eSanté : les fabricants doivent renforcer la cyber-sécurité des appareils médicaux

Aux Etats-Unis, de nouveaux appareils de eSanté ou de mSanté apparaissent chaque jour. Du hardware au software, en passant par les réseaux internes et autres outils de collaboration en hôpital, tout objet électronique et/ou connecté est une cible potentielle pour de cyber-attaque. La Food and Drug Administration (FDA) américaine a publié la semaine dernière une alerte afin mettre en garde l’industrie de la santé contre ces dangers. Elle considère les appareils médicaux électroniques et les réseaux en hôpital encore trop vulnérables à ce type d’attaques, et rappelle aux fabricants la nécessité de mieux protéger leurs appareils. Cette mise en garde confirme d’autres études et enquêtes récentes, comme celle du Washington Post que nous avons déjà couverte, qui démontrait la vulnérabilité de l’industrie de la santé, en pleine transformation digitale. La FDA, traditionnellement responsable d’évaluer la sécurité des appareils de santé, voit son rôle évoluer progressivement, vers des questions de protection des données et de ‘cyber-sécurité’ des appareils.

Les cyber-attaques menacent professionnels et patients

Les risques de cyber-attaques sont nombreux pour les appareils électroniques médicaux. Vol de données, manque de contrôle au niveau de la diffusion des mots de passe, virus informatiques, mises à jour de logiciels défectueuses... Les dangers sont réels, et les exemples ne manquent pas. En Avril 2010, une mise à jour routinière effectuée par l’entreprise de cyber-sécurité McAfee avait pris un fichier Windows pour un virus, ce qui avait faussé l’ensemble de la mise à jour. L’erreur a incapacité respectivement 8.000 et 2.500 ordinateurs dans les hôpitaux de l’université d’AnnArbor et celle de Syracuse à New York. Un tiers des hôpitaux de Rhode Island ont été forcés d’arrêter de traiter certains patients, et de repousser plusieurs opérations. Les cas de grave urgence étaient quand même acceptés, et traités en priorité. La FDA déclare ne pas avoir recensé de cas de cyber-attaque directement responsable de la mort d’un patient. Néanmoins, comme le montre l’exemple de McAfee, les failles peuvent provenir aussi bien de personnes malfaisantes que de logiciels défectueux, ou même des logiciels anti-virus.

Limiter les risques dès la phase de design

La FDA a publié en complément de son alerte un document indicatif, faisant office de guide aux fabricants d’appareils électroniques médicaux. Le document n’est qu’une première proposition. Il regroupe les recommandations de la FDA et d’autres entités gouvernementales (US Department of Human Services, le Center for Devices and Radiological Health, le Office of Device Evaluation...) pour fabriquer des appareils médicaux mieux protégés contre les éventualités de cyber-attaques. Le document met l’accent sur la nécessité de  prendre en compte ces problématiques dès la phase de design des appareils, déterminante pour identifier et réduire les risques. Le renforcement des processus d’authentification des utilisateurs, la fermeture automatique des cessions, des contrôles robustes avant la mise à jour des logiciels, et l’établissement de procédures de rétablissement et de sauvegarde des données sont au cœur des recommandations.