Publicité en cours de chargement...

Publicité en cours de chargement...

Le WAF et l’IPS peuvent-ils sauver nos dispositifs médicaux connectés ?

11 mai 2021 - 10:39,
Tribune - Charles Blanc-Rolin
    

Dans un récent épisode de l’excellent podcast No Limit Sécu [1] auquel j’ai eu le privilège de participer aux côtés de mon ami Laurent MAURIOT, nous avons abordé les problématiques liées à la sécurité des dispositifs médicaux en comparant la vision du RSSI avec celle du Biomédical.

Suite à la publication de cet épisode, j’ai reçu plusieurs commentaires et questions, dont une que je souhaite partager avec vous.

Les dispositifs médicaux sont vulnérables, difficiles à protéger puisque nous ne pouvons pas appliquer les correctifs de sécurité sur les systèmes d’exploitation et logiciels embarqués ou encore installer des solutions de protection de type « endpoint » sans risquer de compromettre le marquage CE du constructeur.

Au-delà du marquage CE, qui est une « validation » de l’état de bon fonctionnement d’un DM et que nous voyons bien souvent comme un frein à la sécurité numérique, si nous appliquons des correctifs de sécurité sur un appareil de radiothérapie par exemple pour voir ressortir le patient grillé comme un poulet qui a passé sa matinée dans la rôtissoire du boucher du quartier, nous pouvons dire que nous avons amélioré le niveau de sécurité numérique de l’appareil, mais dégradé celui du patient, ce qui est absurde à mon sens, même si certains ne l’entendent pas ainsi.

Vous me direz, faut-il encore que l’appareil et / ou la machine qui le pilote dispose d’un système d’exploitation supporté par son éditeur, et par conséquent soit susceptible de recevoir des correctifs de sécurité.

Puisqu’il n’est pas possible de protéger ces appareils de certaines vulnérabilités bien connues et surtout exploitées, pourquoi ne pas utiliser un WAF et un IPS pour bloquer les flux réseau malveillants permettant d’exploiter des vulnérabilités sur l’appareil ? C’est la question que l’on m’a posée.

Commençons par le commencement, qu’est-ce qu’un WAF et IPS ?

- Un WAF, Web Application Firewall est une solution matérielle ou logicielle permettant de protéger un serveur Web et l’application potentiellement vulnérable qu’il héberge en filtrant les flux malveillants connus, émis par les utilisateurs se connectant à l’application. Sa fonction de déchiffrement des flux Web est aujourd’hui indispensable pour détecter pleinement les menaces sur un flux SSL / TLS.

- Un IPS, Intrusion Prevention System, est la version « videur de boite de nuit » de l’IDS, Intrusion Detection System, qui se « contente » d’alerter en cas de détection d’une anomalie dans un flux réseau, en se basant là aussi sur des règles qu’on lui aura fournies au préalable. L’IPS pourra intervenir lui aussi sur des flux Web, avec ou sans déchiffrement, même si les flux chiffrés seront forcément plus difficiles à analyser, mais aussi et surtout, il sera capable d’intercepter des flux sur d’autres protocoles applicatifs tels que, FTP, Telnet, SSH, SMB, DNS, RDP etc... mais aussi de descendre dans les couches inférieures du modèle OSI.

Sur le sujet, je vous suggère le récent épisode de No Limit Sécu (et oui encore) dédié à l’OISF et Suricata avec Éric LEBLOND [2].

Si sur le plan « technico-technique », l’idée n’est pas incohérente du tout, reprenons notre contexte du secteur de la santé. Si j’intercepte un flux entre deux appareils, même dans un but légitime de protection du dispositif, déjà je risque de compromettre le marquage CE médical, puisque je vais modifier le fonctionnement de celui-ci… bien souvent c’est l’ensemble des appareils, machines pilotes et applicatifs qui composent le dispositif médical… et je risque de porter atteinte à la disponibilité, voir l’intégrité de certaines données, et par conséquent faire prendre un risque au patient. Il ne faut pas se leurrer, si les constructeurs de DM ont codé leurs applicatifs avec les pieds et qu’il ne supporte pas un correctif de sécurité, il y a des chances que les flux échangés sur le réseau, ne soient eux aussi, pas très propres et susceptibles d’être interceptés par un WAF ou un IPS.

Si certains ont envie de jouer, moi pas. N’oublions pas que c’est le patient qui est connecté à l’autre bout du câble.


[1] https://www.nolimitsecu.fr/dispositifs-medicaux/

[2] https://www.nolimitsecu.fr/oisf-suricata/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

22 juil. 2025 - 10:23,

Communiqué

- Biogroup & Agoria Santé

le 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Illustration Un code de bonnes pratiques pour les modèles d'IA à usage général

Un code de bonnes pratiques pour les modèles d'IA à usage général

15 juil. 2025 - 16:57,

Actualité

-
Marguerite Brac de La Perrière

Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Illustration Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

08 juil. 2025 - 00:49,

Actualité

- Maellie Vezien, DSIH

À l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.