En ce moment

Dispositifs médicaux et piratage : il y a urgence

Posté le 4 décembre 2019
par Philippe RICHARD
dans Informatique et Numérique

De plus en plus d'hôpitaux adoptent l'Internet des objets (IoT), des appareils portables aux stylos à insuline intelligents. Mais ni les hôpitaux ni les fabricants n’ont encore mis en place toutes les mesures pour limiter au maximum les risques de piratage…

Les cybercriminels adorent faire du business ! La croissance du nombre d’appareils (comme les inhalateurs connectés) et d’applications de surveillance (dont celle pour l’Apple Watch), le vieillissement de la population et la conformité réglementaire sont autant de facteurs qui les attirent comme les pies sont attirées par les objets brillants !

Le marché de la télésanté est en forte croissance : il était évalué à 49,8 milliards de dollars en 2018. En 2026, il pourrait atteindre 266,8 milliards.

Mais cette croissance crée de nombreux casse-tête pour les solutions de contrôle d’accès et de sécurité.  Si vous êtes cardiaque, ne lisez pas cet article ! 15 millions de dossiers de patients ont été divulgués lors de 503 atteintes à la protection des données médicales en 2018 aux Etats-Unis, soit près du triple du nombre d’incidents signalés l’année précédente, selon le Baromètre Protenus 2019.

Les entreprises qui hébergent ce type de données sensibles ne sont pas les seules responsables de cette insécurité chronique. En 2018, des experts en cybersécurité ont découvert des vulnérabilités chez les programmeurs de stimulateurs cardiaques (Carelink 2090) et les pompes à insuline (modèles comme le MiniMed 508) fabriquées par Medtronic.

Boîtes noires

En avril dernier, plusieurs dispositifs de Becton Dickinson and Co. (BD), entreprise de matériel médical, se sont révélés vulnérables, permettant, potentiellement, aux pirates de modifier et d’exfiltrer les dossiers des patients.

Pourquoi de telles failles ? Premièrement, la sécurité n’a pas été (pour l’instant…) la priorité des fabricants de matériels médicaux. Ce n’est d’ailleurs pas propre à ce secteur. Les objets connectés de manière générale ont un très faible (voire aucun) niveau de protection. La priorité a été donnée à l’ergonomie…

Pour revenir à la santé, de nombreux périphériques utilisent les mêmes mots de passe administratifs codés en dur pour permettre l’accès « admin » sur plusieurs périphériques. Pire, ces mots de passe ne peuvent pas être modifiés par les utilisateurs ou même l’administrateur système de l’installation !

D’autres dispositifs médicaux connectés ne sont pas munis d’un accès authentifié. Résultat, les comptes administrateurs peuvent être utilisés par des techniciens de service pour la gestion des dispositifs. Aucune authentification n’est requise pour l’accès régulier des utilisateurs.

« Les dispositifs médicaux sont des « boîtes noires » ; on ne sait pas ce qu’il y a dedans ni s’il y a suffisamment de sécurité. Les hôpitaux sont dépendants de ces grandes marques internationales », constate Philippe Loudenot, Fonctionnaire de la sécurité des systèmes d’information (FSSI) des ministères sociaux

Malgré différentes réglementations et recommandations, dont celle de l‘Agence nationale de sécurité du médicament, la sécurité reste encore très faible. Pourtant différentes mesures devraient être prises par les industriels parmi lesquelles un stockage sécurisé de la puce, un chargeur de démarrage verrouillable et un développement du firmware et du logiciel par une équipe comprenant des experts en sécurité.

D’autres mesures doivent être prises par les établissements de santé parmi lesquelles :

Toutes ces mesures sont indispensables, car les conséquences peuvent être graves voire dramatiques. Les attaques peuvent non seulement détruire des systèmes informatiques, mais également paralyser la capacité des hôpitaux à respecter les rendez-vous des clients.

Il y a quelques jours, le CHU de Rouen a été visé par une cyberattaque (reposant sur un ransomware ou rançongiciels) qui a paralysé son système informatique pendant plusieurs jours.


Pour aller plus loin