Dispositifs médicaux et cybersécurité, attention aux risques liés à internet!

Aujourd’hui, nous proposons à nos lecteurs la traduction d’une intéressante interview, apparue sur le site américain lexology.com. Elle concerne le rapport entre les dispositifs médicaux et la cybersécurité.

écrit Lundi, de Emanuele Mortarotti

Bienvenue à notre rendez-vous habituel avec les news de Dispotech, your disposable excellence. Aujourd’hui, nous proposons à nos lecteurs la traduction d’une intéressante interview, apparue sur le site américain lexology.com. Elle concerne le rapport entre les dispositifs médicaux et la cybersécurité.

Une fois sur le marché, la majeure partie des dispositifs médicaux – des micro-pompes à insuline aux pacemakers, en passant par les défibrillateurs – et les appareils médicaux en général sont de plus en plus dépendants des connexions Wi-Fi et de la connectivité à internet en général. Il faut malheureusement souligner que les connexions à internet rendent ces dispositifs vulnérables, car exposés aux manipulations, hacking et autres virus ; et quand on sait que les dispositifs médicaux sont souvent branchés sur le réseau de l’hôpital, de là à les utiliser comme canal pour accéder à des données privées, ou même pénétrer au sein de la structure de l’hôpital, il n’y a qu’un pas.

Le problème est donc sérieux et ne saurait être pris à la légère. Aux États-Unis, cette situation est devenue une véritable préoccupation nationale, prise en main par la prestigieuse FDA (Food and Drug Administration), organe du gouvernement américain qui s’occupe du contrôle et de l’émission sur le marché de tout ce qui regarde les médicaments (et donc également les dispositifs médicaux) et les aliments qui finissent dans les garde-mangers américains.

Ci-dessous, voici la traduction de la première partie de l’interview de Jodi Scott, membre de la FDA, qui fait le point sur la situation et les risques auxquels les dispositifs médicaux connectés à internet sont exposés, comme ceux de nuire à la santé et à la sécurité des patients, et sur les possibilités des entreprises productrices de lutter contre le hacking.

La FDA parle depuis quelque temps de problèmes de cybersécurité sur les dispositifs médicaux. Quelles sont les raisons qui ont poussé l’agence à faire ce genre de déclarations ?

« De nos jours, où tout est connecté à internet, les gens pensent que la cybersécurité est un aspect sans importance : l’utilisateur moyen imagine probablement que toutes les sécurités ont été installées sur les logiciels du produit au moment de l’assemblage de l’appareil. Malheureusement, la plupart des sociétés a lancé sur le marché des produits qui ont peu (parfois même beaucoup) d’années de vie, et sur lesquels les technologies capables d'endiguer les cyberattaques n’ont pas été installées. Par conséquent, de nombreux dispositifs ne sont pas dotés d’antivirus et sont facilement “piratables”. De nombreuses sociétés font la politique de l’autruche, mais en réalité le débat sur la cybersécurité existe depuis presque vingt ans. Les plus naïfs pensent que personne n’oserait manipuler les dispositifs médicaux des patients... Nous nous retrouvons aujourd’hui face à des problèmes comme celui-ci d’une ampleur considérable : les hackers piratent les dispositifs médicaux dans des buts illicites ou, simplement, pour se tester et voir s’ils sont capables d’entrer dans les logiciels. »

Quels genres de contrôles préconisez-vous pour les dispositifs médicaux tout juste mis sur le marché ?

« Nous demandons avant tout à nos clients – que ce soit ceux qui s’occupent du développement et du design ou ceux qui distribuent les produits – de faire un pas en arrière et d’effectuer tous les contrôles nécessaires pour la cybersécurité, tout en reprenant en main la gestion du risque. Certaines sociétés admettent avoir quelques points faibles et cherchent à réduire le plus possible la vulnérabilité du produit. D’autres, en revanche, promettent de s’en occuper dans un second temps, et tergiversent : et s’il se passait quelque chose pendant qu’ils attendent pour faire les recherches et résoudre les problèmes ? »

Quelles sont les problématiques qui inquiètent le plus la FDA ?

« Il y en a plusieurs ; prenons un exemple :

Imaginons qu’un dispositif ait un point faible qui regarde la cybersécurité : c'est le moment idéal pour qu’un virus s’incruste dans le logiciel. Si le réseau hospitalier n'est pas équipé d’un antivirus – et il y a énormément d’hôpitaux qui n’utilisent pas ce genre de logiciels, sous prétexte qu’ils ralentissent les prestations des machines – ce virus pourra voyager sans interférence sur l’ensemble du réseau de l’hôpital et l’infecter. Ce virus enfonce littéralement une porte, à travers laquelle quiconque peut entrer et exploiter des données sensibles. Un malfaiteur qui entre par la porte principale peut se diriger dans n’importe quelle direction : il pourrait, par exemple, usurper le contrôle à distance d’un dispositif médical présent dans l’hôpital et le manipuler. Ou il pourrait chercher les données sensibles d’un patient, modifier les médicaments qui lui sont normalement prescrits, pour lui nuire ; ou même éteindre un dispositif qui maintient en vie une personne et dont la survie dépend, justement, de cette machine. Pour les lecteurs, c’est sans doute de la science-fiction : mais je vous assure que le problème est bien réel et plus grave que l’on veut bien le croire. C’est ce dernier point qui inquiète la FDA. Nous travaillons d’arrache-pied pour assurer la sécurité des données et pour découvrir qui contrôle les dispositifs. »

La deuxième partie de la traduction de cette interview, vous la retrouverez dans l’article de la semaine prochaine.

Et vous, qu’en pensez-vous ? Vous aviez déjà entendu parler de cybersécurité pour les dispositifs médicaux ? Si vous voulez plus d’informations sur la question ou donner votre avis, contactez Dispotech, your disposable excellence.

Libellés
Emanuele Mortarotti
Auteur Emanuele Mortarotti

Manager

écrivez un commentaire