
25 septembre 2020
Les objets connectés sont utilisés dans quasiment tous les secteurs d’activité et la santé ne fait pas exception. Les objets connectés de santé collectent des données biologiques et les transmettent au personnel médical afin d’effectuer un acte médical.
A titre d’illustration, un tensiomètre connecté permet au personnel médical d’effectuer une action qui aura un impact direct sur la santé d’un patient. Grâce à cet objet connecté, le personnel soignant pourra prescrire des médicaments contre l’hypertension, au dosage adapté à la condition du patient. On parle dès lors de dispositifs médicaux connectés (ou DMC) et ce sont bien à ces derniers (et autres stéthoscopes, thermomètres, etc.) que nous nous intéresserons dans cette série d’articles.
Attention, certains objets comme les balances ou les montres connectées ne sont pas des dispositifs médicaux mais des objets connectés de bien-être. Ils permettent uniquement un suivi quotidien de l’hygiène de vie du patient.
Il faut savoir que la télémédecine en France regroupe cinq actes médicaux différents :
Nous allons ici essentiellement nous intéresser à la télésurveillance médicale, qui semble plus propice à l’utilisation de dispositifs médicaux connectés. La télésurveillance permet en effet de suivre à distance des patients atteints de maladies chroniques lourdes. Les pathologies peuvent être de type diabétique, cardiaque, néphrologique ou pulmonaire par exemple. Le patient doit réaliser des prises de constantes vitales quotidiennement (tension, glycémie, température, etc.).
Les dispositifs médicaux connectés vont transmettre directement ces informations au médecin qui va recevoir une alerte en cas de dégradation de l’état de santé de son patient. Cela permet ainsi d’anticiper et d’éviter une potentielle hospitalisation.
Si les dispositifs médicaux connectés dans le cadre de la télésurveillance peuvent améliorer le parcours de soin, ils peuvent aussi présenter des risques en cas de compromission.
Pour le patient, il existe deux risques majeurs :
Pour illustrer ces risques, prenons un exemple concret.
Un attaquant peut se renseigner sur le programme de télésurveillance auquel le patient participe. Après quelques recherches, il se rend compte que l’application web pour se connecter à la plateforme de télésurveillance est indexée sur un célèbre moteur de recherche. Cette interface permet, en temps normal, au médecin de se connecter à la plateforme en s’authentifiant avec un identifiant et un mot de passe. L’attaquant découvre que le système d’authentification est vulnérable. Il va ainsi pouvoir extraire toutes les bases de données liées au patient, dont ses données de santé.
Ici, la vulnérabilité est la mauvaise sécurisation des différentes interfaces. Car il ne suffit pas de sécuriser le tensiomètre, il faut aussi sécuriser les différents modes d’accès. A noter qu’il existe un classement des vulnérabilités les plus critiques des objets connectés, consultable via ce lien : top 10 IoT de l’Open Web Application Security Project.
Dans notre exemple, voici quelques mesures de sécurité qui auraient pu réduire le risque :
Dans le prochain volet, nous nous intéresserons à un dispositif connecté encore plus critique, le défibrillateur cardiaque.