Select your country

Not finding what you are looking for, select your country from our regional selector:

Rechercher

Cybersécurité des dispositifs médicaux connectés : un enjeu de taille pour les établissements de santé

Avec l’émergence des cyberattaques dans le domaine médical, ce qui était de l’ordre de la science-fiction il y a quelques années s’est subitement « normalisé ». Constatez par vous-même, ces scénarios vous seront peut-être familiers…  

Scénario n°1 : imaginez que vous deviez subir une opération chirurgicale. À la dernière minute, vous recevez un message vous informant que votre opération est annulée en raison d'une cyberattaque sur le système informatique de l'hôpital. C’est ce qu’a subi celui de Dax en février 2021 à cause d’une attaque par ransomware qui a entraîné des dysfonctionnements de stérilisateurs, indispensables pour mener certaines opérations. Les blocs opératoires ont été mis en pause et de nombreux examens non vitaux ont été annulés, les dossiers médicaux des patients étant inaccessibles.

Scénario n°2 : imaginez que votre enfant soit admis à l'hôpital pour une opération et qu'il reçoive la mauvaise dose de médicament à cause d'une cyberattaque en cours sur le système informatique de l'hôpital. Fin 2022, celui de MercyOne de Des Moines, aux États-Unis, a vu ce scénario devenir réalité : un enfant de 3 ans, après une ablation des amygdales, a reçu une « mégadose » d'analgésiques pour son âge et sa taille, l'indisponibilité des systèmes ayant contraint le personnel à administrer et à commander manuellement les doses de médicaments. Par chance, l'enfant a survécu sans séquelles. 

Ces deux scénarios ont pour point commun un dispositif médical connecté (DM) qui en dysfonctionnant, a entrainé des complications importantes dans le traitement des patients.

Dispositifs médicaux connectés : des évolutions rapides sans maîtrise des risques ouvrent de nouvelles portes à la cybercriminalité

Au fil des années, les DM ont connu des progrès technologiques spectaculaires avec le développement de logiciels d'échange de données, de surveillance, de prévision du risque et de pilotage. L’utilisation des technologies numériques au sein des DM et l’introduction des objets connectés de santé permettent d’améliorer la qualité du soin et la prise en charge des patients (précision du diagnostic, optimisation du traitement, automatisation de tâches récurrentes, etc.). Mais ces évolutions ont rapidement été intégrées dans la pratique médicale quotidienne sans que les risques associés ne soient parfaitement maitrisés, ni par les fabricants des DM, ni par leurs utilisateurs, ouvrant de nouvelles portes à la cybercriminalité.

Avec la numérisation exponentielle des pratiques médicales et le nombre croissant des DM à gérer (entre 10 000 et 20 000 dans un CHU), ces derniers sont devenus des cibles privilégiées pour les cyberattaques :

  • leur adoption généralisée a augmenté la surface d'attaque des hôpitaux. Chaque DM connecté au réseau d'un hôpital représente un point d'entrée potentiel pour un attaquant, qui pourrait utiliser cet accès pour compromettre d'autres ressources par rebond.
  • les attaquants pourraient également cibler spécifiquement les DM pour perturber les opérations de soin, ce qui pourrait être fatal pour le patient (ex : arrêt ou prise en main distante des équipements de chirurgie, modification des paramètres des équipements dans les laboratoires, etc.).
  • les DM stockent et transmettent des données sensibles des patients. Si ces dernières fuitent, elles peuvent être exploitées à des fins d'usurpation d'identité, de fraude financière ou d'autres activités malveillantes (ex : revente de dossiers médicaux de personnalités publiques, utilisation de dossiers médicaux pour se procurer des médicaments ou faire de fausses déclarations médicales, etc.).

Sécurisation des dispositifs médicaux connectés : les défis majeurs des établissements

La cybersécurité des DM est un défi majeur pour les établissements, car leur préoccupation majeure est d'abord, et ce depuis toujours, le soin des patients. De plus, l'évolution de leurs usages et leur dépendance toujours plus forte au système informatique hospitalier exposent ces dispositifs à de nombreuses vulnérabilités exploitables par les attaquants.

L'une des plus préoccupantes est le faible niveau de sécurité des logiciels embarqués : plusieurs de ces dispositifs fonctionnent sur des systèmes d'exploitation obsolètes ou insuffisamment sécurisés. De plus, en raison de leur cycle de vie de longue durée, les mises à jour de sécurité ne sont pas toujours disponibles ou appliquées. Il est important de noter que les vulnérabilités des DM sont rendues publiques en moyenne un peu plus de 3 ans après leur mise sur le marché, période durant laquelle les DM peuvent exposer les patients à des risques. Le marquage « CE » aggrave également le problème d’obsolescence des DM, rendant les mises à jour coûteuses, chronophages et parfois incompatibles avec l'installation de solutions de sécurité.

Une autre vulnérabilité majeure concerne la protection insuffisante des données transmises par ces dispositifs, qui sont souvent mal voire pas du tout chiffrées. Cela permet aux attaquants d'intercepter, modifier ou voler des informations sensibles. Par exemple, ils pourraient modifier des images DICOM (fichiers numérisés lors des examens d'imagerie médicale) pour faire apparaître des patients en bonne santé comme ayant des problèmes, ou inversement, ou encore intégrer des exécutables malveillants dans les images.

Les risques liés à ces vulnérabilités sont accentués par le fait que de nombreux DM ne soient pas suffisamment cloisonnés vis-à-vis du reste du SI hospitalier. Une attaque réussie sur un dispositif peut rapidement se propager à l'ensemble du réseau hospitalier et paralyser ainsi tous les services de l’établissement.

Pour relever ces défis, les établissements doivent élaborer une stratégie de cybersécurité spécifique aux DM, en adoptant une approche basée sur les risques.

Enclencher une démarche de cybersécurité biomédicale : par où commencer ?

Chaque DM présente des vulnérabilités différentes en fonction de son usage, de son environnement et de son intégration dans le réseau. Par conséquent, un audit de sécurité est la première étape pour comprendre où se situent les failles potentielles et évaluer les risques associés. L’audit permet également d’appuyer les messages de sensibilisation auprès de la direction.

Une fois les risques identifiés, il est crucial de les prioriser en fonction de leur impact potentiel sur la sécurité des patients, la qualité des soins de santé, et de la probabilité qu’ils soient exploités dans le contexte d’utilisation du DM. Par exemple, les dispositifs critiques pour la survie des patients, tels que les ventilateurs ou les stimulateurs cardiaques, doivent être protégés en priorité. De même, les risques présentant une probabilité élevée d’exploitation, tels que ceux associés à des logiciels obsolètes, doivent être traités en priorité.

Un plan d’action comprenant des mesures à court, moyen et long termes doit en découler :

  • à court terme, il peut s'agir par exemple d'appliquer des mises à jour de logiciels critiques ou de modifier les configurations du réseau, ou encore de cloisonner les DM critiques.
  • à moyen terme, une surveillance continue des DM doit être mise en place, en particulier s'il est impossible d'appliquer des mesures de sécurité (mises à jour de sécurité, antivirus, etc.) pour des raisons de continuité d'activité ou de certification.
  • à long terme, l'intégration du biomédical dans les processus de la DSI (achat/installation, intégration de la sécurité dans les projets, etc.) et la mise en place d’une gouvernance commune.

La gouvernance partagée entre la DSI et le biomédical est un objectif nécessaire à la gestion des DM. Elle vise à faciliter le dialogue entre les interlocuteurs concernés et à appliquer les principes de sécurité en cohésion avec les spécificités des DM (gestion de crise, maintien en conditions de sécurité, etc.). La gouvernance pourra s’appuyer sur l’instauration d’une comitologie, la désignation d’un référent sécurité au sein du service biomédical comme relais local du RSSI, l’établissement de canaux de communication (veille cyber sur les DM, formulaire Intégration de la Sécurité dans les Projets (ISP), animation d’une communauté IT/Biomed, etc.), la définition d’un RACI sécurité des SI biomédicaux ou encore la formalisation d’un contrat de service avec la DSI.

Enfin, il faudra pallier le manque de sensibilisation et de formation des utilisateurs, qu'il s'agisse des soignants ou des techniciens, car cela peut conduire à des erreurs de configuration, à une utilisation imprudente ou à l'absence de détection des signes précurseurs d'une cyberattaque. Citons par exemple la modification des résultats de tests envoyés d’un instrument au SI de laboratoire ou l'interruption de la connexion entre le moniteur du patient et la centrale de surveillance. Cette étape consiste donc à sensibiliser voire « évangéliser » les différents acteurs SI Biomed aux problématiques de cybersécurité pour leur faire prendre conscience des risques induits par les nouvelles pratiques dans le secteur du Biomédical (interconnexion accrue, « tout-IP », etc.) et les former, non seulement aux bonnes pratiques, mais aussi sur les procédures à suivre en cas de détection d'une activité suspecte.

Malgré toutes les mesures de sécurité déployées, l’éventualité d’une cyberattaque ne peut être écartée. Il sera donc nécessaire de les anticiper et de s’y préparer.

Comment se préparer contre une cyberattaque sur les dispositifs médicaux connectés ?

Face à l'émergence des risques cyber et à leur impact dévastateur sur les opérations de soin, les établissements de santé et les fabricants de DM doivent se préparer aux cyberattaques en engageant des moyens organisationnels, techniques et humains forts.

La première étape consiste à définir une organisation de gestion de crise avec notamment la désignation d’une cellule « Métier » regroupant des représentants de l’équipe biomédicale et des utilisateurs référents des DM dans les différents services. Celle-ci doit être interfacée avec la cellule de crise cyber en cas d’attaque sur les DM.

En parallèle, les équipes informatiques et biomédicales doivent développer et tester régulièrement des plans de réponse aux incidents. Ces plans doivent détailler les actions nécessaires pour isoler un dispositif compromis, protéger les autres systèmes et rétablir les services dans les meilleurs délais, en tenant compte des particularités des environnements biomédicaux :

  • difficulté à couper tous les flux Internet car ils ne sont pas tous connus (téléassistance, VPN prestataire, etc.) ;
  • complexité à isoler les réseaux biomédicaux : impacts non maîtrisés, forte dépendance des DM à d’autres applications du SIH (DPI, etc.) ;
  • méconnaissance des procédures de mise en sécurité des DM permettant d’assurer la non-mise en danger du patient ;
  • incompatibilité des DM avec le déploiement d'un Endpoint Detection and Response (EDR) pour aider à l'identification et à la « désinfection » ;
  • contraintes réglementaires strictes en matière de traçabilité, d'identitovigilance et de contrôle du fonctionnement (fiabilité des DM).

Un autre aspect crucial de la préparation est la mise en place de protocoles de sauvegarde et de récupération des données. Les DM étant souvent utilisés pour surveiller ou administrer des traitements vitaux, il est impératif de garantir que toutes les données soient sauvegardées de manière sécurisée et qu'elles puissent être restaurées en cas d’attaque. La redondance des systèmes critiques, via des dispositifs de secours par exemple, est également recommandée pour minimiser les interruptions de service.

Enfin, il est essentiel d’identifier avec les métiers :

  • les activités critiques de l’établissement en évaluant les impacts d’un incident, notamment sur la santé et l’accompagnement du patient ;
  • la capacité de travailler sans DM ou sans connexion au réseau ;
  • les modalités d’un rapide retour à la normale (capacité de reprise des données des DM, risques médico-légaux liés à la perte d'images non envoyées au PACS, etc.) ;
  • les procédures de continuité métier (conventions avec d'autres organismes pour la redirection d'activités, engagements d'intervention des prestataires ou de fourniture de matériel de prêt, procédures d'activation des modes dégradés des DM, etc.).

Orange Cyberdefense vous accompagne

Fort d'une bonne expérience auprès de nombreux établissements de santé, Orange Cyberdefense offre une gamme complète de services d’accompagnement dans la sécurisation des environnements biomédicaux.

Parmi les expertises de nos équipes :

  • la cartographie des SI biomédicaux ;
  • l’audit de sécurité (selon les référentiels spécifiques au domaine incluant l’identification et la classification des risques induits par les DM) et l’élaboration d’un plan d’action ;
  • la définition d’architecture cible et des exigences de sécurité des SI biomédicaux ;
  • la mise en place de dispositifs de détection et de supervision des environnements biomédicaux ;
  • la formation des équipes biomédicales à la cybersécurité ;
  • la mise en place de plans de continuité/reprise d’activité (PCA/PRA).

L’essentiel

La cybersécurité des DM est un enjeu majeur qui nécessite une attention permanente et une approche proactive. Pour assurer une protection efficace de ces dispositifs, tout en garantissant la sécurité des patients et la continuité des soins, les établissements de santé doivent identifier et hiérarchiser les risques spécifiques aux DM et mettre en œuvre des solutions appropriées. Cependant, une sécurisation excessive peut avoir des effets indésirables et nuire à la performance des DM. Pour éviter cela, il est crucial d'établir une collaboration étroite entre tous les acteurs concernés.
Orange Cyberdefense est là pour vous accompagner à construire une société numérique plus sûre. Faites appel à nos experts !