Assurer la cybersécurité des dispostifs médicaux dès leur développement
Vol de données de santé, piratages d’implants connectés, ransomwares contre des hôpitaux… Les menaces qui pèsent sur le secteur médical sont nombreuses. Les conséquences d’une attaque informatique sur un hôpital peuvent être lourdes. Pour assurer la sécurité des données de santé et des patients, il faut intégrer la cybersécurité dans les dispositifs médicaux (DM), dès leur conception. C’est ce que recommande l’Agence nationale de sécurité du médicament et des produits de santé (ANSM).
La cybersécurité, enjeu majeur du secteur de la santé
Pompes à insuline ou à perfusion, pacemakers, prothèses, implants… il existe de très nombreux dispositifs médicaux. Et ils sont de plus en plus souvent connectés aujourd’hui. La cybersécurité est donc devenue un enjeu majeur pour tout le secteur de la santé. Avoir accès aux données de santé représente une véritable mine d‘or pour les hackers. Elles sont parmi celles qui valent le plus cher sur le darknet.
D’après une étude menée par Fortinet, les hôpitaux américains auraient su 32 000 attaques par jour en 2017 contre 14300 en moyenne dans les autres secteurs de l’industrie. « La donnée de santé a de la valeur. Un dossier médical, sur le marché noir, se vend autour des 20-30 dollars. Un hôpital de province, en France, peut héberger 200 00 dossiers, soit 2 à 3 millions à la revente », a expliqué Vincent Trély, président de l’association pour la sécurité des systèmes d’information santé (APSSIS).
La santé 2.0
Des études ont montré qu’un hôpital américain possède en moyenne 15 objets « intelligents » par chambre. Il s’agit par exemple de pompes à perfusions ou de systèmes de surveillance de l’état des patients. Et les risques liés à l’utilisation de ces objets ne se limitent pas à l’enceinte des établissements de santé. En effet, les patients rentrent chez eux avec des appareils connectés tels que des pacemakers ou défibrillateurs connectés. Un rapport de 2017 avait identifié jusqu’à 1400 vulnérabilités dans un seul implant connecté.
Ces vulnérabilités peuvent être extrêmement dangereuses pour la santé des patients. Bien qu’aucun incident n’ait été rapporté jusqu’à aujourd’hui, les chercheurs affirment qu’il est possible de délivrer une décharge fatale à un pacemaker, de fausser les résultats d’un moniteur cardiaque ou encore de modifier le dosage d’une pompe à insuline.
Protéger les biens et les données de santé
Dans le secteur de la santé, la protection des biens et des données est une nécessité. En effet, l’exploitation d’une vulnérabilité peut avoir des conséquences néfastes jusqu’à impacter directement la sécurité des soins et la santé des patients. En 2017, la ransomware WannaCry a touché des milliers d’entreprises à travers le monde.
A l’époque, les systèmes informatiques de plusieurs hôpitaux du service national de santé britannique (National Health Service) ont été touchés. Conséquences : des milliers d’opérations ont dues être reportées, les réseaux téléphoniques ont été paralysés, ainsi que des services d’imagerie à rayons X. Afin d’assurer un service minimum, le personnel hospitalier avait été contraint de revenir aux supports papier.
Imposer le « security by design » pour les dispositifs médicaux
Le 19 juillet 2019, l’ANSM a lancé un projet de recommandation pour la cybersécurité des dispositifs médicaux. A destination des fabricants de dispositifs médicaux intégrant du logiciel, ce projet doit permettre la prise en compte de la cybersécurité lors du développement des produits. L’objectif est de réduire au maximum le risque d’attaque informatique.
Le projet de recommandation lancé par l’ANSM fait suite aux travaux menés par l’Agence sur la cybersécurité des DM qui avaient abouti en 2017 à la création d’un comité d’experts spécialisé dans la cybersécurité. L’année 2017 a également permis une revue en profondeur de la réglementation relative aux dispositifs médicaux. Deux nouveaux règlements ont vu le jour : l’un concerne les dispositifs médicaux et le second les dispositifs médicaux de diagnostic in vitro. Ils entreront en vigueur respectivement le 26 mai 2020 et le 26 mai 2022.
L’article 2.1 du nouveau règlement DM définit le dispositif médical comme « tout instrument, appareil, équipement, logiciel, implant, réactif, matière ou autre article, destiné par le fabricant à être utilisé, seul ou en association, chez l’homme pour l’une ou plusieurs des fins médicales précises suivantes :
- Diagnostic, prévention, contrôle, prédiction, pronostic, traitement ou atténuation d’une maladie.
- Diagnostic, contrôle, traitement, atténuation d’une blessure ou d’un handicap ou compensation de ceux-ci.
- Investigation, remplacement ou modification d’une structure ou fonction anatomique ou d’un processus ou l’état physiologique ou pathologique.
- Communication d’informations au moyen d’un examen in vitro d’échantillons provenant du corps humain, y compris les dons d’organes, de sang et de tissus et dont l’action principale voulue dans ou sur le corps humain n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens.
Faire face aux nouvelles menaces associées aux nouvelles technologies
Pour l’ANSM, la mise sur le marché des dispositifs médicaux est bien encadrée d’un point de vue réglementaire. En revanche, l’organisme estime que la culture de la cybersécurité est encore très hétérogène chez les fabricants de ces produits. « Si les dispositifs médicaux intégrant du logiciel sont de plus en plus connectés (wifi, radiofréquence, bluetooth, etc), ils devront faire face aux nouvelles menaces engendrées par les progrès technologiques notamment dans le domaine des malveillances informatiques », a indiqué l’ANSM.
Qu’est-ce qu’in dispositif médical connecté ? Il s’agit d’un dispositif connecté directement ou à distance à un système d’information de santé. Il est composé de matériel (serveurs, périphériques, dispositifs électroniques spécifiques), de logiciels et de données (fichiers, bases de données, etc). il s’inscrit fans une activité de production de soins en réalisant des fonctions de traitement médical, d’analyse médicale, de surveillance médicale, de diagnostic ou de supervision.
Prévenir toutes les attaques malveillantes
Le projet de recommandation a été rédigé afin de permettre aux fabricants de dispositifs médicaux de prendre les mesures nécessaires pour prévenir toute attaque malveillante à l’encontre de leurs DM et ainsi empêcher la compromission des données et l’utilisation détournées des DM qu’ils mettent sur le marché. Les recommandations sont divisées en 5 grands axes basés sur le cycle de vie du logiciel (conception, développement, distribution et mise en service, post-market, fin de vie). Le projet de recommandation est soumis à consultation publique jusqu’au 30 septembre 2019.