Les hôpitaux doivent-ils se méfier des objets connectés ?

Les objets connectés de type ECG, pression sanguine, oxymètre de pouls, pompes à insuline, etc, entrés dans les établissements de santé, sont soumis à des réglementations et normes drastiques en matière de sécurité patient et informatique. Les fabricants d'IoT de santé doivent intégrer la dimension de la sécurité informatique de leurs produits dès la conception et utiliser des systèmes de protection statiques et dynamiques pour se prémunir contre les cybercriminels.

Structurée autour de deux piliers - systèmes d’informations et périphériques - l’architecture informatique des hôpitaux offre une large surface d’attaque aux cybercriminels. Mais, si les objets connectés représentent un risque important comme point d’entrée des cybercriminels dans les entreprises, le talon d’Achille des établissements de santé est avant tout le système d’information.  Infrastructures vieillissantes, outils de sécurité insuffisants, manque de ressources humaines spécialisées en cybersécurité… autant de paramètres qui font la joie des attaquants. Grâce à des ransomware, ils pénètrent dans le réseau et chiffrent les données stockées sur les serveurs paralysant ainsi leur utilisation.

Les objets connectés moins ciblés par les hackers que les SI

En revanche, les IoT spécifiques aux hôpitaux (ECG, pression sanguine, oxymètre de pouls, pompes à insuline, etc.), sont, pour le moment, moins la cible des attaquants en raison de deux facteurs. Dotés d’une architecture différente des postes de travail, ces objets connectés n’ont pas les mêmes vulnérabilités. Les attaquer requièrent donc des méthodes et outils différents. Par ailleurs, leur niveau de sécurité tend à être généralement plus élevé. Et pour cause. Tous ces équipements doivent répondre à des standards et des normes drastiques de sécurité des personnes à l’instar de la directive 2017/745 de l’Union européenne* ou de la norme ISO14971 qui encadre la gestion des risques liés à ces dispositifs (malades comme professionnels qui opèrent l’équipement) pour recevoir l’accord de mise sur le marché. Ces réglementations ont un effet de bord positif sur la sécurité informatique de ces matériels : en effet, les normes soumettent ce type de dispositifs à une analyse de risque préalable, le risque informatique lié à une attaque ou à un ransomware pourra être intégré dans ces analyses. Un électrocardiographe par exemple, ne peut réaliser des mesures justes que si son système ne connaît aucun dysfonctionnement. Il est donc impératif pour les fabricants d’objets connectés médicaux d’intégrer, dès la phase de conception, la sécurité de tous les composants et briques logicielles constituant le produit final contre les attaques informatiques pouvant viser les établissements de santé. Ce principe de Safety by design doit aussi intégrer le Security by design afin de mettre en œuvre des mesures de sécurité plus performantes.

Protection statique et dynamique

Si le risque d’attaque informatique ciblée sur ces périphériques connectés médicaux est moins important que celui des SI classiques, il ne doit, en aucune manière être négligé. Et pour cause. Ces équipements étant de plus en plus connectés et interconnectés, les impacts d’une cyberattaque peuvent être lourds de conséquences. D’autres risques, comme le vol de propriété intellectuelle doivent également être pris en compte dans les analyses de risques préalables.

Pour se prémunir contre ces cyberattaques, deux moyens peuvent être utilisés : la protection statique et la protection dynamique. Dans le premier cas, la technique consiste à altérer la lecture du programme en en modifiant l’écriture de manière à le rendre indéchiffrable. Dans le second, l’objectif vise à bloquer la lecture du programme afin d’empêcher l’utilisation d’outils d’analyse par les cybercriminels.  Dans le cas de contournement de cet obstacle, la technique d’obfuscation, consistant à noyer les pirates dans des centaines de lignes de codes glissées dans les programmes informatiques, ajoute un niveau de (cyber)défense.

Si cumuler ces techniques complémentaires est idéal, certains environnements dits "contraints" comme le sont les dispositifs médicaux, ne peuvent se permettre ce luxe ne disposant que de ressources limitées (en termes de processeur et de mémoire). Il apparaît donc nécessaire d’adapter la défense au modèle d’attaque, aux ressources disponibles et aux données à protéger. Il ne faut jamais oublier qu’une attaque représente un coût financier, en temps et en ressources humaines. 

La sécurité informatique des établissements de santé est un problème complexe, qui nécessite une approche holistique de la sécurité informatique, en prenant en compte le système d’information et les périphériques médicaux. Si les objets connectés de santé ne sont pas la cible prioritaire des pirates, il est essentiel de mettre en place les garde-fous nécessaires afin que cela ne le devienne.