En l’absence de sécurisation et de normalisation, les dispositifs médicaux connectés pourraient coûter des vies

Il suffit d’un seul ransomware pour paralyser l’ensemble des services de santé d’un hôpital. L’impossibilité d’accéder aux dossiers des patients et aux dispositifs médicaux connectés empêcherait le personnel médical d’opérer les patients, mettant ainsi la vie de ces derniers en danger.

La sécurisation des dispositifs médicaux connectés est difficile en raison du manque de normes, de l’hétérogénéité des infrastructures informatiques, de l’obsolescence des logiciels et de l’ancienneté des systèmes d’exploitation, dont certains datent de 2003.

Une étude mondiale réalisée par Bitdefender montre que 25 % des violations survenues dans le domaine de la santé identifiées en 2019 ont pour cause principale une défaillance logicielle. Près d’un tiers des institutions de santé interrogées ont été victimes de violations au cours des trois dernières années.

Les dispositifs médicaux connectés à Internet sont maintenant la norme dans le domaine des soins de santé, mais de récents incidents ont montré à quel point cet écosystème était fragile lorsque la cybersécurité n’était pas correctement prise en compte. Des événements survenus dernièrement sur les réseaux de plusieurs hôpitaux régionaux de l’État du Victoria ont montré que des chirurgies avaient été reportées suite à la compromission d’infrastructures informatiques et de dispositifs connectés par des cybercriminels. Ce n’est pas la première fois que des institutions médicales sont touchées par les avatars du monde numérique moderne.

Une récente étude mondiale de Bitdefender portant sur 281 organismes de santé montre que près d’un tiers d’entre eux ont subi des violations au cours des trois dernières années. Plus de 7 % de leurs départements informatiques n’ont pas été en mesure de dire s’ils avaient été ou non victimes d’une attaque. À un niveau plus global, l'étude a révélé que parmi les 6 086 entreprises opérant dans divers secteurs de l’industrie interrogées, six sur dix avaient été victimes d’une violation de données au cours des trois dernières années.

Dans le secteur de la santé, les choses semblent légèrement plus sécurisées que dans les autres secteurs en raison d’une réglementation plus rigoureuse, mais dans la mesure où les fournisseurs de soins de santé proposent des services critiques comportant de nombreux risques, y compris le risque de décès, ce taux d’échec de 30 % est extrêmement préoccupant. Au final, dans cet environnement, une mauvaise sécurité n’est pas qu’une affaire de réputation commerciale, c’est aussi une question de vie ou de mort. L’étude a été réalisée en juillet 2019 auprès de spécialistes de la sécurité originaires d’Europe, des États-Unis et d’Australie travaillant dans des entreprises comptant plus de 10 000 employés.

Deux éléments importants sont associés aux opérations informatiques dans le domaine des soins de santé : les dossiers des patients et la sécurité des dispositifs médicaux connectés tels que les implants délivrant des médicaments, les pacemakers, etc. Là où la sécurisation des dossiers des patients peut sembler plus simple à gérer – alors même que les attaques de ransomwares sont de plus en plus fréquentes dans le secteur des soins de santé –, la sécurisation des implants médicaux connectés à Internet n’est pas chose facile.

Nous sommes confrontés à deux obstacles majeurs lorsque nous tentons de sécuriser "l’Internet des objets médicaux connectés". D’une part, le marché des dispositifs n’est pas encore réglementé ni normalisé et, d’autre part, les infrastructures médicales sont hétérogènes et regorgent de logiciels, de systèmes  d’exploitation et de dispositifs obsolètes. L’obsolescence des équipements et des logiciels pose un sérieux problème. L’ancienneté des équipements est un autre point noir.

Que peut-on faire ?

En substance, l’architecture de sécurité des dispositifs médicaux connectés à Internet devrait intégrer au minimum trois capacités : visibilité, contrôle des comportements et analyse des incidents. Ces fonctionnalités sont nécessaires parce que bien souvent, scanners et autres appareils d’imagerie médicale onéreux sont livrés sans solution de sécurité, et parce que la plupart des équipes informatiques ne prendront pas le risque de voir un appareil valant plusieurs millions de dollars être neutralisé par un mauvais antivirus ou des mises à jour du système d’exploitation.

Visibilité sur tous les appareils

Les équipes de sécurité doivent avoir une vision précise et actualisée de tous les appareils se trouvant dans l’environnement de l’entreprise. Elles ont besoin de voir en temps réel, l’ensemble des appareils informatiques et de l’IdO présents sur les divers réseaux de l’entreprise. En l’absence de visibilité, des comportements indésirables ou malveillants peuvent se produire sans être détectés ni analysés.

Contrôle du comportement des appareils

Les équipes de sécurité doivent avoir la possibilité de contrôler chacun des appareils connectés ainsi que leur environnement dans sa globalité afin de détecter tout changement de comportement et tout indicateur de compromission, de déni de service ou de violations de données.

Analyse des incidents et réponse à ces derniers

Dès lors qu’un indicateur montre que le risque dépasse un seuil acceptable, ou qu’une attaque est détectée, le personnel de sécurité doit en être immédiatement informé. Les alertes doivent fournir des informations précises quant aux incidents et à leur contexte afin de permettre le tri des alertes, de comprendre les causes des incidents et de décider des mesures à prendre.