Publicité en cours de chargement...

Publicité en cours de chargement...

Equipements biomédicaux : La certification des appareils peut-elle garantir un haut niveau de sécurité ?

15 juin 2020 - 13:58,
Tribune - Par Renaud Bidou, Trend Micro
La pandémie de COVID-19 a placé les établissements de santé au cœur de l’actualité. Semaine après semaine, leurs forces vives se sont mobilisées quotidiennement pour sauver des vies. Or le caractère inédit de cette situation sanitaire et la vulnérabilité du secteur ont naturellement incité certains hackers non-éthiques à mener des cyberattaques spécifiques à l’encontre des établissements hospitaliers. 

Par Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro

Ces attaques profitent de la situation actuelle pour tenter d’infecter les systèmes informatiques avec des ransomwares pouvant mener à l’arrêt des réseaux et des équipements médicaux électroniques et connectés. De nombreux spécialistes de la sécurité informatique surveillent constamment ces attaques afin de recueillir autant d'informations que possible et de permettre de réagir de manière appropriée, voire de les juguler lorsque cela est possible.

Malheureusement, tant dans les soins de santé que dans l'industrie, les organismes attaqués sont souvent confrontés à des situations quelque peu controversées. La plupart du temps, ces attaques ne compromettent pas les ordinateurs ou serveurs traditionnels, mais plutôt tout un ensemble d’appareils médicaux connectés (tomodensitomètres, échographes, cardiographes, etc.). Ces derniers disposent d’un boîtier et de branchements spécifiques les amenant à bénéficier de certifications qui interdisent bien souvent l'installation de tout type de logiciel de sécurité.

Des certifications trop strictes ?

Du fait de la certification de ces appareils de santé et des garanties inhérentes aux résultats qu’ils fournissent, il est quasi impossible d'y installer une quelconque solution de sécurité. Une question de pose alors : les organismes de certification et les fabricants d'appareils garantissent-ils la qualité des résultats délivrés, même en cas d’infection par un malware ? C'est désormais un aspect à prendre au sérieux par les constructeurs et les administrations de santé.

Parfois, et en particulier avec les appareils biomédicaux électroniques, la certification empêche l'installation de correctifs en cas de systèmes d'exploitation obsolètes. Il est notamment très compliqué de surveiller le flux de données sans nuire aux résultats de ces appareils. Mais sur quelle base ces certifications s’appuient-elles ? Les cas dans lesquels les résultats sont garantis même lorsqu’un logiciel malveillant infiltre les dispositifs ou le réseau auquel ils sont connectés sont-ils pris en compte ? Afin de s’en assurer, la certification des appareils industriels -et des équipements médicaux électroniques en particulier- doit donc être revue et devenir une priorité dès le début du processus d'acquisition.

Réduire les risques d’attaques ciblant les établissements de santé

Depuis le début de la pandémie, les établissements de santé ont subi une série d'attaques, dont la plupart a spécifiquement compromis les appareils médicaux électroniques non mis à jour ou non équipés de logiciel de sécurité pour des raisons de certification.

Compte tenu du risque sanitaire que ces attaques représentent, les hôpitaux devraient à l’avenir exiger que leurs fournisseurs certifient leurs appareils et en garantissent les résultats délivrés, même en cas d’attaque par malware. Cette certification doit également avoir pour objectif de protéger le reste du réseau car, si un malware pénétrait dans l'un de ces appareils, il agirait comme un cheval de Troie infiltrant l'ensemble de l'infrastructure, et augmenterait ainsi de façon exponentielle le risque de mise à l’arrêt définitif. S'il est vrai que de tels dommages peuvent être évités en renforçant la protection de l'infrastructure, il est également vrai que des contrôles spécifiques au sein des appareils réduiraient davantage ce risque.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

Le projet eNovA-Path : une plateforme de numérisation et d’échange des données d’anatomopathologie au service des patients en Nouvelle-Aquitaine

01 juil. 2025 - 00:42,

Actualité

- Propos recueillis par Pauline Nicolas

La création d’une plateforme digitale en anatomopathologie entre les trois CHU de Nouvelle-Aquitaine afin d’améliorer la prise en charge des patients et faciliter l’accès aux expertises entre différents établissements de santé reflète l’ambition et les objectifs du projet eNovA-Path qui se déploie a...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Un nouveau Comex pour le Conseil du numérique en santé

Un nouveau Comex pour le Conseil du numérique en santé

30 juin 2025 - 23:46,

Actualité

- Damien Dubois, DSIH

Le 24 juin, le 13e Conseil du numérique en santé a réuni l’ensemble des parties prenantes en la matière, dans la perspective notamment de l’Espace européen des données de santé.

Illustration Le Groupe Softway Medical accueille Bpifrance à son capital

Le Groupe Softway Medical accueille Bpifrance à son capital

30 juin 2025 - 21:20,

Communiqué

- Le Groupe Softway Medical

Le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée de Bpifrance, la Banque publique d’investissemen...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.