Close
  • Français
  • English

Cybersécurité et santé, état des lieux [Par Hugo Lemarchand, CEIS]

Nouveaux matériels, nouvelles menaces

Les menaces pesant sur le SI des hôpitaux

A la mi-juin 2013, la FDA (Food and Drug Administration, les autorités sanitaires américaines) a mis en garde les acteurs du secteur médical contre les cyberattaques qui pourraient toucher les appareils médicaux reliés à Internet et, plus largement, les hôpitaux[22].

Comme toute structure, les hôpitaux sont vulnérables aux attaques informatiques classiques (virus, vers…). Les conséquences peuvent être dramatiques : les hôpitaux de la région de Sheffield (Royaume-Uni) ont été touchés par le virus Conficker – qui a également attaqué la Royal Navy ou le Ministère de la Défense français – neutralisant ainsi 8 000 ordinateurs dans tous ces services hospitaliers[23].

Les risques sont accrus en raison de l’introduction de nouveaux matériels, comme les tablettes, dont les problématiques de sécurité correspondantes ne sont pas toujours envisagées et anticipées. L’utilisation de ces outils mobiles est en plein développement dans le milieu hospitalier[24], le personnel soignant utilisant par exemple ces appareils pour accéder aux informations du patient, connaitre sa médication, etc. Récemment, le DSI de l’hospitalisation à domicile de l’AP-HP a décidé du déploiement de 800 tablettes pour dématérialiser les processus de saisie et de partage d’informations aux domiciles des patients. Cependant, pour des raisons de sécurité, l’AP-HP conserve la maitrise de l’hébergement des données et a formaté entièrement la tablette pour éviter toute fuite d’informations confidentielles[25].Conscient de ces risques, l’Etat français a élaboré la PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé)[26]. Cette politique est applicable à l’ensemble des acteurs de la santé et pose des principes fondateurs en matière de sécurité des SI de santé et de référentiels thématiques de sécurité[27].

[box style=’info’]

Quelles réponses ?

Si l’encadrement de la prestation d’hébergement des données de santé est relativement strict, la cybersécurité du secteur médical exige la diffusion de bonnes pratiques tant au niveau des constructeurs que des utilisateurs. Les constructeurs intègrent le « security by design », renforçant au mieux la sécurité des dispositifs médicaux tels que les pacemakers. Il est également possible de réfléchir à la mise en cause de leur responsabilité en cas de manquement grave à cette obligation de sécurisation. Les utilisateurs sont la clé de voûte de la sécurité du secteur de la santé. Les médecins et personnels du secteur se doivent de rester vigilant à la diffusion des données à caractère personnel des patients, et anticiper les conséquences difficilement maîtrisables du BYOD. Enfin, l’analyse de risque est essentielle afin de concilier les exigences ergonomiques des besoins « métier » à l’exigence désormais vitale de sécurité des outils informatiques.

[/box]

Les atteintes aux personnes physiques : quand la réalité rejoint la fiction

Edit : La dématérialisation dans le domaine médical passe aussi par l’introduction de logiciels sensés faciliter la prise en charge du patient à l’exemple des solutions d’aide à la prescription permettant la saisie des médicaments prescrits, voire même la suggestion d’autres médicaments en fonction de la pathologie indiquée. Récemment à Lyon, un médecin s’est aperçu que le logiciel de prescription doublait quotidiennement et de manière automatique les doses prescrites, ce qui aurait pu aboutir au décès du patient si cette erreur n’avait pas été détectée[38]. Dès lors, il est tout à fait imaginable que de tels logiciels fassent l’objet d’un piratage à des fins de modification de prescriptions, celles-ci devenant ainsi potentiellement mortelles, ou en rendant le service indisponible, les soins ne pouvant plus alors être prodigués.

D’autres systèmes, propres au domaine de la santé, pourraient avoir des conséquences directes sur le processus de soin. Même si à l’origine peu d’appareils médicaux étaient reliés au réseau, cette tendance commence à changer.

A titre d’exemple, les électrocardioscopes – plus communément appelés scopes – permettent de suivre l’activité du cœur des patients : la console de surveillance de ce système de monitoring est située dans la chambre du patient, mais fonctionne également par télémétrie afin de pouvoir contrôler l’état du patient à distance. Les informations sont transmises par le réseau, et ce de plus en plus sans fil[28]. Les données transmises pourraient ainsi faire l’objet d’un piratage ou le système neutralisé, ayant des conséquences directes pour le patient.

La FDA a donc transmis aux fabricants américains de matériel médical une notice d’avertissement pour attirer leur attention sur « la vulnérabilité en termes de cybersécurité des dispositifs médicaux et des réseaux opérationnels des hôpitaux et des incidents qui pourraient les toucher directement », les incitant par la même à prendre des mesures visant à réduire le risque d’incidents dus à des attaques informatiques. Mais cette mise en garde ne sera efficace que si elle se double d’une sensibilisation du personnel hospitalier qui, comme dans n’importe quel système, reste la première vulnérabilité.

Pis encore, Barnaby Jack, expert en solution de sécurité, a démontré lors de la conférence Ruxcon Breakpoint qui s’est tenu à Melbourne fin 2012, une faille dans la programmation des émetteurs sans fil utilisés pour envoyer des instructions aux stimulateurs cardiaques (pacemakers) et aux défibrillateurs[29]. Les premiers surveillent délivrent des impulsions électriques au cœur, permettant par exemple d’accélérer ce dernier lorsqu’il est trop lent, tandis que les seconds détectent les contractions cardiaques irrégulières, délivrant un choc électrique pour éviter une crise cardiaque le cas échéant. D’autres enfin combinent les deux fonctions, les DAI (défibrillateur automatique implantable). Dans le passé, la reprogrammation de ces dispositifs se faisait par un aimant que le médecin posait sur le patient. Cette opération s’effectue aujourd’hui sans fil, avec une portée allant de 10 à 15 mètre[30].  Une faille a permis à ce spécialiste d’obtenir le numéro de série et le modèle du dispositif, lui permettant ainsi de reconfigurer le firmware de l’émetteur, en charge de la reprogrammation des pacemakers et des défibrillateurs[31].  La plupart de ces appareils contiennent en outre d’autres informations, comme le nom des patients ou celui de leur médecin. Il serait également possible d’infecter ces dispositifs en remplaçant les firmwares de ces appareils par des versions piratées sur les serveurs du fabricant ou de créer une réaction en chaîne, provoquant une contamination d’un pacemaker à un autre pour une certaine marque d’appareil[32].

Barnaby Jack a enfin développé une application permettant de rechercher de tels dispositifs médicaux et de choisir celui que l’on souhaite désactiver ou de délivrer un choc électrique. Ce spécialiste a démontré qu’il était possible de faire délivrer par un pacemaker une décharge de 830 volts depuis un ordinateur, entraînant potentiellement la mort du patient.

Avec des conséquences si désastreuses sur le corps humain désormais vulnérable aux cyberattaques, la réalité rejoindrait-elle la fiction ?

[33][34].

 ________

Sources :

[1] http://fic2013.com/dossier-le-futur-reglement-europeen/

[4] Article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[9]  Loi n°2002-303 du 4 mars 2002

[10] Article L.1111-8 du Code de la santé publique

[11] Article L.1111-8 du Code de la santé publique

[13] Décret n°2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires)

[16] Télécharger sur l’app store d’iTunes https://itunes.apple.com/us/app/figure-1/id645948529?mt=8

[18] Fiche n° 16 – L’anonymisation – http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Livrets/securite/files/assets/seo/page40.html – Page 40 – Cnil -guide sécurité des données

[19] Sujet abordé par le programme de recherche  «  Santé et bien-être dans le monde numérique »

[21] Cour de Cassation, 1ère Chambre Civile, 26 septembre 2012, Pourvoi n° 11-17.962 – Arrêt n°1036 (Rejet) – interprété par : http://www.infodsi.com/articles/138758/haro-hebergeur-donnees-sante-champ-application-large-statut-rigide-arnaud-tessalonikos-associe-camille-diotel-avocat-sein-departement-it-cabinet-courtois-lebel.html

[33] La série à succès Homeland fait référence à ces techniques en mettant en scène l’assassinat d’un homme politique suite au piratage à distance de son pacemaker. http://www.huffingtonpost.com/michael-hogan/homeland-recap-season-2-episode-10-broken-hearts_b_2229246.html

Pages: 1 2