On apprenait en début d'année l'existence de graves failles dans les systèmes hospitaliers, révélées lors d'un contrôle de sécurité. Cela n’a pas surpris les spécialistes, conscients de ces risques depuis des décennies. La gestion de ces problèmes s'avère toutefois extrêmement difficile. Fabricants, cliniques et régulateurs ont tous un rôle à jouer pour trouver des solutions.
Lorsque des failles techniques avérées sont découvertes dans les dispositifs médicaux et signalées aux fabricants, ces derniers ne prennent pas les mesures correctives nécessaires ou réagissent négativement.
Le problème commence dès le développement des dispositifs médicaux. Ces dispositifs sont généralement développés par des entreprises issues d’autres secteurs que l’informatique, ou n’y étant liées que de manière indirecte. Les développeurs de produits et les ingénieurs se concentrent en priorité sur la fonctionnalité, tandis que les cyber-risques sont souvent relégués au second plan.
Marc Ruef est cofondateur de la société scip AG à Zurich, qui propose des conseils dans le domaine de la cybersécurité depuis 2002. Spécialisée dans les contrôles de sécurité des systèmes informatiques, l'entreprise se concentre notamment sur l'analyse des dispositifs médicaux.
Un problème central est que l’autorisation de mise sur le marché des dispositifs médicaux intègre peu les risques de cybersécurité et n’impose pas de directive contraignante. Ces risques sont de ce fait sous-estimés, voire ignorés.
On affirme souvent qu’une attaque ciblée contre des dispositifs médicaux est peu probable ou trop complexe en raison de leurs technologies, souvent inédites. Cette hypothèse est toutefois erronée.
Points faibles
Les dispositifs médicaux sont évalués, achetés et installés par les établissements de santé. Dans ce contexte, le critère de la cybersécurité est souvent relégué au second plan derrière les fonctionnalités et les coûts. Rares sont les clauses contractuelles fixant des obligations de sécurité pour les fabricants, telles que la correction des vulnérabilités dans un délai imparti.
Quand des failles de sécurité concrètes sont découvertes dans des dispositifs médicaux et signalées aux fabricants, ceux-ci n'y répondent généralement pas de manière constructive. Il arrive même que des avocats soient envoyés pour faire pression sur les auteurs de ces alertes. Les fabricants sont réticents à l'idée de devoir corriger les failles et, le cas échéant, de devoir repasser par la procédure d'obtention d'une autorisation de mise sur le marché.
Le détournement d'une pompe à perfusion en réseau pourrait par exemple provoquer une overdose mortelle.
En résulte une situation difficile pour les établissements de santé: face à un fabricant qui n'entend pas résoudre un problème, les possibilités de le contraindre à corriger le point faible sont limitées. Il est souvent impossible de mettre en œuvre des mesures de sécurité autonomes, et il est rare qu'un recours rapide à des produits alternatifs soit possible. Nombre d'établissements évitent donc de tels conflits, notamment en raison des coûts supplémentaires qu'ils engendrent.
Au final, ce sont les patients, dépendants de ces dispositifs, qui en subissent les conséquences.
Le détournement d'une pompe à perfusion en réseau pourrait par exemple provoquer une overdose mortelle. De même, la suppression ciblée de messages d'alerte sur un moniteur patient peut entraîner une détection trop tardive d'états potentiellement fatals. De telles faiblesses ont déjà été découvertes et documentées pour certains produits.
Ce qui doit changer
La solution à ce problème est complexe. Il n'existe pas de mesure unique permettant d'apporter une amélioration rapide et globale. Au contraire, un changement de mentalité est nécessaire à plusieurs niveaux:
- Autorisation de mise sur le marché: les autorités de régulation doivent davantage intégrer les aspects de la sécurité informatique dans les procédures d'autorisation et définir des normes de sécurité obligatoires. En outre, des mises à jour de sécurité à court terme devraient pouvoir être effectuées sans que cela n'entraîne une procédure d'autorisation complète.
- Les hôpitaux: la cybersécurité doit jouer un rôle plus important lors de l'achat de dispositifs médicaux. Les établissements de santé devraient établir des règles contractuelles claires avec les fabricants afin de garantir la résolution rapide des faiblesses identifiées.
- Fabricants: ceux-ci doivent prendre conscience de leur responsabilité et considérer la sécurité informatique comme une partie intégrante du développement des produits.
