Failles de sécurité des dispositifs médicaux: des vies en jeu

Des pompes à perfusion trafiquées et des messages d'alerte supprimés pourraient avoir une issue fatale. Malgré le danger, les fabricants tardent à réagir, voire réfutent ces failles techniques.

Contribution invitée de Marc Ruef, 17 février 2025 à 16:07
image
Image: DR
On apprenait en début d'année l'existence de graves failles dans les systèmes hospitaliers, révélées lors d'un contrôle de sécurité. Cela n’a pas surpris les spécialistes, conscients de ces risques depuis des décennies. La gestion de ces problèmes s'avère toutefois extrêmement difficile. Fabricants, cliniques et régulateurs ont tous un rôle à jouer pour trouver des solutions.
Lorsque des failles techniques avérées sont découvertes dans les dispositifs médicaux et signalées aux fabricants, ces derniers ne prennent pas les mesures correctives nécessaires ou réagissent négativement.
Le problème commence dès le développement des dispositifs médicaux. Ces dispositifs sont généralement développés par des entreprises issues d’autres secteurs que l’informatique, ou n’y étant liées que de manière indirecte. Les développeurs de produits et les ingénieurs se concentrent en priorité sur la fonctionnalité, tandis que les cyber-risques sont souvent relégués au second plan.
Marc Ruef est cofondateur de la société scip AG à Zurich, qui propose des conseils dans le domaine de la cybersécurité depuis 2002. Spécialisée dans les contrôles de sécurité des systèmes informatiques, l'entreprise se concentre notamment sur l'analyse des dispositifs médicaux.
Un problème central est que l’autorisation de mise sur le marché des dispositifs médicaux intègre peu les risques de cybersécurité et n’impose pas de directive contraignante. Ces risques sont de ce fait sous-estimés, voire ignorés.
On affirme souvent qu’une attaque ciblée contre des dispositifs médicaux est peu probable ou trop complexe en raison de leurs technologies, souvent inédites. Cette hypothèse est toutefois erronée.

Points faibles

Les dispositifs médicaux sont évalués, achetés et installés par les établissements de santé. Dans ce contexte, le critère de la cybersécurité est souvent relégué au second plan derrière les fonctionnalités et les coûts. Rares sont les clauses contractuelles fixant des obligations de sécurité pour les fabricants, telles que la correction des vulnérabilités dans un délai imparti.
Quand des failles de sécurité concrètes sont découvertes dans des dispositifs médicaux et signalées aux fabricants, ceux-ci n'y répondent généralement pas de manière constructive. Il arrive même que des avocats soient envoyés pour faire pression sur les auteurs de ces alertes. Les fabricants sont réticents à l'idée de devoir corriger les failles et, le cas échéant, de devoir repasser par la procédure d'obtention d'une autorisation de mise sur le marché.
Le détournement d'une pompe à perfusion en réseau pourrait par exemple provoquer une overdose mortelle.
En résulte une situation difficile pour les établissements de santé: face à un fabricant qui n'entend pas résoudre un problème, les possibilités de le contraindre à corriger le point faible sont limitées. Il est souvent impossible de mettre en œuvre des mesures de sécurité autonomes, et il est rare qu'un recours rapide à des produits alternatifs soit possible. Nombre d'établissements évitent donc de tels conflits, notamment en raison des coûts supplémentaires qu'ils engendrent.
Au final, ce sont les patients, dépendants de ces dispositifs, qui en subissent les conséquences.
Le détournement d'une pompe à perfusion en réseau pourrait par exemple provoquer une overdose mortelle. De même, la suppression ciblée de messages d'alerte sur un moniteur patient peut entraîner une détection trop tardive d'états potentiellement fatals. De telles faiblesses ont déjà été découvertes et documentées pour certains produits.

Ce qui doit changer

La solution à ce problème est complexe. Il n'existe pas de mesure unique permettant d'apporter une amélioration rapide et globale. Au contraire, un changement de mentalité est nécessaire à plusieurs niveaux:
  • Autorisation de mise sur le marché: les autorités de régulation doivent davantage intégrer les aspects de la sécurité informatique dans les procédures d'autorisation et définir des normes de sécurité obligatoires. En outre, des mises à jour de sécurité à court terme devraient pouvoir être effectuées sans que cela n'entraîne une procédure d'autorisation complète.
  • Les hôpitaux: la cybersécurité doit jouer un rôle plus important lors de l'achat de dispositifs médicaux. Les établissements de santé devraient établir des règles contractuelles claires avec les fabricants afin de garantir la résolution rapide des faiblesses identifiées.
  • Fabricants: ceux-ci doivent prendre conscience de leur responsabilité et considérer la sécurité informatique comme une partie intégrante du développement des produits.

Partager l'article
  • Share
  • Tweet
  • Linkedin
  • Whatsapp
  • Telegram
Commentaire

Abonnez-nous et recevez notre newsletter chaque semaine.

ou

Quelle est votre profession?

Où travaillez-vous?*

undefined
undefined

*Ces informations sont facultatives et seront traitées de manière anonyme.
Pourquoi les demandons-nous?
Medinside vous offre un service gratuit d'informations et de contributions. Pour maintenir ce service, nous dépendons de la publicité. Notre objectif est que vous ne voyiez sur Medinside que des publicités pertinentes, adaptées à vos centres d'intérêt. En recueillant des informations sur le profil général de notre audience et en les traitant de manière anonyme, nous permettons à tous d'en bénéficier: vous, chers lecteurs et chères lectrices, ainsi que nos partenaires et nous. Merci!

Plus d'informations sur ce sujet

image

Aide au diagnostic: l'IA, pas si magique que ça

Pour la première fois, une équipe de l’Inselspital de Berne a évalué l’impact d’un système de diagnostic par intelligence artificielle en médecine intensive. Le bilan est décevant.

image

Medtech: «Monsieur Prix» appelle à un registre des prix

Passer du simple au double pour un implant cardiaque ou orthopédique: une enquête du Surveillant des prix, Stefan Meierhans, auprès de 67 hôpitaux suisses révèle des écarts de prix considérables.

image

Epic, Cistec, Ines: cybersécurité défaillante des hôpitaux suisses

Des failles critiques dans les systèmes des grands hôpitaux pourraient permettre un accès aux données sensibles des patients, révèle l'Institut national de test pour la cybersécurité.

image

Quand des hackers éthiques infiltrent l'hôpital

De plus en plus d'hôpitaux suisses se laissent hacker légalement: une stratégie aux résultats parfois inquiétants, comme le montre le spécialiste en cybersécurité Sandro Nafzger dans une interview.

image

Cyberattaque: Vidymed se relève et restaure ses données

Après une attaque de ransomware, le groupe de cabinets médicaux a traversé une période de stress intense. Médecins et patients voient enfin la lumière au bout du tunnel.

image

Hôpitaux vaudois: feu vert pour un système informatique commun

Le Tribunal cantonal valide l'appel d'offres du CHUV et de la FHVi pour un système informatique commun – un investissement à 200 millions de francs.