Avec l’émergence des cyberattaques dans le domaine médical, ce qui était de l’ordre de la science-fiction il y a quelques années s’est subitement « normalisé ». Constatez par vous-même, ces scénarios vous seront peut-être familiers…
Scénario n°1 : imaginez que vous deviez subir une opération chirurgicale. À la dernière minute, vous recevez un message vous informant que votre opération est annulée en raison d'une cyberattaque sur le système informatique de l'hôpital. C’est ce qu’a subi celui de Dax en février 2021 à cause d’une attaque par ransomware qui a entraîné des dysfonctionnements de stérilisateurs, indispensables pour mener certaines opérations. Les blocs opératoires ont été mis en pause et de nombreux examens non vitaux ont été annulés, les dossiers médicaux des patients étant inaccessibles.
Scénario n°2 : imaginez que votre enfant soit admis à l'hôpital pour une opération et qu'il reçoive la mauvaise dose de médicament à cause d'une cyberattaque en cours sur le système informatique de l'hôpital. Fin 2022, celui de MercyOne de Des Moines, aux États-Unis, a vu ce scénario devenir réalité : un enfant de 3 ans, après une ablation des amygdales, a reçu une « mégadose » d'analgésiques pour son âge et sa taille, l'indisponibilité des systèmes ayant contraint le personnel à administrer et à commander manuellement les doses de médicaments. Par chance, l'enfant a survécu sans séquelles.
Ces deux scénarios ont pour point commun un dispositif médical connecté (DM) qui en dysfonctionnant, a entrainé des complications importantes dans le traitement des patients.
Au fil des années, les DM ont connu des progrès technologiques spectaculaires avec le développement de logiciels d'échange de données, de surveillance, de prévision du risque et de pilotage. L’utilisation des technologies numériques au sein des DM et l’introduction des objets connectés de santé permettent d’améliorer la qualité du soin et la prise en charge des patients (précision du diagnostic, optimisation du traitement, automatisation de tâches récurrentes, etc.). Mais ces évolutions ont rapidement été intégrées dans la pratique médicale quotidienne sans que les risques associés ne soient parfaitement maitrisés, ni par les fabricants des DM, ni par leurs utilisateurs, ouvrant de nouvelles portes à la cybercriminalité.
Avec la numérisation exponentielle des pratiques médicales et le nombre croissant des DM à gérer (entre 10 000 et 20 000 dans un CHU), ces derniers sont devenus des cibles privilégiées pour les cyberattaques :
La cybersécurité des DM est un défi majeur pour les établissements, car leur préoccupation majeure est d'abord, et ce depuis toujours, le soin des patients. De plus, l'évolution de leurs usages et leur dépendance toujours plus forte au système informatique hospitalier exposent ces dispositifs à de nombreuses vulnérabilités exploitables par les attaquants.
L'une des plus préoccupantes est le faible niveau de sécurité des logiciels embarqués : plusieurs de ces dispositifs fonctionnent sur des systèmes d'exploitation obsolètes ou insuffisamment sécurisés. De plus, en raison de leur cycle de vie de longue durée, les mises à jour de sécurité ne sont pas toujours disponibles ou appliquées. Il est important de noter que les vulnérabilités des DM sont rendues publiques en moyenne un peu plus de 3 ans après leur mise sur le marché, période durant laquelle les DM peuvent exposer les patients à des risques. Le marquage « CE » aggrave également le problème d’obsolescence des DM, rendant les mises à jour coûteuses, chronophages et parfois incompatibles avec l'installation de solutions de sécurité.
Une autre vulnérabilité majeure concerne la protection insuffisante des données transmises par ces dispositifs, qui sont souvent mal voire pas du tout chiffrées. Cela permet aux attaquants d'intercepter, modifier ou voler des informations sensibles. Par exemple, ils pourraient modifier des images DICOM (fichiers numérisés lors des examens d'imagerie médicale) pour faire apparaître des patients en bonne santé comme ayant des problèmes, ou inversement, ou encore intégrer des exécutables malveillants dans les images.
Les risques liés à ces vulnérabilités sont accentués par le fait que de nombreux DM ne soient pas suffisamment cloisonnés vis-à-vis du reste du SI hospitalier. Une attaque réussie sur un dispositif peut rapidement se propager à l'ensemble du réseau hospitalier et paralyser ainsi tous les services de l’établissement.
Pour relever ces défis, les établissements doivent élaborer une stratégie de cybersécurité spécifique aux DM, en adoptant une approche basée sur les risques.
Chaque DM présente des vulnérabilités différentes en fonction de son usage, de son environnement et de son intégration dans le réseau. Par conséquent, un audit de sécurité est la première étape pour comprendre où se situent les failles potentielles et évaluer les risques associés. L’audit permet également d’appuyer les messages de sensibilisation auprès de la direction.
Une fois les risques identifiés, il est crucial de les prioriser en fonction de leur impact potentiel sur la sécurité des patients, la qualité des soins de santé, et de la probabilité qu’ils soient exploités dans le contexte d’utilisation du DM. Par exemple, les dispositifs critiques pour la survie des patients, tels que les ventilateurs ou les stimulateurs cardiaques, doivent être protégés en priorité. De même, les risques présentant une probabilité élevée d’exploitation, tels que ceux associés à des logiciels obsolètes, doivent être traités en priorité.
Un plan d’action comprenant des mesures à court, moyen et long termes doit en découler :
La gouvernance partagée entre la DSI et le biomédical est un objectif nécessaire à la gestion des DM. Elle vise à faciliter le dialogue entre les interlocuteurs concernés et à appliquer les principes de sécurité en cohésion avec les spécificités des DM (gestion de crise, maintien en conditions de sécurité, etc.). La gouvernance pourra s’appuyer sur l’instauration d’une comitologie, la désignation d’un référent sécurité au sein du service biomédical comme relais local du RSSI, l’établissement de canaux de communication (veille cyber sur les DM, formulaire Intégration de la Sécurité dans les Projets (ISP), animation d’une communauté IT/Biomed, etc.), la définition d’un RACI sécurité des SI biomédicaux ou encore la formalisation d’un contrat de service avec la DSI.
Enfin, il faudra pallier le manque de sensibilisation et de formation des utilisateurs, qu'il s'agisse des soignants ou des techniciens, car cela peut conduire à des erreurs de configuration, à une utilisation imprudente ou à l'absence de détection des signes précurseurs d'une cyberattaque. Citons par exemple la modification des résultats de tests envoyés d’un instrument au SI de laboratoire ou l'interruption de la connexion entre le moniteur du patient et la centrale de surveillance. Cette étape consiste donc à sensibiliser voire « évangéliser » les différents acteurs SI Biomed aux problématiques de cybersécurité pour leur faire prendre conscience des risques induits par les nouvelles pratiques dans le secteur du Biomédical (interconnexion accrue, « tout-IP », etc.) et les former, non seulement aux bonnes pratiques, mais aussi sur les procédures à suivre en cas de détection d'une activité suspecte.
Malgré toutes les mesures de sécurité déployées, l’éventualité d’une cyberattaque ne peut être écartée. Il sera donc nécessaire de les anticiper et de s’y préparer.
Face à l'émergence des risques cyber et à leur impact dévastateur sur les opérations de soin, les établissements de santé et les fabricants de DM doivent se préparer aux cyberattaques en engageant des moyens organisationnels, techniques et humains forts.
La première étape consiste à définir une organisation de gestion de crise avec notamment la désignation d’une cellule « Métier » regroupant des représentants de l’équipe biomédicale et des utilisateurs référents des DM dans les différents services. Celle-ci doit être interfacée avec la cellule de crise cyber en cas d’attaque sur les DM.
En parallèle, les équipes informatiques et biomédicales doivent développer et tester régulièrement des plans de réponse aux incidents. Ces plans doivent détailler les actions nécessaires pour isoler un dispositif compromis, protéger les autres systèmes et rétablir les services dans les meilleurs délais, en tenant compte des particularités des environnements biomédicaux :
Un autre aspect crucial de la préparation est la mise en place de protocoles de sauvegarde et de récupération des données. Les DM étant souvent utilisés pour surveiller ou administrer des traitements vitaux, il est impératif de garantir que toutes les données soient sauvegardées de manière sécurisée et qu'elles puissent être restaurées en cas d’attaque. La redondance des systèmes critiques, via des dispositifs de secours par exemple, est également recommandée pour minimiser les interruptions de service.
Enfin, il est essentiel d’identifier avec les métiers :
Fort d'une bonne expérience auprès de nombreux établissements de santé, Orange Cyberdefense offre une gamme complète de services d’accompagnement dans la sécurisation des environnements biomédicaux.
Parmi les expertises de nos équipes :
La cybersécurité des DM est un enjeu majeur qui nécessite une attention permanente et une approche proactive. Pour assurer une protection efficace de ces dispositifs, tout en garantissant la sécurité des patients et la continuité des soins, les établissements de santé doivent identifier et hiérarchiser les risques spécifiques aux DM et mettre en œuvre des solutions appropriées. Cependant, une sécurisation excessive peut avoir des effets indésirables et nuire à la performance des DM. Pour éviter cela, il est crucial d'établir une collaboration étroite entre tous les acteurs concernés.
Orange Cyberdefense est là pour vous accompagner à construire une société numérique plus sûre. Faites appel à nos experts !