Attaque par rançongiciel d'Advanced / NHS 111

Une attaque du rançongiciel LockBit 3.0 contre le fournisseur logiciel du NHS, Advanced, a paralysé le service de triage NHS 111 et contraint les soignants à revenir au papier et au crayon, exposant les données de dizaines de milliers de patients et entraînant une amende de 3,07 millions de livres de l'ICO.

Le 4 août 2022, Advanced, important fournisseur de logiciels et d'hébergement du National Health Service britannique, a été frappé par le rançongiciel LockBit 3.0 dans une attaque qui s'est propagée à travers le système de santé britannique et a contraint les soignants à revenir au papier et au crayon.

Ce qui s'est passé

Les attaquants ont pénétré via un compte client dépourvu d'authentification multifacteur, puis ont déployé LockBit 3.0. Advanced a détecté l'intrusion le 4 août et a immédiatement déconnecté une partie de son infrastructure pour limiter la propagation.

Ce confinement, bien que nécessaire, a mis hors service des systèmes cliniques hébergés dont Adastra — utilisé par environ 85 % des services NHS 111 pour trier les appels urgents non vitaux — ainsi que Carenotes, Caretaker, Crosscare, Odyssey et Staffplan. La perturbation a été suffisamment grave pour que le gouvernement britannique convoque une réunion de crise COBR, craignant l'impact sur les soins aux patients alors que le personnel revenait à la tenue manuelle des dossiers.

Impact

Le service de triage NHS 111 et plusieurs systèmes communautaires et de santé mentale ont été perturbés pendant des semaines, le temps qu'Advanced rétablisse les services.
Les attaquants ont exfiltré des données avant le chiffrement. L'ICO a confirmé par la suite que des données personnelles — numéros de téléphone et dossiers médicaux — de 82 946 personnes avaient été dérobées, dont les modalités d'accès aux domiciles de 890 personnes recevant des soins à domicile.
Advanced a déclaré avoir dépensé environ 18,3 millions de livres en remédiation, avec des coûts supplémentaires l'exercice suivant.

Action réglementaire

En août 2024, l'ICO a annoncé son intention provisoire d'infliger à Advanced une amende de 6,09 millions de livres, estimant que l'entreprise n'avait pas mis en œuvre de mesures appropriées — notamment une authentification multifacteur complète et une analyse des vulnérabilités en temps voulu — avant l'attaque. En mars 2025, l'ICO a finalisé une sanction réduite de 3,07 millions de livres, tenant compte de la coopération d'Advanced et du règlement amiable.

Pourquoi c'est important

L'incident Advanced est un exemple britannique marquant du risque de chaîne d'approvisionnement dans la santé : la compromission d'un seul fournisseur d'hébergement a dégénéré en panne nationale du triage d'urgence, démontrant comment une dépendance concentrée envers un fournisseur peut mettre en danger la sécurité des patients. L'absence d'authentification multifacteur sur un seul compte comme point d'entrée en a fait un cas d'étude récurrent dans les recommandations du NHS et de l'ICO sur la sécurité des fournisseurs et les contrôles d'accès élémentaires.

Chronologie

4 août 2022

Advanced détecte l'attaque du rançongiciel LockBit 3.0 et déconnecte une partie de son infrastructure ; le NHS 111 et d'autres services de santé sont perturbés.

1 août 2022

Le NHS déclenche une réunion de crise COBR tandis que les soignants reviennent au papier et au crayon dans les services touchés.

13 octobre 2022

Il est confirmé que les attaquants ont exfiltré des données clients, dont des dossiers de patients, avant le chiffrement.

14 octobre 2022

L'attaque est publiquement confirmée comme étant LockBit 3.0, entrée via un compte client sans authentification multifacteur.

7 août 2024

L'ICO annonce son intention provisoire d'infliger à Advanced une amende de 6,09 millions de livres pour manquements à la sécurité.

26 mars 2025

L'ICO finalise une amende réduite de 3,07 millions de livres à l'encontre d'Advanced.

Sources

therecord.mediahttps://therecord.media/advanced-fined-3-million-ransomware-attack-ico

computerweekly.comhttps://www.computerweekly.com/news/366599880/Advanced-faces-fine-over-LockBit-attack-that-crippled-NHS-111

theregister.comhttps://www.theregister.com/2022/10/14/nhs_software_hosting_provider_advanced_ransomware_lockbit/

digitalhealth.nethttps://www.digitalhealth.net/2022/10/client-data-exfiltrated-advanced-nhs-cyber-attack/

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/uk-fines-software-provider-307-million-for-2022-ransomware-breach/

Incidents liés

RançongicielContenu10 janvier 2023

Rançongiciel LockBit contre Royal Mail

Des affiliés de LockBit ont chiffré les systèmes d'exportation internationale de Royal Mail, paralysant tous les services postaux vers l'étranger depuis le Royaume-Uni pendant six semaines. Royal Mail a publiquement refusé la demande de rançon de 65,7 M£ ; LockBit a divulgué progressivement les données exfiltrées.

Victim: Royal Mail International
Loss: $60.0M

RançongicielContenu1 août 2022

Rançongiciel LockBit contre Continental AG (Allemagne, 2022)

Les opérateurs de LockBit ont infiltré certaines parties des systèmes informatiques du géant allemand des équipements automobiles Continental AG en août 2022. Une mise sous contrôle a d'abord été annoncée, mais en novembre, le groupe a mis 40 téraoctets de données volées de Continental sur son site de fuite du dark web, proposés à la vente ou à la destruction pour 50 millions de dollars.

Victim: Continental AG

RançongicielInconnu30 mai 2025

Attaque par rançongiciel contre geruestba (LockBit, 2025)

geruestba a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel LockBit le 30 mai 2025.

Victim: geruestba

RançongicielInconnu9 mai 2025

Attaque par rançongiciel contre hennessyfunds.com (LockBit, 2025)

hennessyfunds.com a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel LockBit le 9 mai 2025.

Victim: hennessyfunds.com