De type ransomware, une cyberattaque lancée en juin 2024 avait perturbé les services de santé britanniques. Attribuée au groupe de cybercriminels russophone Qilin, elle avait ciblé Synnovis, un prestataire privé gérant des laboratoires d'analyses pour des hôpitaux et des cabinets médicaux à Londres. Cette cyberattaque a officiellement contribué à la mort d'un patient.
Un retard fatal et des conséquences en chaîne
Le drame s'est noué au sein du King's College Hospital NHS Foundation Trust. L'établissement a confirmé qu'une enquête interne sur la sécurité des patients avait identifié plusieurs facteurs ayant mené au décès. Parmi eux, une cause directe en lien avec la cyberattaque : « Un long retard pour obtenir le résultat d'une analyse de sang ».
En plus de cette tragédie, la cyberattaque a semé le chaos, entraînant l'annulation de plus de 10 000 rendez-vous. Près de 600 incidents où la sécurité d'un patient a été compromise ont été recensés, dont 170 cas de préjudice avéré.
Les stocks de sang ont même été mis à rude épreuve, forçant les hôpitaux à utiliser des types de sang universels faute de pouvoir effectuer des tests de compatibilité.
Qilin, des pirates qui se dédouanent
Lors d'un échange sur une messagerie chiffrée (qTox) avec la BBC, le groupe Qilin avait tenté de justifier sa cyberattaque par une forme de protestation politique contre le gouvernement britannique pour son implication dans une guerre non spécifiée.
Qilin avait présenté ses excuses pour le préjudice causé, tout en affirmant ne pas être à blâmer. Le groupe avait exigé une rançon de 50 millions de dollars que Synnovis n'a pas payée. En représailles, des données ont été publiées.
Des données médicales dans la nature
L'affaire ne s'arrête donc pas à la perturbation des soins. C'est aussi une fuite de données médicales d'une ampleur colossale. Plus de 900 000 personnes seraient concernées, incluant noms, dates de naissance, numéros NHS (National Health Service), et parfois des coordonnées personnelles.
Parmi les documents exfiltrés, des résultats de tests pour des infections sexuellement transmissibles ou des cancers. Un an après, les patients affectés n'ont toujours pas été officiellement informés de la nature des données volées les concernant.
Un cas parmi d'autres ?
Pour certains experts, d'autres décès liés à des cyberattaques ont probablement eu lieu sans jamais faire l'objet d'enquêtes officielles. Cela étant, attribuer un décès à une cyberattaque demeure un exercice difficile.
Dans une réaction à la presse britannique, le patron de Synnovis a déclaré : « Nous sommes profondément attristés d'apprendre que la cyberattaque criminelle de l'année dernière a été identifiée comme l'un des facteurs ayant conduit à la mort du patient. Nous sommes de tout cœur avec la famille. »
