Cybersécurité et IoT : un cocktail prometteur... mais n'en négligeons pas les risques de piratage

L'Internet des objets dans un cadre médical peut être immensément utile d'une part, mais les risques de cybersécurité doivent être pris en compte dans la conception de ces produits.

Le moyen le plus rapide pour les pirates qui voudraient nuire à une organisation de prestataires de soins de santé serait de cibler les informations sur les patients, et beaucoup d'entre eux se concentreraient à raison sur les bases de données qui supportent les dossiers médicaux électroniques. L'Internet des objets a amplifié le nombre de vecteurs d'attaque pour cibler le fonctionnement des hôpitaux, des cabinets médicaux, des centres ambulatoires et d'autres établissements. Mais il crée également un risque direct pour les soins aux patients...

Les téléphones, les tablettes, les appareils médicaux connectés et d'autres technologies constituent un vrai backdoor permettant aux pirates d'infiltrer les réseaux. Comme de nombreux appareils utilisent des systèmes d'exploitation dépassés, les patients sont confrontés à une vulnérabilité unique, offrant à un pirate de pouvoir facilement interférer avec le traitement. 

De nombreux appareils, tels que les stimulateurs cardiaques ou les dispositifs implantables qui fournissent des microchocs au cerveau pour traiter la maladie de Parkinson ou d'autres troubles neurologiques, sont contrôlés par des applications mobiles qui permettent aux médecins d'ajuster le traitement sans recourir à la chirurgie. Cette commodité permet de compenser le risque d'intervention chirurgicale par le risque... qu'un pirate informatique modifie le traitement. 

La mise à niveau de la sécurité de ces appareils pourrait nécessiter une toute nouvelle approbation des autorités sanitaires et un processus long et coûteux. Certaines de ces organisations adoptent une approche attentiste en matière de sécurité, mais cela reflète également des vœux pieux concernant les vulnérabilités et les responsabilités potentiellement énormes. 

Nos pirates, décidément mal intentionnés, pourraient également être aidés par l’usage du Wifi, un champ ouvert où ils peuvent voir quels types de réseaux sont disponibles et quels appareils y sont connectés. Et oui, un grand nombre d'appareils connectés sont utilisés dans la prestation de soins, mais ils sont conçus pour être efficaces plutôt que sécurisés... 

De même, si l’IoT est un élément important de la surveillance à distance, qui permet d'alerter les cliniciens sur des indicateurs clés concernant la façon dont un patient gère ses maladies chroniques, de nombreux appareils connectés utilisent des systèmes d'exploitation vieux de plus de dix ans, ce qui les rend obsolètes en matière de sécurité. 

L'Internet des objets dans un cadre médical peut être immensément utile d'une part, mais les risques de cybersécurité doivent être pris en compte dans la conception de ces produits. 

Par exemple, un patient dans un lit d'hôpital peut avoir plusieurs appareils de surveillance à distance, en plus des appareils connectés qui sont implantés dans le corps, comme un stimulateur cardiaque. Les fabricants d'appareils médicaux essaient de faire ce qu'il faut lorsqu'il s'agit de permettre aux médecins de régler le fonctionnement des appareils via une application, plutôt que de recourir à une nouvelle intervention chirurgicale pour implanter un nouvel appareil. C'est beaucoup plus pratique pour le patient, et il y a moins de risque de causer des dommages supplémentaires, comme une infection. 

Cependant, il est relativement facile pour un pirate d'infiltrer les appareils et de perturber leur fonctionnement général, que l'appareil affecte le rythme cardiaque, surveille l'administration de médicaments ou transmette les signes vitaux d'un patient à un poste de soins infirmiers. Le pirate peut induire en erreur un clinicien et l'amener à établir un diagnostic erroné, puis un traitement inefficace ou dangereux. 

Certains de ces appareils sont utilisés, par exemple, pour traiter la maladie de Parkinson ou modérer le rythme cardiaque. Un certain nombre d'appareils sont également impliqués dans la perfusion de médicaments. Les applications jouent un rôle important dans le suivi du diabète, ce qui pose des problèmes de gestion de la maladie, car une mauvaise gestion des médicaments peut entraîner des visites aux urgences. Dans ce cas, quel type de risque ou de responsabilité serait supporté par les fabricants de dispositifs médicaux ?

Or les fabricants de dispositifs médicaux ont adopté une approche attentiste en matière de sécurité. Le développement d'un dispositif médical est un processus coûteux. Même la mise à jour de la sécurité du logiciel sous-jacent nécessiterait de nouvelles études à inclure dans une nouvelle soumission aux autorités sanitaires. 

Les mises à jour ou les mises à niveau des appareils sont l'occasion d'intégrer des fonctions de sécurité dans la conception des appareils connectés pendant qu'ils font l'objet d'essais cliniques. La question se résume au risque encouru pendant que les anciens produits sont sur le marché et au délai qui s'écoule avant que des produits plus sûrs puissent faire l'objet d'études avant d'être prêts à être commercialisés. 

Si un produit est piraté et pose des problèmes de sécurité, cela pourrait être catastrophique pour les petits fabricants de dispositifs médicaux et extrêmement coûteux pour les grandes entreprises. Le risque auquel sont confrontés les prestataires de soins de santé est un peu différent de celui auquel est confronté un fabricant de dispositifs, mais l'avocat d'un patient peut tenter d'inclure un hôpital dans un procès s'il est établi que le pirate a infiltré le dispositif par le biais de ses systèmes informatiques. 

Que faire ? Les prestataires de soins de santé sont parmi les meilleurs en matière d'hygiène au travail. Appliquer les mêmes normes à la technologie contribuerait grandement à la prévention. Ils doivent comprendre que des pirates peuvent et vont essayer de cibler toutes les faiblesses. La gestion de l'accès est un domaine qui peut contribuer à limiter les dommages potentiels causés par des personnes malveillantes. 

Avec l’IoT, nous nous connectons à des applications et à des systèmes cliniques, mais ils ne doivent être connectés qu'à des parties minimales du réseau où ils doivent fonctionner. La plupart des infrastructures informatiques de santé se concentrent sur le vaste réseau des objets. De plus, les dispositifs IoT utilisés dans et pour les patients sont essentiels, mais il est important de ne pas négliger les dispositifs de sécurité autour de l'hôpital. Ces appareils sont le plus souvent connectés au réseau global par WiFi et Bluetooth, et sont souvent exploités par des systèmes d'exploitation plus anciens. 

Les attaquants ont commencé à cibler ces appareils comme points d'entrée sur le réseau, car ils ne disposent pas souvent d'une protection des points de terminaison. Les fournisseurs doivent se concentrer sur les tests de sécurité au niveau de l'IoT. Si les appareils ne peuvent pas être dotés d'une sécurité de point de terminaison, ils doivent les isoler sur un réseau distinct doté d'une sécurité plus stricte. Les équipes de sécurité de l'information doivent effectuer des évaluations de la compromission de ces appareils à intervalles plus fréquents. Dans la mesure du possible, les systèmes d'exploitation doivent être mis à niveau vers un système d'exploitation pris en charge que vous pouvez utiliser pour la protection des points de terminaison...