Publicité en cours de chargement...

Publicité en cours de chargement...

Quand la certification devient un frein à la sécurité des équipements biomédicaux

07 sept. 2020 - 14:17,
Actualité - DSIH
Les systèmes d’information des établissements de santé sont de plus en plus exposés aux cyberattaques, avec un risque de compromission des équipements biomédicaux connectés (tomodensitomètres, échographes, cardiographes, etc.) ou non. Comment bien protéger ces équipements ? Leurs conditions de certification sont-elles un frein à leur sécurisation ? Entretien avec Renaud Bidou, directeur technique pour l’Europe du Sud de Trend Micro.

En quoi les conditions de certification des équipements biomédicaux rendent-elles ces derniers plus sensibles aux cyberattaques ?

Renaud Bidou : Les conditions de certification imposent la non-altération des équipements biomédicaux par ceux qui en font l’acquisition, au risque de perdre la certification et la garantie. Dès lors, il devient impossible d’y installer des solutions de sécurité a posteriori (antimalware, antiransomware, etc.). Or, ces équipements étant de plus en plus connectés (possibilité de brancher une clef USB et d’échanger des données), les risques de contamination par un virus augmentent. Même un équipement biomédical présenté comme très sûr reste exposé à une possible faille de sécurité. Quand celle-ci est découverte, l’établissement doit se retourner vers le fabricant pour déployer un correctif, ce qui peut prendre du temps dans la mesure où des tests doivent être réalisés pour s’assurer que tout danger est écarté. Puisque l’appareil doit continuer à fonctionner, la vulnérabilité demeure tant que tout n’a pas été remis en ordre.On pourrait également ajouter les équipements biomédicaux qui ne disposaient pas de SSL à leur installation et continuent à communiquer en clair avec le SIH. Ils sont ainsi exposés à un vol de données, une altération de flux, un défaut de confidentialité, etc.Et, à partir du moment où les équipements biomédicaux peuvent échanger des données avec le SIH, c’est toute l’infrastructure de l’établissement qui s’en trouve fragilisée.

Puisqu’il est impossible d’ajouter de solutions de sécurité aux équipements biomédicaux eux-mêmes, comment les protéger contre les actes de cybermalveillance ?

Il faut envisager une sécurité périmétrique. Deux possibilités existent :

  • Un contrôle de sécurité pour le réseau (firewall, prévention d’intrusion, etc.) avec une contrainte propre au secteur de la santé : la transmission de données par un équipement médical (pousse-seringue, etc.) doit respecter un temps défini. Il ne faut donc ni perte de données ni impact sur les performances du réseau ;
  • La réalisation périodique sur des équipements non connectés d’un test pour s’assurer de l’absence d’un code malicieux. Une clef USB peut par exemple scanner de nuit un équipement de bloc non utilisé sans entacher ses performances. Un tel système ne nécessite aucune compétence informatique. Un code couleur renseigne le lendemain matin celui qui a connecté la clef sur la détection d’un éventuel problème. À charge pour un membre de la DSI d’analyser ce dernier.

Que proposez-vous chez Trend Micro pour renforcer la sécurité des équipements biomédicaux ?

L’idéal est d’intégrer une solution de sécurité dès la conception d’un équipement. Cette solution doit respecter les contraintes en matière de performances de l’équipement et de ressources du réseau. Nous fournissons des solutions de type SDK (Software Development Kit) assurant des veilles de vulnérabilité, avec un système de virtual patching qui bloque une attaque dès qu’elle est détectée.Nous proposons également des solutions plus classiques de sécurité périmétrique et des clefs USB pour scanner les équipements.Il faut protéger au mieux les équipements, en s’adaptant au contexte des établissements.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Illustration Interopérabilité en santé : FHIR on fire

Interopérabilité en santé : FHIR on fire

23 juin 2025 - 21:47,

Actualité

- DSIH, Guilhem De Clerck

HLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

Illustration « Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025

23 juin 2025 - 21:23,

Actualité

- DSIH, Mehdi Lebranchu

Le 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.