Cybersécurité des dispositifs médicaux connectés : un enjeu de taille pour les hôpitaux

Entretien avec Thomas Le Clerc, référent Santé Grand-Ouest, et Julien Gandit, consultant Sécurité senior spécialisé dans la sécurité industrielle, tous deux chez Orange Cyberdefense. 
                                                                                     

La définition d’un DMC est large. « Ce n’est pas que l’équipement mais tous les systèmes qui sont indispensables à la collecte d’informations. On peut retrouver des DMC dans tous les services de l’hôpital : du robot d’analyse médicale dans les laboratoires aux équipements dans les chambres (scopes, respirateurs, moniteurs, etc.), en passant par les équipements mobiles ou utilisés pour la télémédecine, les PACS, les dispositifs implantables, etc. », précise Julien Gandit.

Les DMC font donc partie intégrante des parcours de soins. Mais, rattachés aux réseaux hospitaliers et souvent peu maîtrisés, ils peuvent étendre la surface d’attaque d’un établissement. Vol de données et ransomwares, « les DMC peuvent être utilisés pour entrer dans le réseau de l’hôpital puis infecter tout le SIH pour exfiltrer des données ou chiffrer le système », résume le consultant Sécurité. Il est aussi important de préciser que l’objectif d’une cyberattaque n’est pas systématiquement  financier et que les motivations de déstabilisation se multiplient. « Via cette porte d’entrée, des hacktivistes peuvent prendre en otage et paralyser un SIH puis médiatiser leur action pour faire entendre leur cause. De plus, et ce n’est plus de la science-fiction, l’attaquant peut avoir une cible d’équipement médical précise pour perturber, voire bloquer l’opération chirurgicale en cours d’une personnalité politique, par exemple », ajoute Julien Gandit.

Biomédical & cyber : des synergies à systématiser  

 « L’une des problématiques est que l’écosystème biomédical est souvent adressé spécifiquement avec ses enjeux propres et par conséquent peu intégré dans la stratégie de sécurité. Les équipes biomédicales sont relativement autonomes dans leur mission. Il est donc difficile pour un RSSI d’établissement de pleinement maîtriser le risque associé », précise Thomas Le Clerc. « Par ailleurs, si les DMC peuvent être vulnérables du fait de leurs particularités technologiques souvent obsolètes, il faut prendre en compte que les solutions de sécurité traditionnelles ne sont que très rarement compatibles avec ces équipements, voire non conformes pour que les fabricants maintiennent leurs garanties. »

Parmi les urgences : optimiser la gestion du risque 

Il est donc pertinent d’adopter une approche de gestion des risques cyber sur le périmètre biomédical afin d’étendre sa maîtrise du risque au sein de l’établissement et de se mettre en conformité avec les cadres réglementaires, comme la directive NIS 2, qui concernent les périmètres essentiels ou critiques des systèmes d’information, dont sont susceptibles de relever les DMC. « Adresser les risques sur 15 000 équipements, c’est compliqué. De plus, tous n’ont pas les mêmes niveaux de criticité », souligne Julien Gandit, pour qui, « selon des méthodes déjà établies, notamment par l’Afib (2), le but sera de travailler avec les équipes biomédicales et les référents métiers pour inventorier les équipements, scorer leur criticité métier, puis étudier leur vulnérabilité numérique afin de hiérarchiser les priorités et de mettre en place des actions de remédiation. Une fois la matrice de risque définie, partagée et approuvée par les parties prenantes, une feuille de route peut être définie. Ainsi, des initiatives peuvent être lancées comme l’inventaire détaillé de DMC via outillage technologique, cloisonnement réseau ou encore mise en place de sondes de détection afin d’opérer une surveillance sur les couches réseau. »

Article connexe → #Webinaire DSIH | Jeudi 29/06 «Veille cybersécurité : comment se prémunir contre les menaces actuelles dans le secteur de la santé ?»

Vous souhaitez en savoir plus sur les dispositifs d’accompagnement d’Orange Cyberdefense pour sécuriser les environnements biomédicaux ? Poursuivez votre lecture avec cet article.

1. https://ansm.sante.fr/documents/reference/reglementation-relative-aux-dispositifs-medicaux-dm-et-aux-dispositifs-medicaux-de-diagnostic-in-vitro-dmdiv

2. https://afib.asso.fr/