Cyberattaque médicale : définition et les meilleurs moyens de prévention
Lorsque des cyberattaques se produisent dans des établissements de santé, qu’elles touchent des services ou dispositifs médicaux, elles exposent les patients et les organismes de prestations de soins de santé à d’importants risques.
L’examen du risque de cybersécurité pour les patients doit prendre en compte trois facteurs : les installations, les services et les dispositifs médicaux, puisqu’ils sont le point d’interconnexion avec le patient. Au regard de l’Internet des objets médicaux (IoMT), tous ont leur importance. En cas de défaillance, de l’un d’entre eux, le patient est en danger et les conséquences peuvent être très lourdes. Perte de données personnelles, dommages corporels voire décès du patient.
Comment survient une cyberattaque médicale ?
Appareils d’imagerie par IRM, pompes à perfusion pour l’administration de médicaments, dispositifs implantés très spécifiques comme les stimulateurs cardiaques, défibrillateurs cardiaques implantables... les établissements de santé gèrent des centaines, voire plusieurs milliers d’appareils dans leurs hôpitaux ou cliniques. Dans les hôpitaux américains, on compte en moyenne 10 à 15 dispositifs connectés par lit. Les pirates informatiques affectionnent particulièrement les équipements vieillissants dotés d’anciens systèmes d’exploitation (OS). Leur niveau de protection est en effet bien inférieur à celui d’équipements plus récents dotés des dernières fonctions de sécurité. Étant donné la durée de vie élevée de ces équipements, les mises à jour à distance représentent un véritable défi — ce qui en fait une cible de choix pour les hackers. Qu’il soit dans la chambre du patient à l’hôpital, dans le service d’imagerie ou à l’intérieur de la poitrine d’un patient, tout dispositif médical peut être piraté.
Chaque appareil connecté communique par ailleurs via le réseau de l’établissement, ou via une passerelle qui se connecte directement au cloud. Les réseaux ou les passerelles peuvent également être piratés, avec un risque de compromission de l’intégrité et de la confidentialité des données. Même les services de télémédecine qui utilisent des appareils connectés pour surveiller à distance les patients ou les traitements sont vulnérables.
Scénarios les plus pessimistes
La gravité de l’attaque dépend de l’intention du pirate. Les données personnelles comme les données numériques personnelles relatives à la santé, les données d’identification personnelle ou les dossiers médicaux partagés (DMP) représentent un filon lucratif pour les pirates informatiques. Dans le domaine bancaire, les violations de sécurité des cartes de paiement ne passent pas longtemps inaperçues, car les sociétés émettrices de cartes bancaires sont sensibilisées et à l’affût des atteintes à la protection des données. Dans le secteur de la santé, la découverte de la faille peut prendre plusieurs mois, ce qui permet aux pirates informatiques d’exploiter leur filon pendant un certain temps avant d’être repérés.
Si les pirates derrière les cyberattaques médicales ont pour intention de nuire physiquement à leur cible, il leur suffit d’infiltrer n’importe quel point de la chaîne IoMT (dispositifs, réseaux et/ou passerelles) pour obtenir les résultats escomptés. Le détournement de dispositifs médicaux ou Medjack représente l’une des formes d’attaques possibles. Le but est alors de créer une porte dérobée vers les dispositifs médicaux à l’aide de malwares. Celui qui prend le contrôle d’une pompe à perfusion pour administrer des doses dangereuses de médicaments peut gravement porter atteinte à un patient. La prise de contrôle d’un stimulateur cardiaque peut quant à elle être fatale. C’est d’ailleurs le sujet de nombreux films et séries.
L’imagerie hospitalière est récemment devenue une cible d’attaque populaire. Plus tôt cette année, un chercheur du laboratoire Cylera spécialisé dans la sécurité de la santé a dévoilé une faiblesse du format d’image DICOM — standard mondialement reconnu et utilisé depuis plus de 30 ans pour le stockage d’images médicales. La faille permet aux pirates d’intégrer des logiciels malveillants aux images de tomodensitométrie et d’IRM. Lors du partage de ces images, le malware se propage donc jusqu’aux postes de travail dédiés à l’analyse des images, et aux téléphones et tablettes utilisés pour les visualiser. Selon Cylera, le logiciel malveillant "fusionne efficacement les données des patients avec les malwares". Sa suppression est d’autant plus délicate que les données des patients risquent d’être détruites par la même occasion. Or, la compromission ou la destruction des données de patients est strictement réglementée par la réglementation HIPAA. La situation est problématique.
Le risque de compromission concerne autant les informations des patients que les soins qui leur sont dispensés. En se propageant, le logiciel malveillant peut exposer les données personnelles des patients. Or, pour limiter la diffusion du malware sur l’ensemble du système de l’établissement de santé, les fichiers images infectés peuvent, s’ils sont détectés, être mis en quarantaine, supprimés ou rendus indisponibles par un autre moyen. Enfin, les rançongiciels peuvent infecter un équipement hôte, et le désactiver complètement. Or, s’il s’agit d’un appareil critique pour la vie d’un patient les conséquences peuvent être catastrophiques.
Les meilleurs moyens de résister aux cyberattaques de santé et de sécuriser les soins aux patients
Chaque patient est unique et traité individuellement pour garantir les meilleurs résultats possibles sur le plan de sa santé. Il devrait en être de même pour les dispositifs, les réseaux, les passerelles et les installations des organismes de santé. C’est une question d’identité, d’authentification, d’autorisation et de confidentialité. L’ajout d’une couche de sécurité réduit la surface d’attaque, dissuade les pirates informatiques et sécurise les connexions entre le patient et les dispositifs vitaux, mais aussi les services et les communications de données indispensables à une qualité de soins optimale.
1. L’identité, l’authentification, l’autorisation et la confidentialité peuvent être assurées à l’aide d’une infrastructure à clés publiques (PKI) chiffrée avec des identités identifiables de façon unique aux dispositifs et équipements. Une infrastructure PKI s’appuie sur le chiffrement pour sécuriser les données (au repos ou en mouvement), pour gérer les identités des appareils et assurer la confidentialité. Elle peut être appliquée aux appareils, aux réseaux et aux passerelles à l’intérieur des établissements, ou aux services fournis par des tiers.
2. L’assignation d’identités d’appareils offre un moyen d’identifier individuellement chaque dispositif avec un identificateur fort et unique associé à un certificat numérique. Par dispositif, nous entendons tout point de terminaison connecté. Il peut s’agir d’une pompe à perfusion pour l’administration de médicaments ou d’un tomodensitomètre. Il peut également s’agir de certains composants d’un équipement ou d’un circuit intégré (aussi petit soit-il) à l’un des composants du dispositif. Il peut aussi s’agir d’une connexion à une passerelle ou un réseau. Les identités uniques de dispositifs fournissent les éléments d’identification nécessaires pour l’authentification et l’autorisation.
3. Faites le point sur l’état des gros équipements dont la durée de vie est longue, comme les tomodensitomètres et les appareils d’IRM. Mettez à jour leur système d’exploitation afin d’installer les dernières versions les plus sécurisées, et demandez la signature de code lors de la mise à jour du système d’exploitation. La signature du code vérifie que la mise à jour n’a pas été compromise par un tiers. Elle protège les utilisateurs contre le téléchargement de logiciels compromis, empêche la falsification du code et garantit la fiabilité de l’authentification.
4. Réfléchissez à la possibilité d’utiliser une plateforme d’intégration des données de dispositifs médicaux qui embarque une infrastructure d’identités pour appareils adossée à une PKI pour simplifier la gestion des dispositifs, des réseaux et des passerelles.
Avec l’évolution continue de l’IoMT, il serait sage que les cliniciens s’intéressent aux recommandations de la FDA sur le management de la cybersécurité dans les dispositifs médicaux et à l’émergence des nouvelles plateformes d’intégration des données de dispositifs médicaux qui apparaissent sur le marché, en réponse aux besoins de sécurité des hôpitaux et autres établissements de santé. Chaque pas vers une amélioration de la sécurité des dispositifs, des passerelles et des réseaux est un pas vers la sécurité des soins physiques aux patients. Car en définitive, l’Internet des objets médicaux, les organismes de santé, les cliniciens et les nombreux acteurs et employés du secteur de la santé ont pour objectif d’améliorer les soins et la santé des patients.