Les dispositifs biomédicaux hospitaliers n’échappent pas à la menace cyber

À l’hôpital, l’augmentation des cyberattaques ces dernières années a poussé les établissements à renforcer la protection du matériel informatique et des dispositifs connectés, en veillant à ne pas bouleverser ni fragiliser le parcours de soin. La vigilance cyber s’étend au-delà du parc informatique, vers la partie la plus vitale : le matériel biomédical. De plus en plus connecté au SIH, il est en effet soumis aux mêmes menaces que les ordinateurs classiques.

Dans les environnements cliniques, Jean-Michel Tavernier, directeur général France d’Armis, constate que les dispositifs biomédicaux sont loin d’être infaillibles. “Plus de 80% des équipements médicaux en moyenne possèdent des failles de sécurité”. Certains même plus que d’autres, à en croire l’étude d’Armis parue au printemps dernier : les systèmes d’appel infirmier et les pompes à perfusion constituent, selon l’organisation, les dispositifs biomédicaux connectés les plus exposés aux activités malveillantes. 39% des systèmes d’appel infirmier présentent des CVE (vulnérabilités et expositions communes) non corrigées de gravité critique et 48% présentent des CVE non corrigées. Du côté des pompes à perfusion, les chiffres sont guère meilleurs : 27% d’entre eux présentent des CVE non corrigées de gravité critique. Viennent ensuite les systèmes de distribution de médicaments, parmi lesquels 4% présentent des CVE non corrigées de gravité critique.

En cybersécurité, les volumes comptent : plus il y a d’appareils connectés, plus les risques augmentent. Comme le rappelle l’Agence de l’Union européenne pour la cybersécurité (ENISA) dans son rapport sur le paysage des cybermenaces en Europe, 60% des organisations européennes de santé utilisent déjà des dispositifs médicaux connectés dans leurs opérations. Or, Juniper Research estime qu’en 2026, les hôpitaux intelligents devraient déployer plus de 7 millions d’appareils médicaux connectés dans le monde, soit le double par rapport à 2021. À l’échelle de l’hôpital, cela représente plus de 3 850 appareils par établissement en moyenne. Tous ces appareils échappent pourtant parfois à la vigilance du personnel informatique, qui n’a pas la main sur tout ce qui entre et sort, tant le volume à surveiller est grand.

Ces milliers d’équipements biomédicaux connectés aux réseaux peuvent devenir tour à tour la cible d’une attaque, un vecteur de propagation d’une menace ou un point d’entrée pour les attaquants. Dans une étude datée de septembre 2022, l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) a listé les types de menaces susceptibles de toucher les appareils biomédicaux et leurs environnements. Les attaques peuvent, par exemple, cibler la disponibilité des dispositifs connectés ou le fonctionnement de l’infrastructure (déni de service, surcharge des requêtes, perte de données sur le patient, surconsommation énergétique entraînant l’épuisement de la batterie, etc.) ou encore l’intégrité du système de soin (données modifiées, fonctionnement altéré du dispositif, etc.). “Nous sommes dans le domaine du risque potentiel et non du risque avéré” note Benoît Fondeur, ingénieur biomédical aux Hospices Civils de Lyon (HCL).

Le principe de précaution prévaut

En qualité de membre de l’Association française des ingénieurs biomédicaux (AFIB) et rattaché au groupe de travail dédié à la cybersécurité (créé sous l’impulsion de Sandrine Roussel), Benoît Fondeur défend l’application du principe de “cyber vigilance” pour les dispositifs biomédicaux, au même titre que la matériovigilance qui s’applique aux produits médicaux.

Dans la plupart des cas, le principe de précaution prévaut. Preuve en est, des vulnérabilités de sécurité sont régulièrement détectées sur les produits mis sur le marché. Les agences gouvernementales sont impliquées au premier plan dans ce chantier. La FDA, qui communique souvent à ce sujet, a, par exemple, alerté en 2020 les opérateurs sur des vulnérabilités touchant les dispositifs médicaux utilisant la technologie Bluetooth Low Energy (BLE). Si l’agence américaine n’a pas identifié à l’époque d’effets indésirables liés à ces vulnérabilités, elle estime que les risques étaient élevés pour les pacemakers, les systèmes de mesure de glycémie et les dispositifs à ultrasons. 

Ces signalements peuvent aussi venir des constructeurs eux-mêmes. En février 2023, la société de technologie médicale BD a prévenu ses clients d’une vulnérabilité dans des versions de son logiciel Alaris Infusion Central, pouvant permettre à un attaquant de récupérer un mot de passe et d’accéder à la base de données. Alaris Infusion Central est un logiciel qui permet aux professionnels de santé de surveiller les données de perfusion envoyées par les pompes BD Alaris Plus et BD Alaris neXus sur un ordinateur. Le groupe a déclaré avoir partagé cette vulnérabilité à la FDA et à l’Agence américaine de cybersécurité et sécurité des infrastructures (CISA) pour la diffuser plus largement.

Vieillissement et obsolescence

Les constructeurs de dispositifs biomédicaux tiennent un rôle important dans l’anticipation des menaces cyber (nous reviendrons sur ce sujet plus en détail dans la deuxième partie du dossier à paraître). Mais le service biomédical d’un établissement hospitalier occupe un rôle plus central encore, puisqu’il est directement impliqué dans l’implémentation des équipements et doit surveiller, le cas échéant, tout le cycle de vie, de l’achat jusqu’à la mise au rebut, en passant par la maintenance.

Les ingénieurs biomédicaux ont face à eux un ennemi commun tenace : le vieillissement des appareils. Pris en tenaille entre les impératifs de soins et les contraintes budgétaires, les établissements ont tendance à conserver leurs appareils pendant des années avant de les renouveler, laissant parfois des versions de Windows obsolètes (XP ou plus récemment Windows 7) rendant impossible les mises à jour logicielles. “La règle en informatique, c’est d’avoir du matériel et du logiciel supportés par les éditeurs et toujours à jour, afin de maintenir le socle de base opérationnel. Or, les dispositifs biomédicaux vieillissants perdent progressivement leurs défenses immunitaires lorsqu’ils ne sont plus maintenus pour lutter contre les nouvelles failles de sécurité” constate Guillaume Deraedt, directeur de la transformation numérique de la CAIH, qui exerce également en qualité de RSSI au GHT Côte d’Opale. 

Les experts en cybersécurité se retrouvent face à un dilemme : que faire d’un vieux scanner, qui n’a pas été mis à jour depuis une dizaine d’années ? Même obsolètes, les équipements indispensables aux soins doivent rester branchés. Il appartient à l’équipe biomédicale, épaulée par le RSSI et l’IT, de veiller à ce que les risques soient les plus maîtrisés possible, en recourant à une surveillance active 24h/24 de ces vieux équipements et en les isolant du réseau.

“Dès que l’on détecte un comportement suspect, comme des connexions intempestives, on va pouvoir faire remonter des alertes, voire bloquer l’équipement à distance”

Jean-Michel Tavernier, Armis

Des sociétés tierces peuvent intervenir dans le monitoring des appareils connectés. Armis, par exemple, qui possède une filiale en France, propose via sa plateforme de détecter et de sécuriser l’ensemble des actifs connectés d’un établissement ou d’une entreprise. Armis consacre aujourd’hui près d’un tiers de son chiffre d’affaires aux établissements de santé et gère une dizaine d’hôpitaux dans l’Hexagone. Les établissements qui font appel à ses services ne sont pas nécessairement ceux qui ont subi une cyberattaque d’ampleur, précise à mind Health Jean Capion, Account Executive chez Armis, mais plutôt ceux qui aspirent à faire l’inventaire de l’ensemble de leur parc connecté pour éviter les mauvaises surprises. Armis les aide à “découvrir, comprendre et cartographier les équipements connectés”, précise ce dernier. Ces efforts paient pour plusieurs raisons, énumère Jean-Michel Tavernier : “Il faut avoir une vision sur les flux de données pour comprendre les types d’informations qui transitent, les protocoles utilisés et les volumes de données qui sont échangés. Puisque les équipements biomédicaux sont aussi parfois sur-sollicités, collecter ces informations permet de prévoir d’éventuelles plages de maintenance sans perturber la production. Dès que l’on détecte un comportement suspect, comme des connexions intempestives, on va pouvoir faire remonter des alertes, voire bloquer l’équipement à distance”.

Une fois l’inventaire complété, “les acteurs tentent de minimiser les risques en mettant les dispositifs vieillissants sous bulle, à travers des solutions de filtration, de cloisonnement ou encore de contournement” détaille Guillaume Deraedt. Il reconnaît cependant que ces solutions ne sont pas la panacée, car “elles demandent à être administrées au quotidien et les risques résiduels sont toujours là”.

Pour limiter les risques résiduels, Mickaël Léal, entrepreneur et cofondateur de la société de cybersécurité Allpriv, a trouvé une solution : la société qu’il dirige a inventé un boîtier qui se branche aux dispositifs biomédicaux pour isoler l’appareil et analyser toutes les instructions qui y transitent. La solution Cyber-Brick (récompensée au CES 2023) offre des petits dispositifs matériels durcis, autonomes, gérés par IA et blockchain embarquée. Ils ont deux missions principales : “Quand le réseau de l’hôpital tombe, les Cyber-Brick possèdent leur propre réseau web3 indépendant et de secours afin de permettre aux DM critiques de continuer d’envoyer alertes et monitoring sans le réseau de l’hôpital. Chaque Cyber-Brick est également connecté directement au DM à protéger et l’isole du réseau. Il retranscrit chaque instruction autorisée à destination du dispositif et bloque le reste”, explique Mickaël Léal. Pour l’entrepreneur, le moindre dispositif connecté doit être pensé comme une “place forte”. 

Interrogé par mind Health sur la pertinence de ce type de solution de sécurité vendue sur étagère, Benoît Fondeur se montre plus mesuré. Il considère que cette “solution palliative” est surtout utile pour les “vieux équipements dont les systèmes d’exploitation ne peuvent plus évoluer”.

Un cadre français incitatif

Échaudés par la recrudescence des attaques, les établissements de santé ne se contentent pas de solutions palliatives, mais veulent des solutions qui durent, en fonction des moyens dont ils disposent. L’État – via l’Agence nationale de la sécurité des systèmes d’information (ANSSI) notamment – les aide financièrement à renforcer leurs systèmes d’alerte et de protection. Plusieurs initiatives ont émergé en ce sens depuis la pandémie. Dans le cadre du volet cybersécurité du plan France Relance, l’ANSSI a reçu une enveloppe de 25 M€ pour renforcer la cybersécurité des établissements de santé, complétée par une enveloppe de 20 M€ supplémentaires en août 2022, après l’attaque d’ampleur visant le Centre hospitalier Sud Francilien (CHSF) à Corbeil-Essonnes. Ce plan fait suite au Ségur de la santé, qui a consacré en 2021 350 M€ à la cybersécurité des établissements de santé et médico-sociaux. Plus récemment, le programme Cyber accélération et résilience des établissements (CaRE) a été mis en place dans le cadre de la feuille de route du numérique en santé 2023-2027. D’ores et déjà financé à hauteur de 175 M€, il est piloté par la DNS avec l’ANS, en lien étroit avec le haut fonctionnaire de défense et de sécurité (HFDS), les ministères sociaux, la DGOS, l’ANSSI, les ARS et les GRADeS. Il finance notamment des exercices de gestion de crise cyber à destination des établissements de santé.

Sur le versant des recommandations, l’ANSSI met à jour de façon épisodique son guide d’hygiène informatique pour renforcer la sécurité des SI et publie tous les ans un rapport sur l’ensemble des cybermenaces, décrivant les secteurs les plus visés et les nouveaux modes d’action des attaquants. L’ANSM, dont la mission principale consiste à évaluer les risques sanitaires des médicaments et produits de santé, consacre elle aussi une partie de son travail à l’analyse des risques cyber, comme en atteste son guide de recommandations publié en septembre 2022, à la suite de travaux initiés en 2017. L’agence explique que ces recommandations ont pour objectif de “guider les fabricants dans leur démarche de cybersécurisation des logiciels dispositifs médicaux, du développement à la mise sur le marché, à l’utilisation et la surveillance post-marché”. Compte tenu de l’évolution rapide des DM et des modes d’attaques, l’ANSM n’a pas souhaité se plonger dans des considérations techniques, mais se contente d’offrir aux lecteurs les grands enjeux autour de la sécurité des appareils biomédicaux.

Pour Guillaume Deraedt, “nous sommes, en France, dans une vision incitative” sur le volet cyber. À défaut d’imposer une vision coercitive unifiée sur le territoire, “des initiatives naissent au sein des centrales d’achat, chez les constructeurs et dans les communautés savantes, comme l’AFIB, avec le soutien de l’ANSSI, une agence nationale qui n’a pas vocation à légiférer” analyse cet expert.

Si l’informatique est historiquement le “parent pauvre” du milieu hospitalier, souligne Jean-Michel Tavernier, la sécurité est devenue un poste de dépense incontournable pour les directions hospitalières et les acteurs qui gravitent dans le domaine des dispositifs biomédicaux connectés. De cette prise de conscience sont nées des initiatives concrètes. Dans la deuxième partie de ce dossier consacré à la cybersécurité des dispositifs biomédicaux (à retrouver ici), nous verrons comment les acteurs de terrain structurent leurs filières cyber et mettent en œuvre des stratégies pour protéger les dispositifs biomédicaux des pirates.