L’Amérique subit de multiples attaques

Les hôpitaux de l’oncle Sam ont été la cible de ransomware ces derniers jours, mais pas seulement. Des dizaines d’hôpitaux et de cliniques de Virginie-Occidentale, de l’Ohio et de l’Indiana sont dans l’obligation d’annuler des opérations chirurgicales, à la suite d’infections par ransomware. La journaliste de Fox News, Jacqui Heinrich révèle que le département d’État américain a récemment été touché par une cyberattaque et le Cyber Command du département de la Défense a été informé d’une possible violation grave.

Dans le Midwest, c’est la pagaille depuis quelques jours, car une infection par code malveillant a ciblé plusieurs groupes hospitaliers, dont certains très tôt dans la matinée du 15 août 2021. Selon son site Web, l’attaque a entraîné des perturbations dans les opérations cliniques et financières, a déclaré Memorial Health System (MHS) dans un communiqué du 18 août. « Nous sommes constitués d’un réseau de sites et de spécialités fournis par plus de 3 000 employés qui comprennent trois hôpitaux (Marietta Memorial Hospital, Selby General Hospital et Sistersville General Hospital), des sites de services ambulatoires et des cliniques de prestataires », explique Scott Cantley, président-directeur général de MHS. En effet l’ensemble hospitalier regroupe 325 prestataires représentant 64 cliniques, réparties dans le sud-est de l’Ohio et dans certaines parties de la Virginie occidentale, est retourné au papier et crayon. « Le maintien de la sécurité de nos patients et de leurs soins est notre priorité absolue et nous faisons tout notre possible pour minimiser les perturbations, déclare le 15 août 2021 le PDG. Le personnel de nos hôpitaux – Marietta Memorial, Selby et Sistersville General Hospital – travaille avec des dossiers papier pendant que les systèmes sont restaurés et les données récupérées. »

La conséquence correspond à ce que des dizaines d’hôpitaux et de cliniques de Virginie-Occidentale et de l’Ohio annulent des opérations chirurgicales et détournent des ambulances. En effet, l’attaque par ransomware a privé le personnel de l’accès aux systèmes informatiques dans la quasi-totalité de leurs activités. « Nous continuerons à accepter : STEMI, STROKE et TRAUMA à l’hôpital Marietta Memorial, ont déclaré les responsables dans un communiqué. Il est dans l’intérêt de tous les autres patients d’être transportés vers l’établissement le plus proche. Si tous les hôpitaux de la région sont déviés, les patients seront transportés au service d’urgence le plus proche du lieu de l’urgence. Cette déviation se poursuivra jusqu’à ce que les systèmes informatiques soient rétablis. »

C’est à partir de minuit dimanche 15 août 2021 que les trois hôpitaux ont commencé à transférer les patients en urgence au Camden Clark Medical Center. Cet établissement qui se trouve à une heure de route du Sistersville General compte 25 lits. Camden Clark se situe à environ 25 minutes de route des deux autres hôpitaux du MHS touchés. Une dernière institution touchée, qui dispense des soins intensifs, est une salle d’urgence autonome du Belpre Medical Campus à Belpre, dans l’Ohio. La plupart des établissements du consortium ont également annulé toutes les opérations chirurgicales et les examens radiologiques non urgents pour lundi et conseillent aux patients qui ont un rendez-vous avec un chirurgien ou un spécialiste lundi d’appeler à l’avance.

« Les soins aux patients ont continué à être notre priorité absolue, ajoute M. Cantley. Bien que plusieurs de nos systèmes aient été en panne, nous avons mis en place des processus solides pour maintenir des soins aux patients sûrs et efficaces. Nous réagissons collectivement conformément à notre processus et à nos politiques bien planifiés pour ce type d’événement. » Pour l’instant, aucune information personnelle ou financière d’un patient ou d’un employé n’a été compromise. MHS a parlementé avec les attaquants avec l’aide du FBI, de Homeland Security et des compagnies d’assurance, a déclaré Jennifer Offenberger, vice-présidente du groupement, lors d’une interview à FOX Business, ajoutant que « c’était un ransomware. Nous avons une solution négociée ».

L’hôpital Eskenazi asservi par ransomware

Eskenazi Health est un prestataire de services de santé qui exploite un hôpital de 315 lits, des établissements d’hospitalisation et des centres de santé communautaires à Indianapolis, aux États-Unis. Ils ont été victimes d’une attaque par ransomware le 11 août 2021, vers 3 h 30 du matin. La gravité de l’attaque l’a conduit à refuser des ambulances, et ainsi à détourner des patients vers d’autres hôpitaux, dès 7 h 51. Toutefois, l’autorité sanitaire a déclaré qu’aucune donnée concernant les employés ou les patients n’avait été compromise, écrivait le docteur Tim Sandle, le 11 août 2021. Or, depuis, les opérateurs de « Vice Society » affichent les données médicales complètes (voir ci-dessous). Bien que l’hôpital accepte, les patients qui se présentent d’eux-mêmes au service des urgences et les accouchements, les ambulances sont toujours invitées à se rendre ailleurs, a déclaré le porte-parole de l’hôpital Todd Harper.

Gary Ogasawara, directeur technique de Cloudian, indique que ce genre d’attaque met à rude épreuve un secteur déjà mis à mal par la situation actuelle : « Les organisations chargées de protéger la vie des patients n’ont pas le temps de s’inquiéter de cybermenaces qui pourraient mettre à mal l’ensemble de leur système. » L’offensive démontre que de nouvelles approches sont nécessaires pour empêcher (ou réduire les impacts) que ce type d’incident ne se produise à l’avenir. Selon Ogasawara : « Malgré les efforts considérables déployés par le secteur de la santé pour se défendre contre ces menaces, cet événement illustre la réalité : les défenses traditionnelles, telles que les solutions de sécurité périmétrique, sont inévitablement insuffisantes face à des attaques de ransomware de plus en plus sophistiquées. » Les attaques de type ransomware contre les hôpitaux sont devenues de plus en plus fréquentes ces dernières années et les systèmes de soins de santé et hospitaliers sont parmi les plus durement touchés des industries. En France, c’est le centre hospitalier d’Arles qui était touché par une infection virulente d’après Le Parisien. Qui plus est par les mêmes opérateurs derrière le ransomware « Vice Society », un accord aurait peut-être été conclu, car l’hôpital français n’apparaît plus sur le site de fuites ce dimanche 22 août 2021. « C’est la première fois qu’Eskenazi subit une cyberattaque de ce type. Si un patient a un rendez-vous ou une procédure prévue, et qu’il doit être reprogrammé, l’hôpital le contactera », a déclaré Todd Harper.

Au chevet d’un patient très important

Samedi 21 août 2021, la journaliste, Jacqui Heinrich, de Fox news révèle que le département d’État américain a récemment été touché par une « cyberattaque » et le Cyber Command du département de la Défense a été informé d’une possible violation grave. La date de la découverte de la faille n’est pas précisée, pour autant il semble qu’elle est eu lieu il y a quelques semaines, selon le fil Twitter de la journaliste.

Sans confirmer un quelconque incident, une source bien renseignée a déclaré à Reuters que le département d’État n’avait pas connu de perturbations importantes et que ses opérations n’avaient pas été entravées de quelque manière que ce soit. À savoir que la mission en cours du département d’État visant à évacuer les Américains et les réfugiés alliés en Afghanistan « n’a pas été affectée ». On ne sait pas exactement quand la violation a été découverte, mais on pense qu’elle s’est produite il y a quelques semaines. L’étendue de la brèche, l’enquête sur l’entité suspectée d’être à l’origine de cette brèche, les efforts déployés pour l’atténuer et tout risque permanent pour les opérations restent flous. « Le Département prend au sérieux sa responsabilité de protéger ses informations et prend continuellement des mesures pour s’assurer que les informations sont protégées. Pour des raisons de sécurité, nous ne sommes pas en mesure de discuter de la nature ou de la portée de tout incident présumé de cybersécurité à l’heure actuelle », a déclaré un porte-parole du département d’État dans un communiqué. Le département d’État a été touché par une cyberattaque, et le Cyber Command du département de la défense a été informé d’une possible violation grave.