’application des correctifs dépend de la connaissance de la configuration. Un organisme de santé ne peut pas gérer ce qu’il ne peut pas voir. Si les enregistrements des actifs sont incomplets, si les variations locales sont inconnues, si les dispositifs médicaux échappent à la gestion standard ou si les contrats des fournisseurs limitent la visibilité, le processus de correction commence dans l’incertitude. WannaCry a exploité une vulnérabilité technique, mais l’incertitude a amplifié les dommages opérationnels.
La norme de responsabilité devrait donc traiter chaque système non pris en charge comme un enregistrement de risque écrit. Qui l’accepte? Pourquoi est-il encore nécessaire? Quel est le contrôle compensatoire? Quel service aux patients en dépend? Que se passe-t-il s’il doit être déconnecté? Quelle est la date de remplacement? Quel test prouve que la solution de contournement est sûre? Si ces questions restent sans réponse, le risque est déjà passé de l’informatique aux soins.
Les directives nationales ne réussissent que lorsque des preuves locales reviennent
Les autorités nationales de cybersécurité ne manquaient pas de directives. Le guide du NCSC surl’atténuation des attaques de malware et de ransomware, les documents stratégiques ultérieurs du secteur de la santé et les alertes de NHS Digital pointent tous vers des contrôles familiers: correctifs, sauvegardes, anti-malware, segmentation, sensibilisation des utilisateurs, planification de la reprise et signalement des incidents. Le problème était la distance entre les directives et la préparation locale vérifiée.
Lastratégie de cybersécurité pour la santé et les soins sociaux: 2023 à 2030du Department of Health and Social Care et la page de stratégie plus complète,A cyber resilient health and adult social care system in England, montrent que WannaCry est resté un point de référence pour les politiques ultérieures. L’annonce du gouvernement sur la protection du NHS contre les cyberattaques,Government sets out strategy to protect NHS from cyber attacks, a placé la résilience dans le langage des services et des patients plutôt que dans celui des réseaux.
Ce cadrage ultérieur est important, mais il ne doit pas transformer WannaCry en anecdote historique. Le problème structurel persiste chaque fois qu’un système de santé national s’appuie sur des organisations locales pour traduire les directives centrales en preuves de correctifs. Les directives centrales ont besoin d’une boucle de rétroaction.
Les organismes locaux devraient pouvoir signaler non seulement qu’ils ont reçu une alerte, mais aussi combien d’actifs pertinents ont été vérifiés, combien ont été corrigés, combien n’ont pas pu être corrigés, quels contrôles temporaires ont été appliqués, quels domaines cliniques sont restés exposés et quand le risque a été clos.
Ce rapport devrait être utilisable par des dirigeants qui ne sont pas des spécialistes techniques. Un conseil d’administration n’a pas besoin d’une liste de chaque clé de registre. Il a besoin de savoir si l’organisation a des systèmes d’exploitation non pris en charge dans les zones cliniques, si les correctifs critiques sont vérifiés, si les systèmes de diagnostic dépendent d’exceptions des fournisseurs, si un exercice de ransomware a testé le repli des soins et si la prochaine panne entraînera des annulations pour les patients.
Les organismes nationaux doivent également savoir si l’assurance locale est réelle. Un tableau de bord national qui recueille des auto-attestations optimistes sans échantillonnage ni contestation peut créer du confort plutôt que de la sécurité. Un modèle d’assurance utile combinerait l’auto-déclaration, des contrôles indépendants, des exercices d’incidents, un échantillonnage des actifs et des conséquences pour les exceptions non gérées. L’objectif n’est pas la punition pour elle-même. L’objectif est que les patients ne peuvent pas inspecter eux-mêmes la gouvernance des correctifs.
Les soins annulés sont la mesure de continuité qui ne peut être cachée
La mesure publique la plus importante de WannaCry n’était pas le nombre de fichiers chiffrés. C’était les soins qui n’ont pas eu lieu. La stratégie de cybersécurité pour la santé et les soins au Royaume-Uni indique que l’attaque a coûté 92 millions de livres au NHS après l’annulation de plus de 19 000 rendez-vous, en utilisant le Public Accounts Committee et les archives publiques connexes comme cadre de référence. L’article universitaire rétrospectifA retrospective impact analysis of the WannaCry cyberattack on the NHS in Englanda examiné plus en détail les schémas de perturbation et l’impact sur les services de santé. Ces documents transforment l’incident en un cas de responsabilité pour les annulations.
Les rendez-vous annulés ne sont pas du bruit administratif. Ils peuvent signifier des diagnostics retardés, des traitements retardés, une anxiété supplémentaire, des frais de transport, du temps d’absence au travail, une perte de salaire, des tâches de soins supplémentaires et une pression accrue sur le personnel. Certaines annulations peuvent présenter un faible risque clinique; d’autres non. La réponse responsable doit donc distinguer le volume de la gravité. Un rendez-vous de routine annulé et un résultat de diagnostic urgent perturbé sont tous deux importants, mais pas de la même manière.
C’est là que les solutions de contournement cliniques doivent être évaluées. Les processus papier, la prise de rendez-vous manuelle, la communication téléphonique, le triage local et l’improvisation du personnel peuvent protéger les patients pendant une panne. Mais ils créent des tâches de rapprochement ultérieures. Le rendez-vous a-t-il été reporté? L’orientation a-t-elle été suivie? Les résultats ont-ils été associés au bon patient? Les dossiers papier ont-ils été saisis avec précision? L’arriéré a-t-il caché des risques? Les patients vulnérables ont-ils été contactés?
Le personnel avait-il des instructions claires sur ce qui pouvait se poursuivre?
Le dossier destiné au patient doit survivre à l’incident cyber. Si un trust sait quels systèmes étaient hors service mais ne peut pas dire quels patients ont vu leurs soins retardés, il ne dispose que de la moitié des preuves. Le dossier de correctifs et le dossier d’annulation vont de pair. L’un explique pourquoi le risque existait; l’autre explique qui l’a subi.
Cette connexion modifie également les incitations. Si la dette de correctifs n’est signalée que comme un arriéré technique, les dirigeants peuvent la sous-estimer. Si la dette de correctifs est signalée avec des conséquences sur la continuité des soins, elle devient un élément de risque de service. « Trente systèmes non corrigés » est moins significatif que « trente systèmes non corrigés prennent en charge les rapports de radiologie, la réservation des consultations externes et l’administration des services d’urgence ». La deuxième affirmation oblige à assumer la responsabilité.
Typographie
La typographie est l’art et la technique d’agencer les caractères pour rendre le texte lisible, agréable à lire et visuellement attrayant. Elle implique le choix des polices, des tailles de points, de la longueur des lignes, de l’interlignage et de l’espacement des lettres.
- La typographie est née de l’invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
- Les éléments clés incluent le choix des polices, le crénage, l’approche et l’interlignage.
- Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans le design.
La réponse aux incidents doit préserver les soins, les preuves et la confiance
LeGuide de gestion des incidents de sécurité informatiquedu NIST décrit la préparation, la détection, l’analyse, le confinement, l’éradication et la reprise. LeGuide pour la reprise après un événement de cybersécuritédu NIST se concentre sur la restauration des capacités et la validation de la reprise. LeGuide de planification d’urgence pour les systèmes d’information fédérauxdu NIST ajoute la planification de la continuité. Il ne s’agit pas de conclusions d’incident du NHS, mais ils aident à définir ce que le cas du NHS exigeait: une réponse aux incidents qui ne séparait pas le confinement technique de la continuité des soins.
Le confinement peut être nécessaire et néanmoins préjudiciable. Dans le cas de WannaCry, certaines organisations ont été infectées, tandis que d’autres ont arrêté des appareils ou des systèmes par précaution. C’est une réponse rationnelle lorsque l’ampleur et le cheminement d’une épidémie sont incertains. Mais l’arrêt préventif doit néanmoins être mesuré. Quels services aux patients se sont arrêtés parce que les systèmes infectés étaient indisponibles? Lesquels se sont arrêtés parce que les dirigeants ne pouvaient pas prouver que les systèmes étaient sûrs?
Lesquels se sont arrêtés parce que les instructions nationales ou locales n’étaient pas claires? Lesquels ont continué en toute sécurité grâce à des procédures de temps d’arrêt?
Les preuves doivent être préservées pendant que les équipes d’intervention agissent rapidement. Les journaux, les enregistrements des actifs, les preuves de correctifs, les décisions locales, les communications, les listes d’annulation et les réponses des fournisseurs comptent tous par la suite. Si l’organisation restaure les systèmes mais perd la trace des décisions, elle ne peut pas tirer des leçons précises. Si elle préserve les détails d’investigation mais perd la trace de l’impact sur les patients, elle ne peut pas rendre compte aux personnes lésées.
Leguide StopRansomwaredu CISA fournit un cadre de résilience plus large: sauvegardes, segmentation, contrôle d’accès, signalement des incidents et planification de la reprise. Dans le contexte du NHS, ces contrôles devraient être traduits en termes cliniques. Une sauvegarde n’est pas seulement une copie de données; c’est la capacité de restaurer la planification, les diagnostics, l’aide à la prescription et les communications. La segmentation n’est pas seulement une conception de réseau; c’est la capacité d’empêcher qu’une zone infectée n’entraîne la fermeture de soins non liés. Le signalement n’est pas seulement un devoir de sécurité; c’est le début de l’entraide au sein du système de santé.
La confiance dépend de la même intégration. Les patients et le personnel n’ont pas besoin de détails d’investigation sensibles. Ils ont besoin d’informations crédibles sur l’impact sur les services, les priorités de sécurité, les systèmes restaurés et la reprogrammation. La réponse responsable aux incidents doit montrer que les soins n’ont pas été une réflexion après coup par rapport à la récupération des postes de travail.
Les dispositifs de diagnostic ont transformé la gestion des correctifs en gouvernance des fournisseurs
L’examen de NHS England a noté des préoccupations concernant les dispositifs de diagnostic et la nécessité de comprendre quels systèmes étaient affectés, sûrs et disponibles. Ce détail est crucial car la gouvernance des correctifs dans le domaine de la santé se heurte souvent à des contraintes de fournisseurs et d’appareils. Un hôpital peut ne pas être libre de corriger un appareil sans le soutien du fournisseur. Un appareil peut être techniquement ancien mais cliniquement essentiel. Une mise à jour logicielle peut nécessiter une validation avant utilisation. Un service peut n’avoir qu’une capacité alternative limitée.
Ces contraintes sont réelles, mais elles créent également un devoir de gouvernance. Un trust ne devrait pas découvrir lors d’un événement de ransomware qu’il ne peut pas corriger, isoler ou remplacer en toute sécurité un appareil qui soutient les soins aux patients. Les achats, la gestion des contrats, la cybersécurité, l’ingénierie clinique et la direction des services ont tous besoin d’un dossier partagé. Quel est l’appareil? Quel système d’exploitation utilise-t-il? Qui peut le corriger? Quel contrat exige le soutien du fournisseur? De quel accès réseau a-t-il besoin? De quel service aux patients dépend-il?
Quel est le plan de temps d’arrêt? Quel est le plan de remplacement?
C’est là que le cycle de vie des logiciels et la dépendance vis-à-vis d’un fournisseur deviennent des problèmes de responsabilité publique. Si une relation avec un fournisseur empêche un organisme de santé de mettre à jour rapidement un système clinique, le risque ne reste pas privé entre l’acheteur et le vendeur. Ce sont les patients qui le supportent. Les contrats devraient exiger des mises à jour de sécurité, un support de journalisation, la divulgation des vulnérabilités, la coopération en cas d’incident et des engagements clairs en matière de fin de vie.
Les achats devraient traiter la maintenabilité informatique comme faisant partie de la sécurité clinique.
La décision de correction doit également respecter le risque clinique. Un correctif précipité peut casser un système clinique. Un correctif retardé peut l’exposer. La réponse responsable n’est pas l’application aveugle de correctifs. C’est une gouvernance des correctifs testée, hiérarchisée et classée par risque, avec une implication clinique. Les systèmes critiques devraient avoir des chemins de test. Les systèmes non pris en charge devraient avoir des contrôles compensatoires. Les vulnérabilités à haut risque devraient avoir des règles de décision d’urgence. Les exceptions ne devraient pas dériver indéfiniment.
WannaCry a montré le coût de la dérive non gérée. Si les organismes locaux ne peuvent pas expliquer les exceptions des appareils avant un incident, ils auront du mal à prendre des décisions sûres pendant celui-ci. La norme de réparation n’est donc pas seulement « installer les correctifs plus rapidement ». C’est « construire un système de maintenance des services de santé où les correctifs, les contraintes des fournisseurs, la validation clinique et la continuité des soins aux patients sont régis ensemble ».
L’assurance du conseil d’administration doit relier les mesures cyber aux mesures de service
Les mesures cyber échouent souvent devant les conseils d’administration parce qu’elles sont trop techniques ou trop abstraites. Un rapport du conseil indiquant « la conformité des correctifs est de 87 % » peut sembler rassurant tout en cachant le fait que les 13 % restants incluent des systèmes soutenant les soins d’urgence, la pathologie, la radiologie, la réservation ou l’intégration des soins primaires. Un rapport du conseil indiquant « tous les systèmes critiques ont testé les procédures de temps d’arrêt et vérifié l’état des correctifs » est plus utile, même si le chiffre est moins net.
Les dossiers du Public Accounts Committee et du NAO montrent pourquoi l’assurance était importante. Le NHS disposait d’organismes nationaux, d’organisations locales, de directives, d’alertes et de connaissances techniques, mais l’épidémie a néanmoins causé une perturbation importante des soins. Cela ne signifie pas que tous les conseils d’administration ont fait preuve de négligence. Cela signifie que le modèle d’assurance n’était pas assez solide pour prouver l’état de préparation de l’ensemble du service.
L’assurance du conseil devrait inclure quatre visions liées. La première est la vérité des actifs: quels systèmes, appareils, systèmes d’exploitation et dépendances existent. La deuxième est la vérité de la maintenance: ce qui a été corrigé, ce qui ne peut pas être corrigé, ce qui n’est pas pris en charge et quels contrôles compensatoires s’appliquent. La troisième est la vérité des soins: quels services aux patients dépendent de ces systèmes et que se passe-t-il s’ils sont indisponibles. La quatrième est la vérité des exercices: si les dispositions de temps d’arrêt ont été testées avec les personnes qui les utiliseront.
Ces visions ne devraient pas être une décoration annuelle. Elles devraient être suffisamment vivantes pour étayer les décisions d’urgence. Si une nouvelle vulnérabilité vermiforme apparaît, les dirigeants devraient savoir en quelques heures quels systèmes sont exposés, quels domaines de soins sont impliqués et quelles mesures d’atténuation sont disponibles. Si des directives nationales sont émises, les conseils locaux devraient recevoir une mise à jour des risques qui soit significative en termes de services.
Si un fournisseur ne peut pas prendre en charge un correctif, l’exception ne devrait pas rester invisible dans une file d’attente technique.
L’assurance devrait également inclure une remise en question interne. Un trust peut se demander: si WannaCry se reproduisait aujourd’hui sous un autre nom, que saurions-nous d’ici midi, que devrions-nous encore deviner et quels services aux patients seraient protégés? Si la réponse dépend d’une improvisation héroïque, l’organisation n’a pas terminé le travail.
La communication publique doit distinguer l’infection, la précaution et l’impact sur les patients
Lors d’une épidémie de ransomware, le langage public peut brouiller des catégories importantes. « Affecté » peut signifier infecté par un malware, déconnecté par précaution, incapable d’accéder à un système partagé, contraint à des processus papier ou perturbé par la panne d’une autre organisation. Ces différences sont importantes pour la confiance des patients et pour la réparation ultérieure. Un service de santé devrait expliquer, à un niveau sûr, si la perturbation provient du chiffrement du ransomware, de l’isolement préventif, de la dépendance vis-à-vis d’un fournisseur, de l’incertitude diagnostique ou de l’interconnexion régionale.
La distinction du NAO entre les organisations infectées et les organisations affectées par des mesures de précaution est un modèle public utile. Elle évite à la fois la sous-déclaration et la sur-déclaration. Si un trust n’a pas été infecté mais a dû arrêter un service parce qu’il ne pouvait pas prouver sa sécurité, il s’agit quand même d’un impact sur le service. Si un cabinet de médecine générale a perdu l’accès aux systèmes en raison d’un confinement plus large, les patients ont néanmoins subi une perturbation.
Si un dispositif de diagnostic a été mis hors tension pendant que des contrôles de sécurité étaient effectués, il s’agit d’un événement de continuité clinique même sans chiffrement.
Les patients ont également besoin d’une communication pratique. Quels rendez-vous sont annulés? Quels services d’urgence restent ouverts? Comment la reprogrammation aura-t-elle lieu? Que doivent faire les patients s’ils n’ont pas de nouvelles? Quelles lignes téléphoniques ou sites Web sont fiables? Comment le service protégera-t-il les personnes qui pourraient manquer les avis? Un incident cyber crée de l’anxiété; des mises à jour vagues l’augmentent.
La communication publique doit également éviter de considérer la reprise informatique comme terminée une fois les systèmes redémarrés. L’arriéré, la reprogrammation, le rapprochement et l’examen de sécurité peuvent se poursuivre. Un patient qui a perdu un rendez-vous a besoin de clôture, pas seulement d’une déclaration selon laquelle les systèmes sont restaurés. Le personnel a besoin de la même clarté. Si des dossiers papier ont été utilisés, ils doivent savoir comment les rapprocher. Si les diagnostics ont été retardés, ils ont besoin de règles de priorisation.
Le public n’a pas besoin de chaque détail technique. Il a besoin de catégories claires et d’un calendrier honnête. « Certains services ont été mis en pause par précaution pendant que les systèmes étaient vérifiés » est plus utile qu’un langage générique sur les perturbations. « Les rendez-vous affectés sont reprogrammés selon la priorité clinique » est plus utile que des excuses générales. La responsabilité est en partie la capacité de parler avec précision lorsque le système est sous tension.
L’automatisation de la sécurité doit soutenir le jugement local, pas le remplacer
Le sujet manifeste de l’automatisation de la sécurité est important car WannaCry peut être interprété à tort comme un simple échec de l’automatisation des correctifs. L’automatisation est importante. L’analyse des vulnérabilités, la gestion des postes de travail, la surveillance de la configuration, le déploiement de logiciels, la corrélation des alertes et la découverte des actifs peuvent réduire la distance entre un avertissement national et l’action locale. Ils peuvent identifier les systèmes non corrigés plus rapidement que les listes manuelles.
Ils peuvent aider les dirigeants à voir le risque avant qu’une attaque ne devienne une interruption de service.
Mais l’automatisation ne supprime pas le jugement local. Un hôpital doit encore décider comment corriger un système clinique, comment se coordonner avec un fournisseur, comment planifier les temps d’arrêt, comment tester un appareil et comment préserver les soins si un système doit être isolé. Les outils automatisés peuvent signaler l’exposition; ils ne peuvent pas décider à eux seuls si une clinique externe doit fonctionner sur papier, si la capacité de radiologie doit être redéfinie ou si une exception fournisseur doit être remontée au conseil d’administration.
C’est pourquoi les preuves d’automatisation doivent être associées à des preuves de décision humaine. L’organisation doit savoir quand une vulnérabilité a été détectée, quand un correctif a été déployé, quels systèmes ont échoué au déploiement, qui a examiné les exceptions, quel risque a été accepté, ce qui a été communiqué aux responsables cliniques et quand la clôture a été vérifiée. L’automatisation peut créer une piste horodatée, mais la piste doit être reliée à la gouvernance.
L’automatisation de la sécurité peut également révéler une vérité inconfortable. Elle peut montrer que les enregistrements des actifs sont erronés, que les administrateurs locaux ont des appareils non gérés, que les systèmes non pris en charge sont plus nombreux que prévu ou que les appareils connectés aux fournisseurs échappent aux contrôles standard. Cet inconfort est utile. Il vaut mieux apprendre par une analyse interne que par une épidémie de ransomware.
La question de la réparation du NHS n’est donc pas de savoir si chaque correctif doit être automatique. Il s’agit de savoir si le service de santé dispose d’une visibilité automatisée suffisante pour soutenir des décisions locales rapides et sûres. Dans le domaine de la santé, le bon objectif n’est pas la vitesse maximale à elle seule. C’est une maintenance vérifiée qui protège les patients.
La question responsable est de savoir si les preuves de correctifs protègent les soins
Les inconnues résiduelles restent importantes. Le dossier public ne montre pas toutes les listes d’actifs locaux, toutes les décisions de correctifs, toutes les exceptions pour les systèmes non pris en charge, toutes les contraintes des dispositifs de diagnostic, toutes les solutions de contournement cliniques ou tous les enregistrements de rapprochement des annulations. Il en montre suffisamment pour définir le test. Une vulnérabilité connue avait un correctif. L’épidémie a atteint ou affecté de nombreuses organisations du NHS. Certains services ont été annulés. Les organismes nationaux et locaux ont dû se coordonner.
Les examens ultérieurs ont exigé une cyber-résilience plus forte.
La question responsable n’est pas « qui est la seule personne à blâmer? » C’est « qui avait le contrôle pratique des preuves qui auraient protégé les soins?
» Cela inclut les dirigeants nationaux responsables de la stratégie et de l’assurance, les équipes de NHS Digital responsables des alertes et du support technique, les conseils d’administration locaux responsables de l’acceptation des risques, les équipes informatiques responsables du déploiement des correctifs et de l’inventaire, les responsables cliniques responsables des décisions de temps d’arrêt, les fournisseurs responsables de la maintenabilité des systèmes et les auditeurs chargés de remettre en question une assurance faible.
Pour les patients, la réponse devrait apparaître comme une fiabilité. Ils ne devraient pas avoir besoin de connaître le nom d’une vulnérabilité Windows pour avoir confiance qu’un hôpital peut maintenir ses systèmes. Ils ne devraient pas avoir besoin de comprendre les ports SMB pour s’attendre à ce que les rendez-vous annulés soient suivis et reprogrammés. Ils ne devraient pas avoir besoin de décortiquer la frontière entre les organismes nationaux et locaux pour savoir que quelqu’un assume le risque.
Le cas NHS WannaCry doit donc être retenu comme un test de responsabilité pour l’annulation des soins. Il s’agissait d’un incident cyber, mais sa signification publique était plus large: la gouvernance des correctifs d’un service de santé doit être suffisamment bonne pour protéger les traitements, les diagnostics, la communication et le rétablissement. Si les preuves de correctifs ne peuvent pas être liées à la continuité des patients, ce ne sont pas encore des preuves de service de santé. Ce ne sont que des documents techniques en attente du prochain incident pour révéler la faille.
Les exceptions de correctifs devraient expirer à moins que les responsables cliniques ne les renouvellent
Une leçon durable est que les exceptions de correctifs ont besoin d’une date d’expiration et d’un propriétaire clinique. Les hôpitaux et les trusts auront toujours des systèmes qui ne peuvent pas être corrigés immédiatement en raison de la validation des fournisseurs, des contraintes des dispositifs médicaux, de l’intégration locale ou du risque de service. Le danger n’est pas l’existence d’exceptions. Le danger est la dérive indéfinie des exceptions.
Si un système reste non corrigé, un conseil d’administration devrait savoir quel service clinique en dépend, quels contrôles compensatoires sont actifs, qui a accepté le risque, quand l’exception sera examinée et quel chemin de remplacement ou d’isolement existe.
Le registre des exceptions devrait être lisible en dehors de l’équipe cyber. Un clinicien devrait comprendre si un système de réservation de consultations externes, une interface de pathologie, un poste de travail de radiologie ou un outil de support des services d’urgence est exposé. Un responsable financier devrait comprendre si le financement du remplacement est différé. Un responsable des achats devrait comprendre si un fournisseur bloque la maintenance en toute sécurité. Un responsable de la sécurité des patients devrait comprendre quelle procédure de temps d’arrêt protégera les soins si le système est isolé.
Sans cette traduction, la dette de correctifs reste un tableur technique jusqu’à ce qu’un ver la transforme en un dossier de soins annulés.
Les organismes nationaux peuvent aider en normalisant les preuves attendues des organisations locales. Un trust ne devrait pas avoir à inventer seul la forme de l’assurance des correctifs. Les directives nationales peuvent définir ce qui doit être signalé pour les systèmes non pris en charge, les vulnérabilités critiques, les correctifs bloqués par les fournisseurs, les dispositifs médicaux et les applications cliniques à fort impact. Elles peuvent également exiger des exercices sur table qui commencent par le retrait du service d’un système local.
L’exercice devrait demander non seulement si le poste de travail est sécurisé, mais aussi si les patients peuvent encore être réservés, diagnostiqués, traités, libérés et contactés.
C’est également là que la communication avec les patients trouve sa place dans le programme de correctifs. Si les dirigeants savent déjà quels services dépendent de systèmes fragiles, ils peuvent préparer des messages plus clairs avant une crise. Ils peuvent dire aux patients ce qui est retardé, ce qui reste ouvert, quelles alternatives urgentes existent et comment la reprogrammation fonctionnera. C’est bien mieux que d’écrire des mises à jour publiques à partir de zéro alors que le personnel est déjà aux prises avec des malwares, des ordres d’isolement et des dossiers papier.
La mesure finale devrait être les soins protégés par unité de dette de correctifs supprimée. Ce n’est pas une mesure comptable standard, mais c’est le bon instinct de gouvernance. Un programme de correctifs qui réduit l’exposition à haut risque dans les systèmes à faible impact tout en laissant les systèmes hérités cliniquement essentiels mal contrôlés peut sembler bon numériquement et échouer néanmoins au test du service public. WannaCry a montré que le public fait l’expérience de la maintenance informatique à travers les rendez-vous, les diagnostics, les prescriptions, les orientations et la charge de travail du personnel.
La gouvernance des correctifs devrait être notée dans ce langage.
La même notation devrait inclure la reprise des soins différés. Si un échec de correctif contribue à des rendez-vous annulés, le dossier de réparation ne devrait pas se clore lorsque les postes de travail sont corrigés. Il devrait se clore lorsque les patients sont reprogrammés, les cas urgents sont priorisés, les dossiers papier sont rapprochés et les responsables cliniques peuvent montrer que l’arriéré créé par l’événement cyber a été traité. C’est la différence entre la clôture technique et la clôture du service public.
La gouvernance des correctifs devrait également rendre visibles les variations locales. Certains trusts peuvent avoir des inventaires plus solides, de meilleurs accords avec les fournisseurs ou des processus de temps d’arrêt plus répétés. D’autres peuvent transporter d’anciens systèmes avec des contrôles plus faibles. L’assurance nationale ne devrait pas faire la moyenne de ces différences pour se rassurer. Elle devrait identifier où les patients sont les plus exposés et y diriger l’aide en premier.
La leçon de responsabilité publique de WannaCry est qu’un service national peut échouer de manière inégale tout en créant un problème de confiance national.
L’entraide doit inclure une capacité technique et clinique
Le NHS n’est pas une machine unique. Lors d’un incident cyber, certaines organisations peuvent être infectées, d’autres isolées, d’autres surchargées et d’autres encore capables d’aider. L’entraide doit donc être planifiée à la fois comme une ressource clinique et technique. Un trust voisin peut accepter des patients, partager une capacité de diagnostic, soutenir les communications ou prêter du personnel expérimenté. Une équipe technique nationale peut aider au confinement, à la reconstruction, à la découverte d’actifs ou à la vérification des correctifs. La question responsable est de savoir si ces voies sont connues avant l’événement.
L’entraide peut échouer si l’organisation qui reçoit ne comprend pas les données, les dossiers papier, le contexte d’orientation ou le statut de risque de l’organisation qui envoie. Elle peut également échouer si les responsables cliniques ne savent pas quels services peuvent être détournés en toute sécurité. Un manuel de cyber-réponse devrait donc inclure des règles de transfert clinique, des modèles de partage d’informations, des garanties de protection des données et des niveaux de confiance technique. Il devrait dire non seulement qui peut aider, mais aussi quelles preuves sont nécessaires pour que cette aide soit sûre.
C’est une autre raison pour laquelle l’assurance des correctifs appartient au langage des services. Si un hôpital perd une fonction de diagnostic, les dirigeants régionaux doivent savoir si un autre site peut absorber le travail urgent, si les dossiers des patients peuvent voyager, si les résultats peuvent être renvoyés et si la solution de contournement crée un risque pour la vie privée ou la sécurité. Ces décisions nécessitent des inventaires fiables et des voies de communication. Elles ne peuvent pas être improvisées à partir de listes isolées de postes de travail.
WannaCry a montré qu’une faiblesse technique locale peut devenir un problème de soins régional. La norme de réparation devrait donc inclure des répétitions d’entraide où un site perd des systèmes clés et un autre site doit continuer les soins. L’exercice devrait mesurer le flux de patients, le transfert des dossiers, la charge du personnel et la clôture des soins différés. Cela transforme la résilience d’une mesure individuelle de trust en une capacité du système de santé.
Les arriérés de patients doivent être rapprochés en fonction de la priorité clinique
Les soins annulés ne constituent pas un arriéré uniforme. Un rendez-vous de routine manqué, une analyse diagnostique retardée, une orientation urgente reportée, une prescription interrompue et une intervention chirurgicale différée comportent des risques cliniques différents. Un programme de reprise cyber devrait donc rapprocher les arriérés en fonction de la priorité clinique plutôt que de les traiter uniquement par date de réception. Sinon, le service peut sembler administrativement équitable tout en mettant en échec les patients dont les retards sont médicalement plus graves.
Le dossier des arriérés devrait relier chaque élément annulé ou retardé au système affecté, à la solution de contournement utilisée, au statut de contact avec le patient, à la cote de priorité clinique et au résultat de la clôture. Il devrait également enregistrer les cas où le patient n’a pas pu être joint. L’absence de réponse ne doit pas être considérée comme une résolution. Un service de santé devrait déployer des efforts supplémentaires pour les personnes vulnérables, exclues numériquement ou susceptibles de manquer les avis.
Ce dossier soutient également l’apprentissage public. Si de nombreuses annulations proviennent d’un seul système non pris en charge, ce fait devrait influencer les investissements. Si un service s’est rétabli plus rapidement parce qu’il avait testé des procédures papier, cette pratique devrait être diffusée. Si une contrainte de fournisseur a empêché à plusieurs reprises l’application de correctifs en toute sécurité, les achats devraient changer. Le rapprochement des arriérés de patients n’est donc pas seulement une tâche de reprise. C’est le pont de preuves entre la gouvernance des correctifs et le préjudice subi par les patients.

