Objets connectés de santé et cybersécurité : les défibrillateurs cardiaques ? (2/3)

On entend souvent parler de pacemaker pour désigner un défibrillateur cardiaque. Or, c’est un abus de langage car il existe en réalité deux types d’implants cardiaques différents.

Le pacemaker est un stimulateur cardiaque qui envoie un choc électrique lorsqu’il « constate » une fréquence cardiaque trop lente, afin d’éviter un malaise cardiaque.

Le Défibrillateur Implantable Actif (DIA) est un implant qui a vocation à traiter les fréquences cardiaques trop rapides.

Dans cet article, nous prendrons pour exemple le DIA. A noter que le fonctionnement des deux dispositifs est très semblable.

Par la suite, le patient retourne à son domicile et installe le dernier dispositif, à savoir la station de monitoring (4) dans sa chambre, au plus près de son lit. A heure fixe, la nuit le plus souvent, la station va demander au DIA de lui transmettre des informations, non chiffrées, par radio fréquence. La station de monitoring envoie via le réseau télécom (3G, 4G en règle générale) les informations chiffrées cette fois-ci, au serveur servant de support. Le médecin peut désormais accéder aux données via une application web ou recevoir une alerte sur son téléphone en cas de problème.

A noter que la station de monitoring n’est pas censée pouvoir configurer le DIA.

Le premier enseignement que nous pouvons tirer est que les DIA ne se limitent pas à de simples implants, ils font partie d’un environnement composé de différents flux réseaux qui circulent entre plusieurs dispositifs. Aussi, en matière de sécurisation, il ne faut donc pas se limiter au DIA, mais également tenir compte du programmateur et de la station de monitoring, qui sont eux aussi des portes d’entrée pour un éventuel attaquant. Pour que cela soit plus parlant, nous allons vous présenter deux scénarios d’attaques.

• La compromission du programmateur du DIA ;
• Le drainage du DIA via la station de monitoring.

Les dispositifs médicaux ont longtemps été pensés en tenant compte des problématiques de sûreté et non de sécurité. Ce déséquilibre est à l’origine des risques d’attaque que nous avons présentés.

En informatique, la sécurité consiste en la protection contre les actes malveillants ou criminels, tandis que la sûreté prévient les erreurs et les accidents. Par exemple, le fait qu’il existe un mode de fonctionnement dégradé, en cas de disfonctionnement, pour un objet de santé connecté relève de la sûreté. Or les fabricants et le secteur médical privilégient cette dernière.

Cela est tout à fait compréhensible, il s’agit d’une problématique plus ancienne et profondément ancrée dans le monde médical et sa vocation (sauver des vies) comparé à la sécurité informatique. De plus, il y a la crainte légitime du dysfonctionnement en cas de mise en œuvre de nouvelles mesures de sécurité. Il est d’ailleurs assez fréquent que les contrats de maintenance des appareils médicaux interdisent l’ajout de nouvelles mesures sans l’accord du fabricant.

Cependant les choses évoluent, la cybersécurité commence à se faire une place dans les environnements médicaux, y compris en milieu hospitalier et la nouvelle règlementation européenne relative aux dispositifs médicaux (Medical Device Regulation ou MDR) en est le parfait exemple. Historiquement, centré sur la sûreté et la qualité, le nouveau règlement innove en traitant de la sécurité informatique des dispositifs médicaux. Mais cela nous le verrons au sein de notre prochain (et dernier) volet.

[1] Injecting and Removing Cancer from CT Scans – Ben Gurion University : www.youtube.com/watch

[2] Security Evaluation of the Implantable Cardiac Device Ecosystem Architecture and Implementation Interdependencies, ,WhiteScope, Billy Rios et Jonathan Butts,17 mai 2017