in

Dispositifs médicaux connectés : les chercheurs CheckPoint alertent sur les dangers de mal les protéger

Étude d’un dispositif d’échographie

Les objets connectés facilitent nos vies. Les technologies du domicile intelligent, par exemple, améliorent l’efficacité énergétique en permettant à leurs utilisateurs de gérer l’éclairage et les appareils au moyen d’un écran tactile. Des entreprises de tous les secteurs ont rapidement adoptées ce type de technologie pour améliorer leur efficacité opérationnelle. Notre récent Rapport Sécurité, concernant les plates-formes dans le Cloud, les mobiles et les objets connectés, précise que ces mêmes plates-formes ont récemment été identifiées comme étant l’un des maillons les plus faibles d’un réseau informatique.

Pourquoi ? Il existe trois raisons principales :

  • Les objets connectés sont souvent développés autour de systèmes d’exploitation open source qui les rendent vulnérables à des attaques. Cela signifie également qu’ils ne sont généralement pas conçus dans un souci de sécurité, voire que leur sécurité est totalement ignorée.
  • Les objets connectés collectent et stockent de plus en plus de données, ce qui en fait une cible attrayante pour les cybercriminels.
  • Ils constituent un point d’entrée facile pour les pirates qui cherchent à se déplacer latéralement dans un réseau informatique et accéder à des données plus sensibles. Ces appareils peuvent également être attaqués directement et mis hors service avec un effet fortement perturbateur.

Le secteur de la santé en particulier s’est fortement doté de dispositifs médicaux connectés. Prenez les postes d’échographie par exemple. La technologie de l’échographie a fait d’énormes progrès ces dernières années pour fournir aux patients et aux médecins des informations détaillées susceptibles de sauver des vies. Malheureusement, ces progrès n’ont pas été étendus à l’environnement de sécurité informatique dans lequel ces machines sont installées, sont connectées et y transmettent des images.

Check Point Research a récemment souligné les dangers que cela pourrait présenter, en étudiant le fonctionnement d’un poste d’échographie. L’équipe a découvert que le système d’exploitation de la machine était Windows 2000, une plate-forme qui ne bénéficie plus de correctifs ni de mises à jour, laissant ainsi le poste d’échographie et les informations capturées vulnérables à des attaques.

Grâce à d’anciennes failles de sécurité bien connues dans Windows 2000, notre équipe n’a pas eu de difficulté à exploiter l’une de ces vulnérabilités et accéder à l’intégralité de la base de données d’images des patients stockée sur la machine.

L’objectif d’une attaque

Des cyberattaques visant des hôpitaux se produisent presque toutes les semaines. L’attaque de logiciel rançonneur contre le Melbourne Heart Group en est un exemple récent. Des pirates ont chiffré les données de l’hôpital et ont demandé le paiement d’une rançon pour les restituer. Parmi les autres attaques importantes observées l’année dernière : les services de santé de Singapour, SingHealth, victimes d’une fuite massive des données contenant notamment les dossiers médicaux du premier ministre, puis le vol de 1,4 million de dossiers de patients auprès de UnityPoint quelques semaines plus tard. En mai 2017, l’attaque de WannaCry a provoqué l’annulation de plus de 20 000 rendez-vous médicaux auprès du service de santé britannique. Une dépense de 150 millions de livres a été nécessaire pour remédier à l’attaque. Les dommages ont été entraînés par un système Windows non corrigé.

En raison de la grande quantité d’informations personnelles qu’ils détiennent et transmettent de plus en plus par voie électronique, les établissements de santé sont devenus des cibles majeures pour les cybercriminels cherchant non seulement à provoquer des perturbations massives, mais également à générer des gains financiers. Ces données précieuses peuvent être détournées pour obtenir des prestations médicales, des appareils et des médicaments onéreux sur ordonnance, et pour bénéficier frauduleusement des prestations de santé subventionnées par le gouvernement.

Selon une Étude de Ponemon sur le coût des fuites de données, à 408 dollars par dossier médical, le secteur de la santé est celui présentant de loin le coût le plus élevé pour remédier à des fuites de données, par rapport à un coût moyen de 225 dollar par enregistrement dans d’autres secteurs. Ces coûts comprennent les frais d’enquête et de réparation des dommages causés par une attaque, ainsi que le paiement d’amendes et de rançons, et les sommes dérobées. Les attaques peuvent également entraîner la perte des informations et des dossiers des patients, et causer un préjudice durable à la réputation des établissements de santé touchés.

Le problème de sécurité

La nature critique des environnements de soins de santé requiert souvent qu’un grand nombre de personnes impliquées dans le processus de soins aient un accès immédiat aux données des patients sur différents appareils et applications. Par conséquent, un temps d’immobilisation pour mettre à jour ou corriger leurs systèmes n’est pas une option facilement envisageable.

Les vulnérabilités inhérentes au fonctionnement des dispositifs de santé, tels que les postes d’échographie connectés au réseau de l’établissement, sont notamment l’impossibilité d’installer des correctifs de sécurité sur les dispositifs, le stockage et la transmission de données sensibles sans les chiffrer, et les identifiants de connexion par défaut ou codés en dur.

En conséquence, le risque de cyberattaque sur les établissements de santé est énorme. De telles attaques peuvent entraîner la perte et la fuite de données personnelles, l’altération des informations médicales d’un patient concernant les médicaments, les dosages, etc., et le piratage des dispositifs d’IRM, d’échographie et de radiographie dans les hôpitaux. La sécurité des applications et des dispositifs médicaux peut vraiment être une question de vie ou de mort.

La solution de sécurité

Les vulnérabilités de sécurité mentionnées ci-dessus soulignent l’importance que les établissements de santé doivent accorder à leur posture de sécurité informatique. La normalisation du protocole de sécurité sur les dispositifs médicaux connectés reste problématique et vague, mais les établissements de santé peuvent toutefois protéger les données de leurs patients.

Ils doivent rester attentifs aux multiples points d’entrée existant sur leur réseau. Des centaines, voire des milliers, de dispositifs sont connectés au réseau informatique, et chacun d’entre eux comprend des failles de sécurité, que ce soit au niveau du matériel informatique ou des logiciels utilisés par ces dispositifs. Dans l’impossibilité de détecter chacune de ces vulnérabilités, il est donc essentiel que les établissements de santé disposent d’une solution de prévention avancée pour contrer les attaques inévitables qui tenteront d’exploiter les vulnérabilités.

Dans ce sens, la segmentation vient à point nommé. En séparant les données des patients du reste du réseau informatique, les services informatiques bénéficient d’une visibilité plus nette sur le trafic réseau pour détecter les mouvements inhabituels pouvant indiquer une faille de sécurité ou un dispositif compromis. La segmentation permettrait également à ces établissements d’empêcher les fuites de données ou les programmes malveillants de chiffrement de se propager davantage sur le réseau, en isolant la menace.

Enfin, la segmentation devrait également s’appliquer au personnel de santé de l’établissement. L’accès aux systèmes de santé ne devrait être fourni qu’à ceux qui en ont réellement besoin pour remplir leur mission.

Conclusion et points clés

Les avantages offerts par les dispositifs médicaux connectés ne peuvent être ignorés. Ils fournissent aux patients et aux professionnels de la santé des informations susceptibles de sauver des vies, et permettent un traitement efficace de ces informations. Cependant, les établissements de santé doivent être conscientes des vulnérabilités associées à ces dispositifs, qui augmentent les risques de fuites de données. La segmentation du réseau est une pratique recommandée qui permet aux services informatiques des établissements de santé d’adopter de nouvelles solutions médicales numériques tout en offrant un niveau de sécurité supplémentaire pour protéger les réseaux et les données, sans compromettre les performances ni la fiabilité.

Avec la mise en œuvre et l’application des meilleures pratiques de cybersécurité, les équipes de sécurité informatique sont assurées que les dossiers de leurs patients, ainsi que les finances et la réputation de leur établissement, sont protégés.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.