Alerte du FBI

Les dispositifs médicaux connectés, trop vulnérables aux cyberattaques

Par

Publié le 23/09/2022

Article réservé aux abonnés

Crédit photo : Phanie

Aux États-Unis, le FBI fait part de ses inquiétudes concernant les dispositifs médicaux connectés, particulièrement vulnérables aux cyberattaques, et recommande aux fabricants de les sécuriser. La France, qui se préoccupe également de ce problème, a élaboré des recommandations pour la cybersécurité des dispositifs médicaux, qu'elle souhaite voir intégrer dans la réglementation européenne.

Pompes à insuline, stimulateurs cardiaques, pompes à médicaments… Certains dispositifs médicaux sont connectés à des réseaux informatiques, mais leurs systèmes de sécurité sont rarement suffisants, comme le pointe la division cyber du FBI (Federal bureau of investigation). Dans un communiqué, cette dernière alerte sur « un nombre croissant de vulnérabilités dues à des problèmes médicaux non corrigés » concernant ces dispositifs.

Ainsi, selon un rapport de janvier 2022 mentionné par le FBI, environ 53 % des dispositifs médicaux présentent des vulnérabilités critiques connues. Pour 33 % d'entre eux, ces vulnérabilités impactent directement leur fonctionnement technique. « Les dispositifs médicaux contiennent des logiciels obsolètes, car ils ne bénéficient pas de correctifs ou de mises à jour, ce qui les rend particulièrement vulnérables aux cyberattaques », constate le FBI.

Des individus mal intentionnés n'auraient ainsi aucun mal à exploiter ces failles, ce qui peut impacter négativement la confidentialité et l'intégrité des données collectées. Pire, un pirate pourrait intervenir sur les dispositifs pour qu'ils restituent des informations inexactes, administrent des surdoses de médicaments et, globalement, mettent en péril la santé de leur utilisateur.

Selon un autre rapport cité par le FBI réalisé à la mi-2022 par un analyste en cybersécurité des soins de santé, les dispositifs médicaux les plus visés par les cyberattaques sont les pompes à insuline, les défibrillateurs intracardiaques, les stimulateurs cardiaques et les pompes antidouleur intrathécales.

Le FBI a ainsi recommandé aux fabricants de prendre des mesures pour identifier les vulnérabilités et sécuriser activement les équipements, notamment en installant des antivirus sur les machines hôtes, en chiffrant les données de santé, en planifiant le remplacement des dispositifs médicaux concernés par des vulnérabilités qui n’ont pas pu être corrigées, etc.

De son côté, la France se préoccupe également du problème. En juillet 2019, l'Agence nationale de sécurité du médicament et des produits de santé (ANSM) a rédigé un projet de recommandations à destination des fabricants de dispositifs médicaux intégrant du logiciel, pour que la cybersécurité soit prise en compte lors du développement des produits et ainsi réduire au maximum le risque d’attaque informatique. L'ANSM publie aujourd'hui la version finale de ces recommandations, qui ont pour objectif d'être intégrées dans la législation européenne.