Hôpitaux : le prochain grand défi sécuritaire concernera les IOT

hôpitaux

Les hôpitaux doivent faire face à de multiples attaques sur leurs systèmes d’information dont certaines se sont révélées très dommageables

Les prochaines années s’annoncent très actives pour les RSSI (responsables de la sécurité des systèmes d’information) des établissements de santé. L’IOT (en français, l’internet des objets) va en effet étendre de façon exponentielle la surface d’exposition aux attaques informatiques de ce type d’établissements.

L’État ne s’y est pas trompé et a débloqué des fonds importants pour lutter contre les cybers attaques dans les hôpitaux. On parle d’une enveloppe de 25 millions d’euros dédiée à la cybersécurité des établissements de santé pour 2021 et 2022.

Quelles sont les règles applicables en matière de sécurité informatique dans les hôpitaux ?

La Commission européenne a présenté le 15 septembre 2022 une proposition de règlement sur la cyber-résilience (Cyber Resilience Act) visant à protéger les consommateurs et les entreprises contre les produits dont les caractéristiques de sécurité ne sont pas suffisantes. Cet acte, le premier de ce type dans la législation de l’UE, introduit des exigences obligatoires en matière de cybersécurité applicables aux produits comportant des éléments numériques, sur l’ensemble de leur cycle de vie.

Ce nouvel acte législatif européen a cependant expressément écarté le secteur de la santé de son champ d’application.

Il est en effet indiqué dans la proposition de règlement que « le règlement proposé ne s’appliquera pas aux produits comportant des éléments numériques relevant du champ d’application du règlement (UE) 2017/745 à savoir les dispositifs médicaux à usage humain et accessoires de ces dispositifs et du règlement (UE) 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro à usage humain et leurs accessoires » (§ 5 de l’exposé des motifs).

Il faut donc se tourner vers d’autres textes en matière de sécurité des données, notamment celles relatives aux données personnelles. Le règlement européen relatif à la protection des données (RGPD) impose l’exigence de sécurité du traitement de telles données.

L’article 32 du RGPD oblige le responsable du traitement de données à caractère personnel à assurer la disponibilité et la confidentialité des données personnelles et, plus encore, des données de santé, particulièrement sensibles.

On peut se tourner également vers le Référentiel Général de Sécurité (RGS) qui oblige les établissements publics à homologuer les briques les plus sensibles de leur système d’information (notamment celles ouvertes sur le web).  On peut encore citer la directive NIS qui impose aux opérateurs OSE (Organismes de Services Essentiels) qualifiés par l’Anssi, des obligations en matière de gestion des risques de sécurité et qui dispose d’un volet dédié à la santé.

Il est à noter sur ce sujet que le projet de refonte de la directive NIS, NIS2 ne prévoit pour le moment aucune nouvelle obligation de sécurité en matière de santé.

La situation aujourd’hui pour les IOT de santé dans les hôpitaux

Les hôpitaux sont déjà très friands d’objets connectés : scanners, respirateurs, IRM. Certains évoquent même un type particulier d’objets connectés, ceux intégrés au système humain (pacemakers ou pompes à perfusion).

Tous ces objets ont des durées de vie très longues (23 ans en moyenne selon le constructeur Philips) et peuvent être extrêmement coûteux.

Or, les systèmes d’exploitation à jour lors de leur livraison dans le centre hospitalier souffrent de ne plus pouvoir être mis à jour par la suite.

De plus, les configurations des objets connectés en santé (rarement modifiées) ne sont pas intégrées au système de surveillance informatique mis en œuvre par les hôpitaux (SIEM, EDR, etc.).

Ajoutons que les dispositifs médicaux sont comme des « boîtes noires » pour les hôpitaux. Ces derniers sont dans l’ignorance des éléments qui constituent les programmes informatiques qui les font fonctionner.

En réalité, seuls les constructeurs de ces appareils disposent de ce type d’information. Or des vulnérabilités dans les configurations peuvent apparaître et rester inconnues pour les RSSI des hôpitaux. Ceux-ci réclament plus de partage d’informations de la part des constructeurs parfois situés aux États-Unis.

De leur côté, les constructeurs voient se multiplier les textes de loi sur la sécurisation des objets de santé, des deux côtés de l’océan atlantique. Certains textes peuvent ne pas être totalement compatibles entre eux.

L’encadrement des dispositifs médicaux

En Europe, deux règlements européens sur les dispositifs médicaux et les dispositifs médicaux de diagnostic in vitro sont entrés en vigueur en mai 2021. Ils imposent désormais aux fabricants d’intégrer la sécurité informatique lors de la mise sur le marché européen d’objets connectés.

L’article 2 de ce règlement définit le dispositif médical comme :

« tout instrument, appareil, équipement, logiciel, implant, réactif, matière ou autre article, destiné par le fabricant à être utilisé, seul ou en association, chez l’homme pour l’une ou plusieurs des fins médicales précises suivantes :

  • diagnostic, prévention, surveillance, prédiction, pronostic, traitement ou atténuation d’une maladie,
  • diagnostic, contrôle, traitement, atténuation d’une blessure ou d’un handicap ou compensation de ceux-ci,
  • investigation, remplacement ou modification d’une structure ou fonction anatomique ou d’un processus ou état physiologique ou pathologique,
  • communication d’informations au moyen d’un examen in vitro d’échantillons provenant du corps humain, y compris les dons d’organes, de sang et de tissus,

dont l’action principale voulue dans ou sur le corps humain n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens.

Les produits ci-après sont également réputés être des dispositifs médicaux :

  • les dispositifs destinés à la maîtrise de la conception ou à l’assistance à celle-ci,
  • les produits spécifiquement destinés au nettoyage, à la désinfection ou à la stérilisation des dispositifs visés à l’article 1er, paragraphe 4, et de ceux visés au premier alinéa du présent point ».

Les fabricants doivent désormais :

  • de réaliser une analyse de risques avant la mise sur le marché et
  • d’assurer par la suite un suivi des vulnérabilités.

Or, la durée de vie très importante des appareils de santé ne facilite pas ce vœu pieux. En effet, 20 % des objets de santé ont aujourd’hui plus de 10 ans d’âge. Ils n’ont par ailleurs, jamais bénéficié de mise à jour depuis leur installation dans les hôpitaux. Le suivi des vulnérabilités devient impossible et nécessite ni plus ni moins que le remplacement de ces appareils. Or ce constat se heurte à la réalité des budgets des hôpitaux.

Ces appareils fonctionnent encore convenablement pour les patients. On parle de sûreté du fonctionnement du dispositif médical. Ils ont toutefois des problèmes de sécurité par rapport aux attaques extérieures pouvant compromettre leur fonctionnement.

Comment un RSSI pourrait-il convaincre son employeur qu’il va falloir remplacer un appareil qui fonctionne pourtant correctement ? La tâche est ardue.

Les nouvelles menaces

L’Agence nationale de sécurité du médicament et des produits de santé (ANSM) souligne que « les objets connectés peuvent être à la fois la destination finale des attaques informatiques qui auraient pour objectif d’en altérer le fonctionnement mais également servir de relai ou de point d’entrée d’une intrusion au sein du système d’information de l’établissement de santé qui l’héberge » (Recommandations sur la Cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie).

Par exemple, une vulnérabilité régulièrement constatée par les RSSI concerne les flux, entre l’appareil et le système d’information qui l’héberge, qui ne sont pas chiffrés, ce qui est contraire à toutes les bonnes pratiques en matière de sécurité édictées notamment par l’Anssi et l’Agence de l’UE pour la cyber sécurité (Enisa).

Les actions à réaliser par le constructeur

Au titre de la norme ISO 14971:2019 qui encadre la gestion des risques en matière de dispositifs médicaux, le constructeur devra a minima :

  • transmettre à ses clients la liste des différents composants techniques intégrés au composant
  • réaliser une analyse des risques en matière de dispositifs médicaux.

Les risques sont multiples tant pour le patient et les données que pour le système d’information qui l’héberge.

Pour illustrer cette seconde obligation, l’ANSM a réalisé une analyse de risque type dans son rapport de 2019. Il recense les thèmes sécuritaires habituels (contrôle d’accès, gestion des authentifications, chiffrement des flux, sécurité physique, mise à jour, etc.).

Pour noter le risque en termes de gravité, on peut se référer à l’échelle de gravité formalisée par la Cnil :

  1. Négligeable : Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments surmontables sans difficulté.
  2. Limité : Les personnes concernées pourraient connaître des désagréments significatifs néanmoins surmontables malgré quelques difficultés.
  3. Important : Les personnes concernées pourraient connaître des conséquences significatives surmontables avec des difficultés réelles et significatives.
  4. Maximal : Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter.

Gageons que le risque en santé sera systématiquement d’un niveau 4, c’est-à-dire maximal. En effet, les conséquences d’une attaque sur un dispositif médical pourraient être sérieuses, potentiellement mortelles, pour les personnes concernées.

Les actions à réaliser par les RSSI des hôpitaux

De leur côté, les RSSI des hôpitaux dépendent des mesures de sécurité mises en œuvre par le fabricant. Ils doivent a minima :

  • recenser les appareils
  • dresser la liste des réseaux, des protocoles et des vulnérabilités potentiellement connues et
  • filtrer les flux entrant et sortant qui transitent vers ces appareils.

Anticiper les objets connectés de demain déployés dans les hôpitaux

On peut parler de nouveaux objets à usage médical comme les :

  • Robots chirurgiens (d’ores et déjà exploités dans les hôpitaux français),
  • jumeaux numériques permettant de reconstruire en 3D les organes des patients viendront bientôt remplacer les échographies, scanners et IRM,
  • « GPS » permettant de guider les gestes des chirurgiens,
  • alarmes intelligentes installées dans les blocs opératoires pour alerter l’équipe médicale du non-respect des gestes standards,
  • patchs connectés pour suivre les paramètres vitaux des patients (détection de chutes, électrocardiogrammes, etc.) à leur retour au domicile,
  • machines d’autotransfusion sanguine.

L’innovation en matière de santé n’a pas de limite pour prolonger la vie humaine. Il faut certes l’encourager mais rester dans un cadre juridique et technique bien délimité pour ne pas devenir au final une menace pour l’être humain.

Anthony Sitbon
Lexing Technologies, Département sécurité

Retour en haut