A l'heure où le marché de l' IOT est en plein boom, il est temps de parler cybersécurité. Sujet tabou il y a encore quelques mois, l'actualité n'a cessé de montrer du doigt les attaques de pirates informatiques et notamment dans la santé.
Les implants, mais aussi de très nombreux équipements médicaux, tels que des pacemakers ou des pompes à insuline, sont aujourd’hui connectés. Ils peuvent communiquer des données sur leur état de fonctionnement, sur le patient, mais aussi recevoir des paramètres. C’est évidemment une prouesse technologique quand on se met du point de vue du bien-être du patient et de la qualité du suivi médical, notamment pour les maladies chroniques. C’est également un risque : le laboratoire pharmaceutique Johnson&Johnson vient d’entrer en contact avec 114 000 patients aux Etats-Unis et au Canada afin de corriger une faille de sécurité sur l’un de ses modèles de pompe à insuline. Son boîtier de contrôle présente en effet une vulnérabilité qui, si elle est exploitée, permet d'injecter une dose d’insuline potentiellement mortelle pour son porteur.
Jay Radcliffe, chercheur en sécurité chez Rapid7, lui-même diabétique, a ainsi démontré que la liaison de données n’était pas chiffrée, si bien qu’il était techniquement possible d’intercepter les échanges afin d’y injecter des données altérées. L'absence de tout chiffrement montre que les concepteurs de ces implants ont jusqu’à maintenant négligé l’aspect cybersécurité de leur produits, sans doute poussés par des délais de mise sur le marché trop rapides, mais aussi des contraintes techniques.
Les industriels encore peu matures vis-à-vis de la cybersécurité
En effet, ces équipements aux capacités de traitement très modestes ne permettent pas toujours d'installer des moyens de protection trop complexes. Le niveau de maturité des industriels qui produisent ces équipements médicaux et plus largement des objets connecté est très inégal sur ce volet de la cybersécurité estime Thomas Gayet, directeur du CERT-UBIK, chez Digital Security : "Etonnamment, le niveau de sécurité des objets connectés ne correspondent pas aux besoins de sécurité. Certains objets connectés que l'on pourrait considérer comme gadgets s'avèrent être très bien sécurisés et, à contrario, des objets de santé connectés n'implémentent absolument aucune sécurité !"
Si la sécurité informatique d'un bracelet connecté destiné aux sportifs du dimanche est, certes, importante mais pas vitale pour son utilisateur, ce n'est pas le cas d'un défibrillateur cardiaque, d'une pompe à insuline ou d'un pacemaker. Les fans de la série Homeland se souviendront de la scène où le vice-président Walden est assassiné à distance au moyen de son pacemaker déréglé par un hacker. Un pacemaker, c’est avant tout un minuscule ordinateur avec environ 80 000 lignes de code et donc des failles de sécurité qu'il est potentiellement possible d'exploiter pour un hacker."Ce qui est intéressant, c'est que nous commençons à être sollicités par des startups qui souhaitent intégrer la sécurité dans leurs produits, faire ce que l'on appelle le Secure by Design car ils ont bien compris que demain la sécurité serait un élément différenciateur sur le marché de l'IoT."
Les équipements des hôpitaux tout autant menacés
Les implants connectés présentent des failles de sécurité, mais c’est aussi le cas des équipements médicaux déployés dans les hôpitaux. En 2015, la FDA (Food and Drug Administration) ordonnait le retrait du marché des pompes à perfusion Symbiq de l’américain Hospira. Cet équipement permet de diffuser des médicaments de manière précise aux malades et il était possible de modifier à distance les doses de médicament injectées via le réseau filaire ou Wifi de l'hôpital. Les risques encourus par les malades sont évidents.
De nombreux équipements hospitaliers comme les scanners et IRM sont aujourd'hui connectés et donc potentiellement exposés à des attaques informatiques. Source : Philips Healthcare
Le manque de sécurité frappe aussi des équipements bien plus imposants comme les scanners, appareil d’IRM. Ainsi l'ICS-CERT, l'autorité qui dépend de la sécurité intérieure des Etats-Unis et auprès de qui les industriels doivent signaler les failles de sécurité découvertes dans leurs systèmes a recensé 14 incidents de sécurité dans le secteur de la santé en 2015. Parmi les alertes publiées par cette autorité de surveillance, celle concernant le Philips Xper Information Management Connect, logiciel de gestion des données médicales commercialisé par Philips Healthcare. Le bulletin d'alerte pointait 460 vulnérabilités pour une solution qui s'appuyait alors sur Windows xp, un système d'exploitation plus supporté par Microsoft.
"Outre les implants cardiaques, les pompes à insuline, les équipements comme les scanner, les IRM qui sont des équipements médicaux et biomédicaux ont eux-mêmes des problèmes de sécurisation" reconnait Tristan Savalle, Consultant Senior en Sécurité de l'information chez aDvens. "Nous travaillons actuellement beaucoup sur la sécurisation de ces équipements car s'ils sont présents dans tous les hôpitaux, ils sont souvent assez mal sécurisés." En effet, tous les hôpitaux ne prennent pas les précautions nécessaires pour protéger leurs équipements médicaux, et n’ont d’ailleurs pas le droit d'intervenir directement sur ces équipements comme, par exemple, pour installer un simple anti-virus. Ils sont donc des cibles potentielles pour les pirates informatiques qui pourraient être tentés de bloquer ces coûteuses machines afin de demander une rançon.
Les équipements doivent être sécurisés dès leur conception
Mais si la sécurité des équipements est encore insuffisante, les choses sont en train de changer. D'une part, les révélations de failles de sécurité par les experts et relayées par les médias, deviennent un vrai risque "business" pour ces industriels. Les actions de St. Jude Medical Inc ont chuté de près de 5% à l'annonce d'une faille de sécurité dans ses implants cardiaques. Les dirigeants ont désormais bien compris que le scandale que provoquerait dans les médias la mort d'un patient suite à une cyberattaque pourrait bien être tout aussi fatal à leur entreprise.
De l'avis des experts en sécurité, la première étape pour les concepteurs d'équipements est de ne plus intégrer la composante cybersécurité en fin de projet, mais en amont, dès les phases initiales de conception. "Pour sécuriser un objet de santé, il est important d'intégrer cette problématique cybersécurité très tôt dans le projet. Il faut analyser les risques associés au dispositif et anticiper les réponses que l'on va apporter" explique le consultant. "Il faut savoir que les concepteurs d'IRM ou de scanner investissent beaucoup pour améliorer les performances de leurs appareils mais la sécurité informatique n'est pas leur métier." Ainsi, la simple présence de ports USB sur une station de contrôle des équipements présente un risque réel. Un laboratoire d'analyse français en a fait les frais récemment avec un de ses équipements infecté par un virus amené directement par le technicien de maintenance, sur sa clé USB.
Outre les aspects économiques, c’est la réglementation qui doit désormais évoluer afin de mieux tenir compte du risque. Si les règles de sécurité relatives à l'hébergement de données de santé sont précises et un agrément obligatoire en France, la réglementation est bien moins avancée vis-à-vis des équipements connectés. "La législation est traditionnellement très contraignante sur ce type d'équipements, mais l'aspect cybersécurité est encore assez peu pris en compte." déplore Tristan Savalle. Une prise de conscience est néanmoins en train de s'opérer afin de pousser les industriels à "blinder" leurs équipements face aux attaques informatiques. Actuellement, l'heure reste aux recommandations. En octobre 2014, la FDA américaine a publié un petit guide interne relatif à la cybersécurité des équipements médicaux et, en France, la Haute Autorité de Santé (HAS) est allée plus loin en publiant un guide de 101 bonnes pratiques afin de concevoir des objets connectés médicaux plus sûrs. "Pour autant nous n'en sommes encore qu'à l'élaboration de guides de bonnes pratiques plutôt qu'une réglementation" précise Tristan Savalle. La prochaine phase sera sans nul doute la mise en place des procédures de certification des équipements de santé portant un volet cybersécurité, avec notamment des tests d'intrusion menés par des hacker éthiques comme l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) le fait déjà pour les équipements de sécurité informatique et commence à le faire pour les équipements industriels.