Une patiente en situation critique n’a pas pu être opérée à temps en raison d’un blocage du service informatique victime d’une cyber-attaque. Il s’agit du premier décès d’un patient après une telle attaque en Europe.
Les cyber-attaques représentent un danger grandissant pour les hôpitaux et la santé de leur patient. En mars, en Belgique, le Centre pour la cyber sécurité avait mis en garde les hôpitaux contre les logiciels de rançon. Voici un an, la clinique André Renard, en province de Liège, avait été victime d’une cyber-attaque tout comme l’hôpital de Rouen qui avait dû payer une rançon pour voir son système être débloqué.
En Allemagne, la semaine passée, ces cyber-attaques ont toutefois viré au drame. En effet, le gouvernement allemand a annoncé la mort d'une patiente prise en charge dans une clinique de Düsseldorf après que l’institution ait connu une attaque informatique. Il s’agit du premier décès d’un patient après une telle attaque en Europe.
Opération bloquée par l’attaque
La clinique a été paralysée, les 11 et 12 septembre dernier, par un logiciel malveillant de type « rançongiciel », qui a bloqué son infrastructure informatique : ordinateurs, boîtes mail, machines connectées, système de portique à badge, appareils pour les opérations....La patiente, qui devait être opérée en urgence à Düsseldorf, est morte lors de son transfert vers un autre hôpital. Elle a été prise en charge une heure plus tard que prévu et n'a pas survécu.
D’après le site d’information allemand RTL, les malfaiteurs ont rapidement retiré leur demande de rançon. Les cybercriminels pensaient avoir touché l’université (le Duesseldorf Heinrich Heine University), et non l’hôpital.
15% pour la sécurité informatique
D’après le site, « cyberguerre.numerama.com », « les malfaiteurs ont exploité une vulnérabilité des produits VPN de Citrix découverte fin 2019, connue sous le nom CVE-2019-19871. Des patchs existent depuis janvier 2020 pour cette vulnérabilité. »
En Allemagne, le gouvernement a stipulé, dans le projet de loi sur l’avenir des hôpitaux, qu’au moins 15 % des fonds demandés doivent être utilisés pour des mesures visant à améliorer la sécurité de l’information.