Le biomédical est-il le maillon faible de la cyber ?
C’est un sujet qui revient périodiquement, aussi bien au sein des DSI que des RSSI : l’IT et la cyber seraient plombés par le biomédical.
Autant le dire de suite, on pourrait étendre le sujet aux systèmes SCADA, aux systèmes de pilotage de bâtiment (GTB / GTC), aux systèmes techniques genre blanchisserie / stérilisation / robot de pharmacie (pas exactement du biomédical), et j’en passe. D’ailleurs, le biomédical lui-même est très hétérogène : on y range aussi bien les équipements d’imagerie classique, d’imagerie en coupe, de biologie, etc. Bref, c’est la foire, on va juste se concentrer sur le biomédical et il se dit (surtout dans les DSI) que les personnels biomédicaux sont des empêcheurs d’informatiser et de cyber-sécuriser en rond.
C’est beau les histoires qui semblent fédérer tout le monde comme un seul homme (femme), mais j’ai une légère tendance à ne pas prendre comptant tout ce que l’on me raconte, même et si surtout quand plus personne ne remet l’histoire en question (le Père Noël et la Petite souris je les ai encore en travers de la gorge, cela m’a rendu méfiant).
Que le secteur du biomédical ne soit pas « secured by design » dans pas mal de cas c’est un fait, mais essayons d’abord de classifier les causes. Il y en a plusieurs, à commencer par les cycles de renouvellement des équipements biomédicaux (souvent entre 5 et 10 ans) qui sont incompatibles avec ceux de l’IT (souvent autour de 5 ans) : quand l’IT cherche à renouveler un équipement dès qu’il n’y a plus de mise à jour logicielle, difficile d’accorder cela avec des systèmes techniques que l’on fait durer tant qu’il reste des pièces pour la maintenance (juste pour rire, on reparlera de la maintenance logicielle des voitures 100 % électriques dans quelques années).
Ensuite, pendant très longtemps l’IT et le biomédical ont vécu en parallèle sans trop se croiser, les interfaces techniques de connexion de type RJ45 ou Wifi sont assez récentes côté biomed qui a vécu longtemps avec du RS232 unidirectionnel. On a d’ailleurs vécu la même histoire, quelques années plus tôt, avec la téléphonie qui s’est faite littéralement avaler par l’IT, et cela n’a pas été simple pour les téléphonistes. Finalement, ce sont bien les équipements telco qui ont fini par se caler sur les contraintes de l’IT et pas l’inverse, cela a tout de même pris deux décennies.
Troisième cause : la très forte hétérogénéité des fournisseurs biomédicaux, le meilleur côtoie le pire du pire du pire. À côté de certains mastodontes du secteur (on les connaît) on trouve une myriade d’acteurs de niche, qui proposent en catalogue des produits d’ultra niche avec peu de concurrence, peu d’assise financière et aucune connaissance de la cyber, comment voulez-vous avancer dans ces conditions. Quand un fournisseur d’équipement de labotoire demande un compte admin de domaine pour faire fonctionner son bouzin (authentique) ou qu’il vous explique qu’il n’y a pas besoin de metre un antivirus sur son machin parce que le reste du LAN dispose d’un AV (genre pas besoin de vacciner son gamin puisque les gamins des autres sont vaccinés), là on part de loin. Si un acteur comme SIEMENS a pris le sujet à bras le corps et adresse clairement les grandes questions de la cyber (entre autre la télémaintenance qui est un sujet majeur), cela n’est pas venu de l’opération du Saint Esprit : en 2010 l’affaire Stuxnet (malware développé par le Mossad et la CIA pour corrompre les centrifugeuses Iranienne de marque SIEMENS, justement) a eu l’effet d’un électrochoc au sein du groupe.
Quatrième cause : les lacunes dans la sensibilisation des personnels biomédicaux, lacune à mettre sur le compte non pas uniquement du biomédical (trop facile), mais au moins à parts égales sur la tête de la DSI : on ne peut pas d’un côté se plaindre que les projets biomed ne respectent pas les règles d’hygiène IT et cyber et de l’autre ne pas former les copains.
Alors on fait quoi avec tout cela ? Les solutions sont connues, aucun secret, il reste juste à les appliquer, et notamment :
– former les ingénieurs et techniciens biomédicaux à l’IT et à la cyber, ainsi qu’aux contraintes de Maintien en Condition Opérationnelle et Sécurité (MCOS) inhérentes au domaine de l’IT et auxquelles ils devront de toute manière devoir faire face ;
– établir des labels incluant le respect de l’hygiène IT et cyber dans l’écosystème des fournisseur, le SNITEM a son rôle à jouer dans le nettoyage de ceux qui n’ont rien à faire sur ce marché ;
– doubler ces labels par des obligations réglementaires contraignantes, on finit par y venir après plus de 15 ans de supplique des acteurs de terrain auprès des pouvoirs publics ;
– exclure des marchés publics les canards boiteux ; ce n’est pas méchant c’est juste Darwin ;
– intégrer dans les budgets OPEX l’augmentation prévisible des coûts de MCOS des équipements biomédicaux ;
– mettre en place une biomédico-vigilance à l’échelon national, pour signaler les équipements défectueux.
Bon cela fait juste 20 ans que ces solutions sont connues, identifiées…et pas appliquées.