Vous avez peut-être entendu l'expression « votre santé est votre richesse ». C'est l'une des raisons pour lesquelles les États-Unis ont dépensé plus de 3 200 milliards de dollars en soins de santé en 2015.
Avec un tel volume d'argent en jeu, de nombreuses entreprises, y compris technologiques, se sont lancées sur le marché de la santé.
Si la technologie médicale peut sembler parfois dépassée, les innovateurs visent à la moderniser avec la connectivité Internet. Cependant, cette avancée comporte de réels dangers et problèmes de sécurité qui pourraient vous surprendre.
L'Organisation mondiale de la santé (OMS) définit un dispositif médical comme « tout instrument, appareil, outil, machine, implant, réactif in vitro, logiciel ou matériel destiné par le fabricant à être utilisé sur les êtres humains pour des fins médicales spécifiques ».
En résumé, il s'agit de tout appareil ou logiciel utilisable à des fins médicales.
La Food and Drug Administration (FDA) américaine réglemente ces dispositifs en trois classes : Classe I (faiblement réglementée, centrée sur la fabrication et la commercialisation), Classe II (réglementation spécifique accrue) et Classe III (pour les appareils soutenant ou maintenant la vie humaine).
Cependant, la FDA peine à suivre le rythme des innovations, notamment pour les appareils connectés à Internet, sans directives claires sur leur sécurisation.
En décembre 2016, la FDA a publié des recommandations sur la cybersécurité des dispositifs médicaux, mais celles-ci ne sont pas contraignantes, laissant les fabricants libres de les appliquer.
Les dispositifs médicaux connectés relèvent ainsi de l'Internet des objets (IoT) plus large. Bien qu'ils offrent de nombreux avantages, l'absence de réglementation stricte limite les investissements en sécurité.
L'IoT est un défi majeur pour la cybersécurité, et les enjeux sont encore plus critiques avec des appareils médicaux où nos vies sont en jeu.
Le secteur de la santé est coûteux pour patients et prestataires. Les hôpitaux mélangent équipements neufs et anciens, avec des logiciels legacy et interfaces propriétaires, compliquant grandement la sécurisation pour les équipes IT.
Les interfaces logiciel-matériel révèlent souvent des vulnérabilités, comme démontré par Saurabh Harit à Black Hat Europe 2017. Il a hacké une pompe à perfusion intraveineuse, programmable à distance pour injecter des médicaments.
Accédant au mode administrateur via un mot de passe par défaut trouvé en ligne, il a utilisé l'infrarouge et un ancien PDA d'eBay pour connecter la pompe au Wi-Fi et importer ses identifiants.
Avec Wireshark, il a intercepté des données sensibles : doses de médicaments, noms de patients, soignants, emplacements et listes de prescriptions.
De telles failles ne se limitent pas à une pompe. Des chercheurs ont accédé à des scanners CT, exposant les patients à des risques.
En août 2017, la FDA a rappelé 465 000 stimulateurs cardiaques Abbott pour vulnérabilités de piratage, résolues par un correctif firmware appliqué par le personnel médical.
En 2014, le Département de la Sécurité intérieure (DHS) a enquêté sur 24 appareils critiques, dont des pompes Hospira et dispositifs cardiaques Medtronic/St Jude Medical.
Comme dans de nombreux secteurs, les hôpitaux dépendent de systèmes legacy obsolètes, coûteux à moderniser. L'attitude « si ce n'est pas cassé, ne le réparez pas » prédomine, ignorant les risques cyber.
En mai 2017, WannaCry a infecté 300 000 ordinateurs, dont ceux du NHS britannique, paralysant hôpitaux et exposant données patients. Un patch Microsoft existait depuis un mois, mais beaucoup utilisaient encore Windows XP, non supporté depuis 2014.
La technologie progresse, mais n'est pas infaillible, comme l'a montré une erreur algorithmique au NHS causant potentiellement 270 décès par non-invitation à des dépistages du cancer du sein.
Les dispositifs médicaux concernent la vie ou la mort. Avec la loi de Moore boostant la connectivité, les fabricants doivent prioriser la cybersécurité pour éviter des « fonctionnalités mortelles ».
