6 min

Quelles solutions pour assurer la cybersécurité des équipements biomédicaux ?

Alors que la numérisation des établissements de santé se développe rapidement pour répondre aux besoins des patients, mais également aux besoins des professionnels de santé, les vulnérabilités identifiées sont proportionnellement de plus en plus nombreuses avec un risque de cyberattaque croissant.

De plus, la numérisation et l’exploitation des données de santé seront les principaux enjeux de la prochaine décennie, avec plusieurs objectifs :

  • De meilleurs diagnostics des patients ;
  • Une optimisation des prises en charge au sein des établissements de santé ;
  • Une valorisation des données à des fins de recherche et d’essais cliniques.

Or, l’augmentation de la génération de données accroît l’appétit des attaquants. Cela se manifeste par une augmentation importante des fuites de données de santé qui se revendent sur les marchés du darknet. En effet, rien qu’au mois de janvier un hôpital américain (Broward Health) a été victime d’une fuite de données concernant plus d’un million de patients, même chose pour des hôpitaux indonésiens. En France, l’hôpital d’Arles s’est vu dérober plusieurs dizaines de dossiers de patients avant que les attaquants ne demandent une rançon. Selon une étude de la société Cynerio, la part des fuites de données causées par les équipements biomédicaux équivaut à celle causées par le phishing, ce qui est donc colossal.

Ainsi, les établissements de santé doivent faire face à une menace grandissante compte tenu de la nature des données traitées (données de santé) et de l’exposition croissante de leurs infrastructures via le développement de la télémédecine, de la téléexpertise, etc. Parmi les composants des infrastructures numériques des établissements de santé, les équipements biomédicaux prennent une part de plus en plus importante et stratégique. Il est donc nécessaire de permettre aux centres hospitaliers de maîtriser les risques numériques liés à ces nouveaux outils connectés.

Pourquoi les équipements biomédicaux sont-ils une cible importante pour les attaquants ?

Les équipements biomédicaux qui peuvent être une source importante de fuites de données, sont présents à divers stades de la prise en charge des patients et certains touchent directement l’intégrité corporelle des patients. Les conséquences de l’exploitation d’une vulnérabilité peuvent être critiques et concernent, par conséquent, la sécurité des patients.

Par exemple, en 2020, IBM a découvert une vulnérabilité (CVE-2020-15858) qui permettrait aux attaquants de prendre le contrôle à distance des pompes à insulines et de modifier les doses de médicaments injectées aux patients. La conséquence peut être létale pour le patient.

Cette faille permettrait également de modifier les données émises vers les moniteurs d’appareils biomédicaux afin, par exemple, de créer une fausse panique au sein d’un service. Le sujet est devenu très important, à tel point que l’agence de cybersécurité américaine, la CISA, a édité une note d’analyse sur le sujet afin d’alerter sur l’importance de cette faille.

Mais il s’avère que les établissements de santé n’ont que très peu de pouvoir concernant la mise en œuvre des équipements en leur sein. Par exemple, les éditeurs de logiciels biomédicaux demandent régulièrement de désactiver l’antivirus sur un dossier du système d’information hospitalier pour permettre le bon fonctionnement de son outil. Il s’agit d’une pratique inacceptable, surtout pour des géants internationaux des équipements biomédicaux quand on connaît les risques qu’engendrent cette levée de protection. Or, si les établissements de santé n’acceptent pas cette pratique, alors, l’éditeur rétorque que la maintenance ne pourra être opérée par ces équipes. Ce qui n’est évidemment pas entendable lorsqu’il s’agit d’équipements vitaux pour les patients.

Par conséquent, c’est donc uniquement sur les établissements de santé qu’incombe la charge de la cybersécurité des équipements biomédicaux. Alors même que ces équipements sont de plus en plus interconnectés aux systèmes d’information de santé voire à Internet (pour la télémédecine par exemple). Il est donc urgent de maîtriser les risques numériques liés aux équipements biomédicaux.

Quelles réponses apporter ?

En préambule, il est important d’indiquer que la cybersécurité ne doit pas impacter la prise en charge des patients au sein des établissements de santé. Mais, il est nécessaire de s’assurer qu’ils ne soient pas la porte d’entrée des attaquants sur données des systèmes d’information de santé.

Il faut donc que les éditeurs des équipements biomédicaux et les utilisateurs finaux échangent sur les modalités de déploiement de ces équipements.

Aujourd’hui, lorsqu’un éditeur souhaite mettre en œuvre un équipement dans un centre hospitalier, il arrive avec une solution certifiée et prête à l’emploi. Il n’est pas aisé de modifier les équipements qui comportent leurs lots de vulnérabilités et d’identifier l’ensemble des composants logiciels utilisés. Malgré la mise en place de procédures d’homologation de sécurité telle que le préconise l’ANSSI, si les éditeurs biomédicaux ne font pas d’effort de transparence et de souplesse, celles-ci ne seront pas très utiles pour avoir une considération pragmatique du risque.

Il faut donc inciter les industriels à développer des équipements qui soient « secure by design » avec une plus grande transparence vis-à-vis de leurs produits. Ce qui donnerait aux établissements de santé la capacité de détecter rapidement la présence de vulnérabilités au sein de leurs propres systèmes d’information de santé au moment où l’étude de Cynerio indique que plus de la moitié des équipements connectés comportent au moins une vulnérabilité.

En effet, ces équipements utilisent de nombreux composants tiers, qui peuvent les rendre vulnérables à tout moment. Par exemple, en décembre 2021, les établissements de santé ont rencontré des difficultés à recenser rapidement les équipements biomédicaux qui utilisaient une librairie Log4J à la suite de la vulnérabilité logicielle trouvée (CVE-2021-44228), pourtant notée 10/10 selon le score de sévérité CVSSv3. Dans ces conditions, il est difficile de maintenir un niveau de cybersécurité acceptable.

Pour apporter un début de réponse, la mise en place d’une nomenclature logicielle permettrait aux éditeurs et aux établissements de santé de connaitre rapidement et de manière exhaustive l’étendue d’une vulnérabilité touchant des composants à travers une simple recherche. Ce travail de transparence est indispensable à une meilleure sécurisation des centres hospitaliers. Tout cela, dans le but d’adopter une démarche de cybersécurité globale des établissements de santé, voire d’envisager la mise en place d’une certification des équipements biomédicaux, à l’instar de la CSPN de l’ANSSI.

Mais il faut être lucide : cette mesure doit également s’accompagner d’une meilleure gestion des équipements biomédicaux au sein des établissements de santé. Par exemple, selon un rapport de CyberMDX et de Phillips, 65 % des établissements de santé américains auditionnés ont déclaré utiliser des méthodes manuelles pour réaliser l’inventaire des équipements qui sont donc peu fiables.

En conclusion, les industriels et les établissements de santé doivent agir ensemble afin d’assurer une meilleure protection des données de santé des patients tout en développant les nouveaux usages pour les professionnels de santé.

Partager cet article avec un ami