Internet des objets : et si c’était la nouvelle faille de sécurité du secteur la santé
La sécurité du patient est essentielle, c’est d’ailleurs pour cette raison qu’il est exigé un ensemble normes au niveau du déploiement des outils d’Internet des objets.
Il a même été intégré comme exigence de démarrage des protocoles de sécurité informatique. Il a même été imposé aux fabricants objets connectés du secteur de la santé, intégrer à leur produit, des mesures de protection drastique la conception de ceux-ci.
Cet article va aussi vous intéresser : L’impact de l’Internet des objets sur la sécurité des systèmes de contrôle industriel selon Kaspersky
C’est d’ailleurs ce que soulève, Éric Houdet, Le vice-président chargé des ventes et marketing de Quarkslab : « Entrés dans les établissements de santé, les objets connectés font l’objet de réglementations et de normes drastiques en matière de sécurité du patient et de sécurité informatique. Les fabricants d’IoT de santé doivent intégrer la protection numérique dès la conception de leurs produits et utiliser des systèmes statiques et dynamiques pour se prémunir contre les cybercriminels. ».
Ces dispositions sont de bonne guerre. En effet nous sommes dans une situation où les machines connectées sont de plus en plus nombreuses dans nos hôpitaux. Elles peuvent constituer à elles seules de véritables mines pour les pirates informatiques.
« Structurée autour de deux piliers – systèmes d’information et périphériques –, l’architecture informatique des hôpitaux offre une large surface d’attaque aux cybercriminels. Mais si les objets connectés représentent un risque important comme point d’entrée des cybercriminels dans les entreprises, le talon d’Achille des établissements de santé est avant tout le système d’information. Infrastructures vieillissantes, outils de sécurité insuffisants, manque de ressources humaines spécialisées en cybersécurité… autant de paramètres qui font la joie des attaquants. Grâce à des ransomwares, ils pénètrent dans le réseau et chiffrent les données stockées sur les serveurs, paralysant leur utilisation. », explique L’expert de chez Quarkslab.
Cependant quand on observe de plus près, l’ensemble des outils connectés utilisé dans nos hôpitaux sont moins sujets à des attaques informatiques. Disons pour le moment car l’éventualité que la cybercriminalité s’y intéresse est très grande. Selon Éric Houdet : « Dotés d’une architecture différente des postes de travail, ces objets connectés n’ont pas les mêmes vulnérabilités. Les attaquer requiert des méthodes et des outils spécifiques. Par ailleurs, leur niveau de sécurité tend à être généralement plus élevé. Et pour cause. Tous ces équipements doivent répondre à des standards et des normes drastiques de sécurité des personnes, à l’instar de la directive européenne 2017/745 ou de la norme ISO14971, qui encadre la gestion des risques liés à ces dispositifs (malades comme professionnels qui opèrent l’équipement), pour recevoir l’accord de mise sur le marché. ».
Pour le moment l’ensemble de ces réglementations est assez positif. De la sorte en soumettant le constructeur d’incorporer dès la base des outils de protection, cela permet de lutter en allemand contre les risques cyber. « Le risque informatique lié à une attaque ou à un ransomware pourra être intégré dans ces analyses. Un électrocardiographe, par exemple, ne peut réaliser des mesures justes que si son système ne connaît aucun dysfonctionnement. Il est donc impératif pour les fabricants d’objets connectés médicaux d’intégrer, dès la phase de conception, la sécurité de tous les composants et briques logicielles constituant le produit final contre les attaques informatiques pouvant viser les établissements de santé. Ce principe de « Safety by design » doit aussi intégrer le « Security by design » afin de mettre en œuvre des mesures plus performantes. », note Éric Houdet
Protéger les différents outils utilisés dans le secteur de la santé relève de la nécessité. Et cela tout simplement parce que il y a des vies en jeu. Les cybercriminels ont plusieurs fois démontré que mettre en danger la vie des patients pour exiger le paiement de rançon n’est pas quelque chose qui les dérangent véritablement. Une cyberattaque peu importe son ampleur, peut avoir de lourdes conséquences.
En conclusion, on peut retenir que : « La sécurité informatique des établissements de santé est un problème complexe, qui nécessite une approche holistique de la sécurité informatique, en prenant en compte le système d’information et les périphériques médicaux. Si les objets connectés de santé ne sont pas la cible prioritaire des pirates, il est essentiel de mettre en place les garde-fous nécessaires afin que cela ne le devienne. », souligne Éric Houdet.
Accédez maintenant à un nombre illimité de mot de passe :