Publicité en cours de chargement...
Cybersécurité des dispositifs médicaux connectés : un enjeu de taille pour les hôpitaux
Écouter l'article

Entretien avec Thomas Le Clerc, référent Santé Grand-Ouest, et Julien Gandit, consultant Sécurité senior spécialisé dans la sécurité industrielle, tous deux chez Orange Cyberdefense.
La définition d’un DMC est large. « Ce n’est pas que l’équipement mais tous les systèmes qui sont indispensables à la collecte d’informations. On peut retrouver des DMC dans tous les services de l’hôpital : du robot d’analyse médicale dans les laboratoires aux équipements dans les chambres (scopes, respirateurs, moniteurs, etc.), en passant par les équipements mobiles ou utilisés pour la télémédecine, les PACS, les dispositifs implantables, etc. », précise Julien Gandit.
Les DMC font donc partie intégrante des parcours de soins. Mais, rattachés aux réseaux hospitaliers et souvent peu maîtrisés, ils peuvent étendre la surface d’attaque d’un établissement. Vol de données et ransomwares, « les DMC peuvent être utilisés pour entrer dans le réseau de l’hôpital puis infecter tout le SIH pour exfiltrer des données ou chiffrer le système », résume le consultant Sécurité. Il est aussi important de préciser que l’objectif d’une cyberattaque n’est pas systématiquement financier et que les motivations de déstabilisation se multiplient. « Via cette porte d’entrée, des hacktivistes peuvent prendre en otage et paralyser un SIH puis médiatiser leur action pour faire entendre leur cause. De plus, et ce n’est plus de la science-fiction, l’attaquant peut avoir une cible d’équipement médical précise pour perturber, voire bloquer l’opération chirurgicale en cours d’une personnalité politique, par exemple », ajoute Julien Gandit.
Biomédical & cyber : des synergies à systématiser
« L’une des problématiques est que l’écosystème biomédical est souvent adressé spécifiquement avec ses enjeux propres et par conséquent peu intégré dans la stratégie de sécurité. Les équipes biomédicales sont relativement autonomes dans leur mission. Il est donc difficile pour un RSSI d’établissement de pleinement maîtriser le risque associé », précise Thomas Le Clerc. « Par ailleurs, si les DMC peuvent être vulnérables du fait de leurs particularités technologiques souvent obsolètes, il faut prendre en compte que les solutions de sécurité traditionnelles ne sont que très rarement compatibles avec ces équipements, voire non conformes pour que les fabricants maintiennent leurs garanties. »
Parmi les urgences : optimiser la gestion du risque
Il est donc pertinent d’adopter une approche de gestion des risques cyber sur le périmètre biomédical afin d’étendre sa maîtrise du risque au sein de l’établissement et de se mettre en conformité avec les cadres réglementaires, comme la directive NIS 2, qui concernent les périmètres essentiels ou critiques des systèmes d’information, dont sont susceptibles de relever les DMC. « Adresser les risques sur 15 000 équipements, c’est compliqué. De plus, tous n’ont pas les mêmes niveaux de criticité », souligne Julien Gandit, pour qui, « selon des méthodes déjà établies, notamment par l’Afib (2), le but sera de travailler avec les équipes biomédicales et les référents métiers pour inventorier les équipements, scorer leur criticité métier, puis étudier leur vulnérabilité numérique afin de hiérarchiser les priorités et de mettre en place des actions de remédiation. Une fois la matrice de risque définie, partagée et approuvée par les parties prenantes, une feuille de route peut être définie. Ainsi, des initiatives peuvent être lancées comme l’inventaire détaillé de DMC via outillage technologique, cloisonnement réseau ou encore mise en place de sondes de détection afin d’opérer une surveillance sur les couches réseau. »
Article connexe → #Webinaire DSIH | Jeudi 29/06 «Veille cybersécurité : comment se prémunir contre les menaces actuelles dans le secteur de la santé ?»
Vous souhaitez en savoir plus sur les dispositifs d’accompagnement d’Orange Cyberdefense pour sécuriser les environnements biomédicaux ? Poursuivez votre lecture avec cet article.
Avez-vous apprécié ce contenu ?
A lire également.

Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement
16 juin 2025 - 22:32,
Tribune
-Changer de DPI, de SIRH ou d’outil logistique n’est plus un simple projet technique. Dans un contexte hospitalier sous tension, réussir le changement et le déploiement d’une solution SIH impose une approche rigoureuse, coconstruite et profondément orientée utilisateurs. Objectiver les choix, sécuris...

Urgences hospitalières : des outils numériques du Québec qui font la différence
16 juin 2025 - 13:48,
Communiqué
- LGI Solutions Santé,Face à la saturation des urgences hospitalières en France, des solutions concrètes existent. Dans un webinaire organisé par l’entreprise québécoise LGI Solutions Santé, vous découvrirez trois outils numériques conçus pour améliorer la coordination des services, alléger la charge du personnel soignan...

Convergence des annuaires d’établissements : une révolution pour les groupements d’établissements grâce à Weliom et Tibco
30 sept. 2024 - 12:24,
Actualité
- Séverine MIRAMON & Jean Pascal MINNIWeliom, en partenariat avec Tibco, propose une offre unique de convergence des annuaires d’établissements (AD) pour les groupements d’établissements de santé. Cette méthodologie originale, alliant technique et organisationnel, permet aux groupements de bénéficier d’une gestion centralisée et de simp...

Webinar jeudi 3 octobre, à 11h « L’AP-HM, 3ème CHU de France, a révolutionné le pilotage de ses portefeuilles de projets grâce à la mise en place d’un PMO et de l'outil #ProjectMonitor. »
30 sept. 2024 - 15:28,
Communiqué
- Virage GroupVirage Group, éditeur et intégrateur, de solutions dédiées au pilotage des plans stratégiques et des portefeuilles de projets, organise un webinar le jeudi 3 octobre, à 11h. Avec la participation d'Edouard DELAMBRE, Chef de projet informatique/PMO à la Direction des Services Numériques de l’AP-HM.