Stimulateurs cardiaques, pompes à insuline, les dispositifs médicaux et les équipements numériques des hôpitaux et des patients regorgent de failles de sécurité qui rendent ces objets vulnérables aux attaques et mettent les patients en danger de vie et de mort.
Au Royaume-Uni, 60 organismes de santé ont récemment été victimes d’une cyberattaque. Cette actualité sécuritaire a éveillé l’attention sur deux rapports dont les conclusions, largement applicable hors du pays, ont de quoi nous faire craindre le pire…
Les stimulateurs cardiaques, de vraies passoires…
La première étude, réalisée par deux chercheurs de Whitescope, a porté sur les défis des fabricants de stimulateurs cardiaques. Ceux-ci rencontrent de grandes difficultés à conserver des appareils patchés et à les exempter de bogues qui pourraient être exploités par des hackers.
Aucun système ne dispose d’une protection élémentaire de la connexion, pas de mot de passe, pas d’authentification. Et quelques fabricants seulement chiffrent les données ou les protègent lors des transferts vers les stations de surveillance. Le résultat est sans appel, un stimulateur cardiaque peu enfermer plus de 8.000 vulnérabilités connues !
Pas de mesures de sécurité dans la santé
La seconde étude, menée par l’autorité britannique de santé auprès des fabricants, des hôpitaux et des organismes de santé sur les équipements utilisés lors du traitement des patients, a révélé que 80% de ces dispositifs étaient difficiles à sécuriser.
Concrètement, seulement 9% des fabricants d’appareils et 5% des organismes de santé testent les failles potentielles de sécurité sur les équipements chaque année. Et 17% seulement des décideurs ont pris des mesures visant à sécuriser ces équipements.
Dans les faits, cela se traduit par la présence de nombreux bugs dans le code des dispositifs, démontrant en particulier un manque de compétence dans l’écriture de code sécurisé. Une faiblesse qui vient s’ajouter aux contraintes de temps et à la pratique des compromis sécuritaires, que les fabricants interrogés justifient par la petite taille et la faible puissance de calcul des dispositifs internes, qui rendraient difficile l'application des normes de sécurité.
Mais que font les autorités ?
C’est ainsi que l’on a appris que 49% des fabricants d’équipements numériques de traitement des patients n’utilisent pas les conseils de la US Food and Drug Administration, qui fait autorité en la matière dans le monde anglo-saxon. Une autorité qui par ailleurs est accusée par les chercheurs de Whitescope de ne pas prêter attention aux avertissements de sécurité qui lui sont signalés…
Donc, pour résumer, c’est toute la chaine de la conception à la régulation, de la fabrication à l’usage des équipements numériques de santé qui participe à ne pas sécuriser ces équipements et à mettre les patients en danger. Il est urgent que l’industrie, les organismes de soins et les autorités de tutelle s’emparent de ce sujet, et que la sécurité des dispositifs médicaux soit enfin considérée comme une question de vie ou de mort !
Image d’entête 616893490 @ iStock chombosan