Attaque par rançongiciel contre Ascension Health

Le 8 mai 2024, Ascension — l'un des plus grands systèmes de santé à but non lucratif des États-Unis, comptant environ 140 hôpitaux répartis dans 19 États — a détecté une intrusion par rançongiciel qui a contraint ses hôpitaux à revenir au papier et au crayon pendant des semaines. Attribuée au groupe de rançongiciel Black Basta, l'attaque a dérouté des ambulances, retardé des soins et finalement exposé les renseignements médicaux protégés de près de 5,6 millions de patients.

Ce qu'il s'est passé

L'enquête d'Ascension a établi que l'intrusion avait débuté lorsqu'un employé a téléchargé par inadvertance un fichier malveillant, le croyant légitime. À partir de ce point d'ancrage, les attaquants se sont déplacés à travers le réseau et ont atteint 7 des quelque 25 000 serveurs. Le 8 mai 2024, le personnel informatique a remarqué une activité inhabituelle et, en quelques heures, des systèmes essentiels ont commencé à défaillir.

Les chercheurs en sécurité et les comptes rendus ultérieurs ont attribué l'attaque à Black Basta, une opération russophone de rançongiciel-en-tant-que-service (RaaS) connue pour ses tactiques de double extorsion contre la santé et les infrastructures critiques.

Conséquences

• Le dossier patient informatisé (DPI), les portails patients, les systèmes téléphoniques et les plateformes utilisées pour commander examens, procédures et médicaments d'Ascension se sont retrouvés hors ligne. Le personnel clinique est revenu à des processus manuels sur papier pendant environ six semaines.
• Les services d'urgence de plusieurs sites ont été placés en déroutement, redirigeant les ambulances vers des établissements non Ascension, et des infirmiers ont signalé des retards dans la prescription de médicaments et la commande d'analyses, soulevant des préoccupations de sécurité des patients.
• Les données de 5 599 699 personnes ont été confirmées compromises. Les champs exposés comprenaient noms, adresses, dates de naissance, numéros de sécurité sociale, numéros de dossier médical, informations de carte de crédit et de compte bancaire, identifiants Medicare/Medicaid, numéros de permis de conduire et numéros de passeport.
• La perturbation a lourdement affecté les finances d'Ascension : les volumes de patients à périmètre constant ont chuté de 8 à 12 % en mai et juin, contribuant à une perte d'exploitation d'environ 1,8 milliard de dollars et à une perte nette de près de 1,1 milliard de dollars pour l'exercice clos en juin 2024.

Réaction

Ascension a mis ses systèmes hors ligne, activé ses procédures de mode dégradé et fait appel à des intervenants externes en réponse à incident. Le système a rétabli progressivement l'accès au DPI au cours de juin 2024 et a offert aux patients concernés deux ans de surveillance du crédit et de protection contre le vol d'identité gratuites. L'entreprise n'a pas indiqué avoir versé de rançon. Plusieurs actions collectives ont suivi la notification de la fuite.

Pourquoi c'est important

Ascension est un cas emblématique du rançongiciel comme danger pour la sécurité des patients, et non comme simple atteinte à la confidentialité des données. Un seul téléchargement erroné s'est transformé en semaines de soins dégradés au sein d'un système desservant des millions de personnes, démontrant à quel point la marge opérationnelle est mince lorsque les flux de travail cliniques dépendent entièrement d'une informatique connectée. L'incident a renforcé la pression réglementaire et sectorielle — relayée après l'attaque contemporaine de Change Healthcare — pour traiter la cybersécurité du secteur de la santé comme une infrastructure critique, avec des contrôles d'identité renforcés, des procédures de mode dégradé testées et une segmentation réseau entre les systèmes administratifs et cliniques.