Publicité en cours de chargement...

Publicité en cours de chargement...

Cybersécurité des dispositifs médicaux connectés : un enjeu de taille pour les hôpitaux

30 sept. 2024 - 12:55,
Actualité - Valentine Trély, DSIH

Écouter l'article

0:000:00
Illustration Cybersécurité des dispositifs médicaux connectés : un enjeu de taille pour les hôpitaux
À l’échelle d’un CHU, on peut comptabiliser jusqu’à 20 000 dispositifs médicaux connectés (DMC). Utilisés via les lits médicalisés, pendant les opérations et les consultations, dans les services de soins critiques, les pharmacies, etc., ils captent, enregistrent et stockent les données, relèvent les constantes, facilitent le suivi, aident au diagnostic et à la gestion, tout en alimentant le Dossier Patient Informatisé (DPI). Ils aident les professionnels de santé et font l’objet d’une réglementation stricte (1) mais constituent un angle mort dans la gestion du risque cyber des établissements de santé.

Entretien avec Thomas Le Clerc, référent Santé Grand-Ouest, et Julien Gandit, consultant Sécurité senior spécialisé dans la sécurité industrielle, tous deux chez Orange Cyberdefense. 
                                                                                      le-clerc-gandit.png


La définition d’un DMC est large. « Ce n’est pas que l’équipement mais tous les systèmes qui sont indispensables à la collecte d’informations. On peut retrouver des DMC dans tous les services de l’hôpital : du robot d’analyse médicale dans les laboratoires aux équipements dans les chambres (scopes, respirateurs, moniteurs, etc.), en passant par les équipements mobiles ou utilisés pour la télémédecine, les PACS, les dispositifs implantables, etc. », précise Julien Gandit.

Les DMC font donc partie intégrante des parcours de soins. Mais, rattachés aux réseaux hospitaliers et souvent peu maîtrisés, ils peuvent étendre la surface d’attaque d’un établissement. Vol de données et ransomwares, « les DMC peuvent être utilisés pour entrer dans le réseau de l’hôpital puis infecter tout le SIH pour exfiltrer des données ou chiffrer le système », résume le consultant Sécurité. Il est aussi important de préciser que l’objectif d’une cyberattaque n’est pas systématiquement  financier et que les motivations de déstabilisation se multiplient. « Via cette porte d’entrée, des hacktivistes peuvent prendre en otage et paralyser un SIH puis médiatiser leur action pour faire entendre leur cause. De plus, et ce n’est plus de la science-fiction, l’attaquant peut avoir une cible d’équipement médical précise pour perturber, voire bloquer l’opération chirurgicale en cours d’une personnalité politique, par exemple », ajoute Julien Gandit.

Biomédical & cyber : des synergies à systématiser  

 « L’une des problématiques est que l’écosystème biomédical est souvent adressé spécifiquement avec ses enjeux propres et par conséquent peu intégré dans la stratégie de sécurité. Les équipes biomédicales sont relativement autonomes dans leur mission. Il est donc difficile pour un RSSI d’établissement de pleinement maîtriser le risque associé », précise Thomas Le Clerc. « Par ailleurs, si les DMC peuvent être vulnérables du fait de leurs particularités technologiques souvent obsolètes, il faut prendre en compte que les solutions de sécurité traditionnelles ne sont que très rarement compatibles avec ces équipements, voire non conformes pour que les fabricants maintiennent leurs garanties. »

Parmi les urgences : optimiser la gestion du risque 

Il est donc pertinent d’adopter une approche de gestion des risques cyber sur le périmètre biomédical afin d’étendre sa maîtrise du risque au sein de l’établissement et de se mettre en conformité avec les cadres réglementaires, comme la directive NIS 2, qui concernent les périmètres essentiels ou critiques des systèmes d’information, dont sont susceptibles de relever les DMC. « Adresser les risques sur 15 000 équipements, c’est compliqué. De plus, tous n’ont pas les mêmes niveaux de criticité », souligne Julien Gandit, pour qui, « selon des méthodes déjà établies, notamment par l’Afib (2), le but sera de travailler avec les équipes biomédicales et les référents métiers pour inventorier les équipements, scorer leur criticité métier, puis étudier leur vulnérabilité numérique afin de hiérarchiser les priorités et de mettre en place des actions de remédiation. Une fois la matrice de risque définie, partagée et approuvée par les parties prenantes, une feuille de route peut être définie. Ainsi, des initiatives peuvent être lancées comme l’inventaire détaillé de DMC via outillage technologique, cloisonnement réseau ou encore mise en place de sondes de détection afin d’opérer une surveillance sur les couches réseau. »

Article connexe#Webinaire DSIH | Jeudi 29/06 «Veille cybersécurité : comment se prémunir contre les menaces actuelles dans le secteur de la santé ?»

Vous souhaitez en savoir plus sur les dispositifs d’accompagnement d’Orange Cyberdefense pour sécuriser les environnements biomédicaux ? Poursuivez votre lecture avec cet article.


1. https://ansm.sante.fr/documents/reference/reglementation-relative-aux-dispositifs-medicaux-dm-et-aux-dispositifs-medicaux-de-diagnostic-in-vitro-dmdiv

2. https://afib.asso.fr/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration MedGPT : le premier assistant IA médical français, alternative à ChatGPT

MedGPT : le premier assistant IA médical français, alternative à ChatGPT

17 sept. 2025 - 08:48,

Actualité

- DSIH

La startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.

Illustration La plateforme de télémédecine Rofim lève 10 millions d’euros pour poursuivre sa croissance et internationaliser son activité

La plateforme de télémédecine Rofim lève 10 millions d’euros pour poursuivre sa croissance et internationaliser son activité

15 sept. 2025 - 22:03,

Actualité

- Propos recueillis par Mehdi Lebranchu et Pauline Nicolas

Pensée par et pour des médecins en 2018, Rofim est une plateforme de télémédecine qui regroupe désormais six modules afin de permettre aux patients de recevoir le juste soin, au bon endroit, au bon moment et par le bon professionnel de santé. En cette rentrée 2025, Rofim annonce une levée de fonds d...

Illustration Convergence des annuaires d’établissements : une révolution pour les groupements d’établissements grâce à Weliom et Tibco

Convergence des annuaires d’établissements : une révolution pour les groupements d’établissements grâce à Weliom et Tibco

30 sept. 2024 - 12:24,

Actualité

- Séverine MIRAMON & Jean Pascal MINNI

Weliom, en partenariat avec Tibco, propose une offre unique de convergence des annuaires d’établissements (AD) pour les groupements d’établissements de santé. Cette méthodologie originale, alliant technique et organisationnel, permet aux groupements de bénéficier d’une gestion centralisée et de simp...

Illustration Webinar jeudi 3 octobre, à 11h « L’AP-HM, 3ème CHU de France, a révolutionné le pilotage de ses portefeuilles de projets grâce à la mise en place d’un PMO et de l'outil #ProjectMonitor. »

Webinar jeudi 3 octobre, à 11h « L’AP-HM, 3ème CHU de France, a révolutionné le pilotage de ses portefeuilles de projets grâce à la mise en place d’un PMO et de l'outil #ProjectMonitor. »

30 sept. 2024 - 15:28,

Communiqué

- Virage Group

Virage Group, éditeur et intégrateur, de solutions dédiées au pilotage des plans stratégiques et des portefeuilles de projets, organise un webinar le jeudi 3 octobre, à 11h. Avec la participation d'Edouard DELAMBRE, Chef de projet informatique/PMO à la Direction des Services Numériques de l’AP-HM.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.