Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Le WAF et l’IPS peuvent-ils sauver nos dispositifs médicaux connectés ?

11 mai 2021 - 10:39,
Tribune - Charles Blanc-Rolin
    

Dans un récent épisode de l’excellent podcast No Limit Sécu [1] auquel j’ai eu le privilège de participer aux côtés de mon ami Laurent MAURIOT, nous avons abordé les problématiques liées à la sécurité des dispositifs médicaux en comparant la vision du RSSI avec celle du Biomédical.

Suite à la publication de cet épisode, j’ai reçu plusieurs commentaires et questions, dont une que je souhaite partager avec vous.

Les dispositifs médicaux sont vulnérables, difficiles à protéger puisque nous ne pouvons pas appliquer les correctifs de sécurité sur les systèmes d’exploitation et logiciels embarqués ou encore installer des solutions de protection de type « endpoint » sans risquer de compromettre le marquage CE du constructeur.

Au-delà du marquage CE, qui est une « validation » de l’état de bon fonctionnement d’un DM et que nous voyons bien souvent comme un frein à la sécurité numérique, si nous appliquons des correctifs de sécurité sur un appareil de radiothérapie par exemple pour voir ressortir le patient grillé comme un poulet qui a passé sa matinée dans la rôtissoire du boucher du quartier, nous pouvons dire que nous avons amélioré le niveau de sécurité numérique de l’appareil, mais dégradé celui du patient, ce qui est absurde à mon sens, même si certains ne l’entendent pas ainsi.

Vous me direz, faut-il encore que l’appareil et / ou la machine qui le pilote dispose d’un système d’exploitation supporté par son éditeur, et par conséquent soit susceptible de recevoir des correctifs de sécurité.

Puisqu’il n’est pas possible de protéger ces appareils de certaines vulnérabilités bien connues et surtout exploitées, pourquoi ne pas utiliser un WAF et un IPS pour bloquer les flux réseau malveillants permettant d’exploiter des vulnérabilités sur l’appareil ? C’est la question que l’on m’a posée.

Commençons par le commencement, qu’est-ce qu’un WAF et IPS ?

- Un WAF, Web Application Firewall est une solution matérielle ou logicielle permettant de protéger un serveur Web et l’application potentiellement vulnérable qu’il héberge en filtrant les flux malveillants connus, émis par les utilisateurs se connectant à l’application. Sa fonction de déchiffrement des flux Web est aujourd’hui indispensable pour détecter pleinement les menaces sur un flux SSL / TLS.

- Un IPS, Intrusion Prevention System, est la version « videur de boite de nuit » de l’IDS, Intrusion Detection System, qui se « contente » d’alerter en cas de détection d’une anomalie dans un flux réseau, en se basant là aussi sur des règles qu’on lui aura fournies au préalable. L’IPS pourra intervenir lui aussi sur des flux Web, avec ou sans déchiffrement, même si les flux chiffrés seront forcément plus difficiles à analyser, mais aussi et surtout, il sera capable d’intercepter des flux sur d’autres protocoles applicatifs tels que, FTP, Telnet, SSH, SMB, DNS, RDP etc... mais aussi de descendre dans les couches inférieures du modèle OSI.

Sur le sujet, je vous suggère le récent épisode de No Limit Sécu (et oui encore) dédié à l’OISF et Suricata avec Éric LEBLOND [2].

Si sur le plan « technico-technique », l’idée n’est pas incohérente du tout, reprenons notre contexte du secteur de la santé. Si j’intercepte un flux entre deux appareils, même dans un but légitime de protection du dispositif, déjà je risque de compromettre le marquage CE médical, puisque je vais modifier le fonctionnement de celui-ci… bien souvent c’est l’ensemble des appareils, machines pilotes et applicatifs qui composent le dispositif médical… et je risque de porter atteinte à la disponibilité, voir l’intégrité de certaines données, et par conséquent faire prendre un risque au patient. Il ne faut pas se leurrer, si les constructeurs de DM ont codé leurs applicatifs avec les pieds et qu’il ne supporte pas un correctif de sécurité, il y a des chances que les flux échangés sur le réseau, ne soient eux aussi, pas très propres et susceptibles d’être interceptés par un WAF ou un IPS.

Si certains ont envie de jouer, moi pas. N’oublions pas que c’est le patient qui est connecté à l’autre bout du câble.


[1] https://www.nolimitsecu.fr/dispositifs-medicaux/

[2] https://www.nolimitsecu.fr/oisf-suricata/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.