Le WAF et l’IPS peuvent-ils sauver nos dispositifs médicaux connectés ?

Dans un récent épisode de l’excellent podcast No Limit Sécu [1] auquel j’ai eu le privilège de participer aux côtés de mon ami Laurent MAURIOT, nous avons abordé les problématiques liées à la sécurité des dispositifs médicaux en comparant la vision du RSSI avec celle du Biomédical.

Suite à la publication de cet épisode, j’ai reçu plusieurs commentaires et questions, dont une que je souhaite partager avec vous.

Les dispositifs médicaux sont vulnérables, difficiles à protéger puisque nous ne pouvons pas appliquer les correctifs de sécurité sur les systèmes d’exploitation et logiciels embarqués ou encore installer des solutions de protection de type « endpoint » sans risquer de compromettre le marquage CE du constructeur.

Au-delà du marquage CE, qui est une « validation » de l’état de bon fonctionnement d’un DM et que nous voyons bien souvent comme un frein à la sécurité numérique, si nous appliquons des correctifs de sécurité sur un appareil de radiothérapie par exemple pour voir ressortir le patient grillé comme un poulet qui a passé sa matinée dans la rôtissoire du boucher du quartier, nous pouvons dire que nous avons amélioré le niveau de sécurité numérique de l’appareil, mais dégradé celui du patient, ce qui est absurde à mon sens, même si certains ne l’entendent pas ainsi.

Vous me direz, faut-il encore que l’appareil et / ou la machine qui le pilote dispose d’un système d’exploitation supporté par son éditeur, et par conséquent soit susceptible de recevoir des correctifs de sécurité.

Puisqu’il n’est pas possible de protéger ces appareils de certaines vulnérabilités bien connues et surtout exploitées, pourquoi ne pas utiliser un WAF et un IPS pour bloquer les flux réseau malveillants permettant d’exploiter des vulnérabilités sur l’appareil ? C’est la question que l’on m’a posée.

Commençons par le commencement, qu’est-ce qu’un WAF et IPS ?

- Un WAF, Web Application Firewall est une solution matérielle ou logicielle permettant de protéger un serveur Web et l’application potentiellement vulnérable qu’il héberge en filtrant les flux malveillants connus, émis par les utilisateurs se connectant à l’application. Sa fonction de déchiffrement des flux Web est aujourd’hui indispensable pour détecter pleinement les menaces sur un flux SSL / TLS.

- Un IPS, Intrusion Prevention System, est la version « videur de boite de nuit » de l’IDS, Intrusion Detection System, qui se « contente » d’alerter en cas de détection d’une anomalie dans un flux réseau, en se basant là aussi sur des règles qu’on lui aura fournies au préalable. L’IPS pourra intervenir lui aussi sur des flux Web, avec ou sans déchiffrement, même si les flux chiffrés seront forcément plus difficiles à analyser, mais aussi et surtout, il sera capable d’intercepter des flux sur d’autres protocoles applicatifs tels que, FTP, Telnet, SSH, SMB, DNS, RDP etc... mais aussi de descendre dans les couches inférieures du modèle OSI.

Sur le sujet, je vous suggère le récent épisode de No Limit Sécu (et oui encore) dédié à l’OISF et Suricata avec Éric LEBLOND [2].

Si sur le plan « technico-technique », l’idée n’est pas incohérente du tout, reprenons notre contexte du secteur de la santé. Si j’intercepte un flux entre deux appareils, même dans un but légitime de protection du dispositif, déjà je risque de compromettre le marquage CE médical, puisque je vais modifier le fonctionnement de celui-ci… bien souvent c’est l’ensemble des appareils, machines pilotes et applicatifs qui composent le dispositif médical… et je risque de porter atteinte à la disponibilité, voir l’intégrité de certaines données, et par conséquent faire prendre un risque au patient. Il ne faut pas se leurrer, si les constructeurs de DM ont codé leurs applicatifs avec les pieds et qu’il ne supporte pas un correctif de sécurité, il y a des chances que les flux échangés sur le réseau, ne soient eux aussi, pas très propres et susceptibles d’être interceptés par un WAF ou un IPS.

Si certains ont envie de jouer, moi pas. N’oublions pas que c’est le patient qui est connecté à l’autre bout du câble.

---

[1] https://www.nolimitsecu.fr/dispositifs-medicaux/

[2] https://www.nolimitsecu.fr/oisf-suricata/