Les cybermenaces sont en augmentation. En ligne, les actes criminels sont de plus en plus fréquents, ciblés et complexes. Aujourd’hui, aucun secteur n’échappe au risque de violation de données, d’attaques par ransomware ou d’intrusions sur son réseau. Ce danger permanent fait planer le risque de voir des cybercriminels prendre le contrôle des systèmes. Le secteur de la santé ne fait pas exception, et les choses se sont même aggravées après la pandémie.
Rien qu’au troisième trimestre 2022, une organisation de soins de santé sur 42 a été frappée par un rançongiciel. Tous les domaines du système de santé sont touchés, y compris les dispositifs médicaux. Avec les progrès de l’Internet des objets médicaux (IoMT), les cyberattaques ciblent les dispositifs médicaux les plus improbables.
À ce jour, aucune attaque directe sur un dispositif médical n’a été enregistrée, mais la faisabilité d’un tel scénario est préoccupante. Chacun doit s’informer et prendre des mesures supplémentaires pour sécuriser ses appareils contre les cybermenaces.
Nous avons identifié six appareils particulièrement vulnérables aux cyberattaques. Pour quelles raisons ? C’est ce que nous allons voir.
Six surprenants dispositifs médicaux dans le viseur des cybercriminels
On pense souvent – à tort – que les pirates informatiques ne s’en prennent qu’aux marketplaces en ligne et aux institutions financières. En effet, le secteur de la santé est aujourd’hui l’une de leurs cibles principales. Tour d’horizon de quelques dispositifs médicaux dans le collimateur des cybercriminels :
1. Pompes à perfusion
Ces dispositifs sont utilisés pour administrer des médicaments aux patients : antibiotiques, analgésiques, insuline et même des produits de chimiothérapie.
Il y a quelques années, les experts de l’équipe d’intervention d’urgence de l’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) ont découvert plusieurs vulnérabilités sur certains types de dispositifs de perfusion connectés sans fil. Ils se sont aperçus que les pirates pouvaient accéder aux appareils via les connexions sans fil.
Prenons par exemple une pompe à insuline. Un tel dispositif médical permet de suivre la glycémie et transmet les données du patient aux professionnels de santé concernés via une connexion sans fil. L’application fonctionne grâce à un système comprenant un capteur, une pompe, un lecteur connecté et une application mobile. Lorsqu’ils sont connectés, chacun de ces éléments représente une porte d’entrée potentielle pour des pirates qui chercheraient à accéder à l’ensemble du système [informatique de l’établissement de santé].
2. Stimulateurs cardiaques
En 2018, des chercheurs ont découvert que les stimulateurs cardiaques (pacemakers) produits par la société Medtronic présentaient de graves vulnérabilités susceptibles d’être exploitées pour prendre le contrôle à distance de ces dispositifs médicaux.
Un pirate peut par exemple contrôler un pacemaker en y accédant via le boîtier externe utilisé avec le stimulateur cardiaque. Imaginons en effet que ce boîtier puisse être contrôlé par le biais d’un ordinateur ou d’une application mobile. Le piratage de ce boîtier externe permettrait alors à une personne mal intentionnée d’interférer avec le dispositif médical implanté chez le patient.
Dans une interview avec le Dr Sanjay Gupta, l’ancien vice- président américain Dick Cheney révélait avoir fait désactiver la fonction sans-fil de son défibrillateur cardiaque, afin d’éviter tout risque de piratage par des terroristes qui chercheraient à l’éliminer.
Bien qu’aucun piratage de stimulateurs cardiaques ou autres dispositifs médicaux implantables n’ait encore été signalé, les fabricants et les professionnels de la santé travaillent désormais à renforcer la sécurité de ces dispositifs.
3. Dispositifs de santé portables
Les dispositifs médicaux portables constituent une autre catégorie de dispositifs de santé particulièrement exposés au piratage. Comme pour les pompes à perfusion et les stimulateurs cardiaques, ces appareils représentent une cible de choix pour les pirates qui cherchent à mettre la main sur des données, extorquer une rançon, ou encore faire chanter un patient.
Les criminels peuvent pirater ces appareils pour s’introduire sur le réseau domestique du patient ou même de l’hôpital où il est traité.
Le risque est cependant moindre que pour les stimulateurs cardiaques et les pompes à perfusion, dans la mesure où en cas d’attaque, le danger pour le patient est moindre.
4. Appareils d’IRM
En général, les systèmes d’imagerie par résonance magnétique sont étroitement liés aux systèmes informatiques hospitaliers pour faciliter les transferts de données et d’images entre eux. Cela les rend particulièrement vulnérables aux cyberattaques.
Les pirates IT peuvent s’en servir comme porte dérobée pour accéder au réseau d’un hôpital. Une fois dans la place, ils peuvent couper le système informatique jusqu’à ce que la rançon demandée leur soit versée. En 2022, En France, 11 attaques ont visé des hôpitaux.
5. Dossiers médicaux
À l’ère d’Internet, les établissements de santé dépendent fortement des technologies internet et des appareils connectés. Toutes les données patients sont enregistrées en ligne : dossiers médicaux, résultats de laboratoire, etc. Cette meilleure intégration des données et le soutien clinique dont bénéficient les patients contribuent à les rendre davantage acteurs de leur santé.
Mais attention, une personne mal intentionnée pourrait facilement siphonner ces informations et les utiliser contre les patients. À plus grande échelle, les cybercriminels peuvent faire main basse sur toutes les données d’un hôpital et exiger le paiement d’une rançon pour en débloquer l’accès. En 2021, les Hôpitaux de Paris ont révélé le vol des données personnelles d'environ 1,4 million de personnes suite à une attaque informatique.
Pourquoi les cybercriminels ciblent-ils les dispositifs médicaux ?
Les criminels ciblent le secteur de la santé pour une raison : la vulnérabilité des dispositifs médicaux face aux cyberattaques.
- Une porte d’entrée facile dans les systèmes informatiques hospitaliers
Les objets connectés médicaux (IoMT) comme les stimulateurs cardiaques, les pompes à insuline, les appareils de radiographie et les défibrillateurs font partie des plus grandes innovations de ce siècle. Les cybercriminels peuvent aussi voir dans cet écosystème IoMT un pousse-au-crime, une invitation à prendre d’assaut les systèmes IT hospitaliers. - Même si ces appareils stockent rarement des données personnelles, les pirates peuvent s’en servir de relais pour attaquer les systèmes d’information hospitaliers. En leur permettant d’accéder au réseau de l’hôpital, ces appareils médicaux connectés leur donnent les moyens d’extraire des données ou de les chiffrer, pour ensuite exiger le versement d’une rançon en échange du déverrouillage de ces données.
- Vecteur d’attaque ciblée contre des personnes
Les criminels peuvent se servir des dispositifs médicaux auxquels ils accèdent pour tuer des patients à distance. En piratant par exemple un pacemaker, ils peuvent provoquer un arrêt cardiaque. On pourrait aussi imaginer le détournement d’une pompe à insuline pour administrer une dose mortelle de médicament au patient. - Aucune attaque ciblée sur une personne n’a été signalée, mais la question mérite d’être abordée avec une extrême attention. Imaginez si des terroristes pirataient des dispositifs médicaux pour attaquer leurs cibles à distance… le scénario fait froid dans le dos.
- Données médicales personnelles, une denrée convoitée
Les données médicales de certaines personnes peuvent valoir cher si elles tombent dans les mauvaises mains. Cela explique en partie l’augmentation du nombre de cyberattaques dans le secteur de la santé. Les cybercriminels peuvent en effet y trouver une bonne raison de dérober les dossiers médicaux de personnalités publiques pour les revendre aux médias. - Mais des dossiers médicaux volés peuvent aussi être utilisés pour se procurer des médicaments ou faire de fausses déclarations médicales. Pour les patients concernés, cela peut avoir des conséquences directes ou indirectes sur leur santé ou leur vie personnelle.
- Vecteur d’infection des systèmes IT
- Bien souvent, les virus informatiques ne font pas de distinction entre réseaux d’entreprise, réseaux domestiques et réseaux hospitaliers. Ils frappent indistinctement tous les dispositifs IoT. Pour extraire des données, les criminels tentent leur chance sur n’importe quel appareil connecté disponible sur le réseau de leur cible.
- S’ils visent un hôpital, la vulnérabilité des dispositifs médicaux est l’un des points qu’ils peuvent étudier. Et s’ils accèdent à ces dispositifs, les effets sont immédiatement perceptibles.
- Manque de proactivité en matière de cybersécurité
La plupart des structures médicales ne disposent pas des technologies nécessaires pour se protéger d’attaquants bien organisés. Même si les technologies médicales ont considérablement évolué ces dix dernières années, le secteur de la santé doit encore se doter des moyens de sécurité nécessaires. - La plupart des fabricants de dispositifs médicaux ne prennent pas en compte la cybersécurité lors du développement de leurs dispositifs. Pour rester dans la course, ces fabricants et l’ensemble des parties concernées doivent veiller à ce que tous les appareils, logiciels et systèmes soient dotés de fonctions de sécurité avancées. De plus, dans un environnement caractérisé par des évolutions technologiques continues, tout l’écosystème doit également être mis à jour régulièrement pour rester sécurisé.
- Pour protéger leurs systèmes, les hôpitaux doivent également investir dans des dispositifs médicaux à jour et équipés de fonctions de sécurité plus abouties.
En conclusion
Alors que les IoMT deviennent de plus en plus intelligents et connectés, ils sont aussi de plus en plus vulnérables aux cybermenaces. Au-delà des cas de fraudes et de vols de données, ces menaces impactent la santé financière et la réputation des établissements médicaux.
Les vulnérabilités de sécurité des dispositifs médicaux sont bien réelles. Elles doivent être surveillées et corrigées. Les hôpitaux et les fabricants de dispositifs médicaux doivent donc passer à la vitesse supérieure et prendre les décisions stratégiques qui s’imposent pour protéger les dispositifs de toutes les cybermenaces.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.
