Publicité en cours de chargement...
Vulnérabilités à la pelle, nouveau règlement européen : les dispositifs médicaux de retour sur le devant de la scène SSI
Je vous parlais il y a une quinzaine de jours de l’alerte lancée par la FDA, appelant tous les patients américains disposant d’un pacemaker à se rapprocher de leur médecin pour savoir si leur stimulateur cardiaque faisait parti des 465 000 appareils vulnérables devant être « patchés » rapidement.
La semaine dernière, nous apprenions que les pompes à perfusion Medfusion 4000 de la marque Smiths Medical étaient atteintes de trois vulnérabilités et pas des moindres, qui ne seraient pas corrigées avant janvier 2018 !!!
Possibilité d’exécuter du code arbitraire à distance grâce un débordement de la mémoire tampon « buffer overflow » non maîtrisé, ce qui entraîne également la possibilité de neutraliser totalement le module de communication sans fil. Sans oublier la cerise sur le gâteau, connexion automatique Wifi avec des informations codées en dur dans le firmware de l’appareil. Le score CVSS V3 attribué à cette vulnérabilité (CVE-2017-12725) pas encore détaillée publiquement est de 9,8 / 10 !
Cette semaine, c’est au tour de Philips de corriger deux importantes vulnérabilités liées à la connexion Wifi de ces moniteurs patients portatifs MX40 de première génération. Ces vulnérabilités permettent de détourner le dispositif vers un autre réseau Wifi (je vous en parlerais plus en détails, prochainement sur le site de l’APSSIS) ce qui va faire passer le moniteur en mode autonome et ne plus renvoyer d’informations vers la centrale de surveillance, mais également et plus grave encore, l’éventualité que le moniteur passe en mode télémétrie et n’émette plus d’alarme en local non plus !
Clou du spectacle, on notera également cette semaine, la publication d’une « batterie » de vulnérabilités sur le protocole Bluetooth regroupées sous le nom de BlueBorne, et là encore les dispositifs médicaux ne seront probablement pas épargnés. Au delà de la vidéo de présentation très médiatique d’Armis Labs à faire flipper madame Michu. Il y a un vrai contenu et de vrais risques : https://www.kb.cert.org/vuls/id/240311
L’ANSM a annoncé dans un récent communiqué, la mise en œuvre progressive de deux nouveaux règlements européens [1] relatifs aux dispositifs médicaux, qui vont imposer plus de transparence et plus de traçabilité.
A noter :
- la création d’une nouvelle base de données européenne (pour une meilleure connaissance du marché, des incidents et des investigations cliniques)
- la mise en place d’un identifiant unique pour chaque DM
- notification des incidents au niveau européen pour les fabricants
- production de résumés périodiques de sécurité (PSUR) pour les fabricants
- cahier des charges renforcé en matière de compétences et de contrôles pour les organismes notifiés (avec notamment la mise en place de contrôles inopinés chez les fabricants)
- désignation d’un responsable du respect de la réglementation chez le fabricant
A part ça, j’ai entendu dire que le taux de chômage ne semblait pas s’accentuer dans le secteur de la SSI...
(1) Publiés au JO Européen le 05/05/2017
- Règlement (UE) 2017/745 sur les dispositifs médicaux
- Règlement (UE) 2017/746 sur les dispositifs médicaux de diagnostic in vitro
Avez-vous apprécié ce contenu ?
A lire également.

Un code de bonnes pratiques pour les modèles d'IA à usage général
15 juil. 2025 - 16:57,
Actualité
-Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient
08 juil. 2025 - 00:49,
Actualité
- Maellie Vezien, DSIHÀ l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...