Un piratage informatique dans un hôpital a été lié à la mort d’un patient

Les cyberattaques sont problématiques dans le meilleur des cas, mais elles peuvent parfois prendre une tournure bien plus sombre.

Exemple concret : les autorités britanniques viennent d’établir un lien entre une attaque par rançongiciel et la mort d’un patient.

L'attaque, qui a eu lieu en juin 2024 et a été largement rapportée à l'époque, a ciblé les services de transfusion sanguine du NHS dans les hôpitaux et les cabinets médicaux de Londres et a perturbé plus de 10 000 rendez-vous.

À la suite d'un examen spécial des soins prodigués au patient, mené par le King's College Hospital NHS Foundation Trust, il a été conclu que divers facteurs avaient contribué au décès du patient, parmi lesquels une longue attente du résultat d'un test sanguin – une attente découlant de la perturbation causée par la cyberattaque.

« L'enquête sur l'incident de sécurité des patients a identifié un certain nombre de facteurs contributifs qui ont conduit au décès du patient », a déclaré un porte-parole de l'établissement dans des commentaires rapportés par la BBC , ajoutant : « Cela comprenait une longue attente pour un résultat d'analyse sanguine en raison de la cyberattaque qui a eu un impact sur les services de pathologie à l'époque. »

L'attaque par ransomware visait le fournisseur de services de pathologie Synnovis et a été attribuée au groupe de pirates informatiques Qilin basé en Russie.

Cette violation a gravement perturbé les soins aux patients, entraînant l’annulation de plus de 1 000 opérations et rendez-vous ambulatoires, et a provoqué une pénurie critique de sang de type O dans les hôpitaux londoniens.

Outre les impacts opérationnels, près de 400 Go de données sensibles – notamment les noms des patients, les numéros NHS et les détails des analyses sanguines – ont été volés et publiés en ligne.

Qilin a déclaré à la BBC que, bien que désolé pour les dommages causés, il n'en reconnaissait pas la responsabilité. Le groupe a tenté de justifier l'attaque par une manifestation politique, affirmant qu'elle avait été menée en représailles aux actions du gouvernement britannique dans une guerre qu'il a refusé de nommer.

S'adressant au Financial Times , le Dr Saif Abed, ancien médecin du NHS et spécialiste en cybersécurité et santé publique, a décrit le décès du patient comme « la pointe de l'iceberg », affirmant qu'il était « presque certain » qu'il y avait eu des décès similaires au fil des ans mais non enregistrés comme tels « en raison d'un manque d'enquêtes officielles ». Abed a ajouté qu'une enquête indépendante sur la sécurité du NHS et la sécurité des patients devrait commencer dès que possible.

Ce n'est pas la première fois qu'une cyberattaque est citée comme facteur contribuant au décès d'un patient. Lors d' un incident tragique survenu en 2022 , une attaque par rançongiciel a chiffré les serveurs de la clinique universitaire de Düsseldorf, en Allemagne, forçant le transfert d'une femme gravement malade vers un autre hôpital situé à 30 kilomètres. Elle est arrivée une heure plus tard, mais est décédée peu après son arrivée.