Site Logo

Sécuriser l'Internet des objets médicaux

Thèmes:
29 déc. 2021
|
Tony Burgess

L'Internet des Objets (IoT) ou domotique est un secteur vaste qui s'agrandit de jour en jour. Il regroupe tous les appareils connectés à Internet, hors appareils traditionnels comme les ordinateurs portables, téléphones et tablettes. Les appareils comme les téléviseurs et réfrigérateurs connectés, les installations photovoltaïques sur les toits et les systèmes de contrôle industriel utilisés dans la fabrication, les infrastructures critiques et la gestion des services publics... tout cela fait partie de l'IoT.

La sécurité des appareils de domotique est tout aussi importante que celle de votre réseau d'entreprise et des appareils des utilisateurs finaux. Dans de nombreux cas, la sécurité est d'autant plus critique qu'en cas de faille sur un appareil compromis, les dommages peuvent aller jusqu'à la destruction d'objets ou de bâtiments dans le monde physique ou aux incidents impliquant des personnes. Et cela se vérifie encore plus dans le monde médical.

L'IoT dans le secteur de la santé


La domotique dans le monde médical ou Internet des objets médicaux (IoMT ou encore HIoT ou MIoT), est un sous-ensemble de l'IoT qui comprend les appareils et les applications permettant d'augmenter l'efficacité et la précision des services médicaux fournis et de la gestion des données médicales. Les appareils de l'IoMT permettent aux médecins d'accéder aux données sur leurs patients en temps réel et de les partager. Les appareils connectés de surveillance médicale – qu'il s'agisse des objets à porter sur soi, des implants ou des objets laissés à la maison – peuvent générer des alertes instantanées quand des interventions sont nécessaires. C'est indéniable, l'IoMT a le pouvoir de sauver des vies. Ces technologies continueront sans nul doute à améliorer grandement le secteur de la santé à l'avenir.

La pandémie de COVID-19 a encouragé le développement plus rapide et l'adoption d'appareils médicaux connectés car la télémédecine et les applications de surveillance à distance sont des alternatives moins risquées que les consultations en personne.

Enjeux pour la sécurité


Malgré les avantages et les promesses de l'IoMT, ce secteur présente des défis considérables et uniques de sécurité, qui doivent être pris en compte pour éviter des conséquences néfastes, allant des amendes pour non-conformité réglementaire aux blessures voire aux décès des patients.

  • Les anciens appareils ont été conçus sans penser à la sécurité. Des appareils médicaux conçus il y a plus d'une dizaine d'années sont toujours en service aujourd'hui. Leurs créateurs ont peut-être pensé que la sécurité ne serait ni un problème ni une priorité. Les appareils protégés dès leur sortie quant à eux n'ont peut être pas la protection suffisante pour contrer les menaces les plus récentes et les attaques de vulnérabilité.

  • Des configurations identiques sont répétées en série. Alors que les PC et d'autres terminaux peuvent utiliser une grande variété de configurations et de logiciels, les appareils médicaux peuvent être distribués par millions et être tous dotés de la même configuration. Cela signifie qu'une attaque ayant abouti sur un appareil peut être reproduite sur tous les appareils du même type à grande échelle.

  • La publication de correctifs et la mise à jour sont parfois difficiles. Traditionnellement, les appareils médicaux étaient livrés avec des logiciels exclusifs et fixes, qui n'allaient pas être mis à jour ni corrigés pour faire face à des vulnérabilités. Bien qu'il soit possible d'effectuer des mises à jour sur ce genre d'appareils, cela peut être difficile et chronophage et nécessiter des tests complets pour garantir la sécurité des patients et des données protégées. Les fabricants peuvent être hésitants ou incapables de consacrer les ressources adéquates pour mener à bien ces tâches.

  • Les contrôles d'accès sont peut-être inadéquats. Les appareils médicaux sont généralement conçus pour être facilement accessibles par du personnel médical et administratif varié. Des acteurs malveillants en interne peuvent facilement exposer des données protégées. Un compte utilisateur compromis – conséquence d'une attaque de phishing, d'une usurpation d'identité, d'un malware, etc – peut entraîner une faille coûteuse pour l'entreprise ou permettre à l'attaquant de contrôler l'appareil en question pour des résultats potentiellement dévastateurs.

  • Les mesures de sécurité réseau ne s'appliquent peut-être pas aux appareils à distance. Lorsque les appareils médicaux sont déployés hors site, par exemple au domicile d'un patient, les anciens pare-feux de réseau ne sont peut-être pas en mesure d'étendre la protection au-delà du réseau de l'entreprise. 


Atténuer les risques de l'IoMT


L'adoption de l'IoMT par les organismes de santé augmente progressivement. Mais les préoccupations sur la sécurité et le manque de compétences et de ressources informatiques freinent quelque peu cette adoption. Cela dit, les technologies et les stratégies requises pour minimiser les risques de sécurité sont déjà disponibles. En voici quelques exemples :

  • Des pare-feux réseau avancés, livrés sur le cloud – Les pare-feux modernes, comme Barracuda CloudGen Firewall, vous permettent d'étendre une sécurité complète à la fois dans et en dehors de votre réseau d'entreprise. Il comprend l'analyse avancée de tout le trafic entrant, sortant et intérieur au réseau. De plus, ces pare-feux permettent de segmenter le réseau pour isoler les appareils de surveillance des répertoires de données sensibles par exemple. Même si des criminels parviennent à compromettre un appareil, ils n'auront pas accès aux données précieuses qu'ils cherchent à dérober.

  • Zero Trust Network Access (ZTNA) – Les solutions très sophistiquées de Zero Trust Access comme Barracuda CloudGen Access surveillent en continu plusieurs facteurs comme la géolocalisation et l'identifiant des appareils pour empêcher tout accès non autorisé et appliquent des autorisations très détaillées selon le rôle même lorsque des identifiants valides ont été dérobés.

  • La sécurité des applications avancée – Les solutions modernes de WAF (pare-feu Web applicatif) comme Barracuda WAF-as-a-Service et Cloud Application Protection, simplifient considérablement un ensemble de technologies longtemps considérées comme complexes et difficiles à déployer et configurer. Elles vous permettent de déployer de nouvelles applications qui font interface avec vos appareils médicaux connectés en toute confiance.

  • Des appliances de sécurité IoT – Des appliances de sécurité spécialisées conçues pour être déployées sur chaque appareil, comme Barracuda Secure Connector et Secure Access Controller, fournissent une sécurité de pointe tout en autorisant des connexions VPN temporaires pour permettre à des tiers d'assurer la maintenance et les mises à jour, ce qui améliore radicalement la sécurité des anciens appareils potentiellement non sécurisés.


Lancez-vous !


Compte tenu des principaux avantages pour les patients, les fournisseurs et les organismes de soin, l'IoMT (Internet des objets médicaux) devrait continuer à progresser comme moteur de l'innovation dans le domaine de la santé. Mais sa croissance doit intervenir dans un contexte de sécurité très fiable. Pour rester compétitifs et garantir une conformité réglementaire en continu, les services et professionnels informatiques dans le domaine de la santé doivent s'engager à un audit complet de leurs appareils connectés et leurs vulnérabilités, afin de mettre au point une stratégie permettant d'éliminer les failles et d'assurer un déploiement rapide de nouveaux services basés sur la technologie.

Afin de recevoir de l'aide et un accompagnement au démarrage, veuillez contacter votre représentant Barracuda ou revendeur très prochainement.

Protéger vos appareils connectés

Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Billets associés :
Sécuriser l'Internet des objets médicaux
Sécuriser l'Internet des objets médicaux
 Qu'est-ce que SASE (Secure Access Service Edge) ?
Qu'est-ce que SASE (Secure Access Service Edge) ?
 Comment fonctionne le SASE pour connecter réseau, sécurité et cloud
Comment fonctionne le SASE pour connecter réseau, sécurité et cloud
 Examiner de plus près l'expansion de la plateforme SASE de Barracuda
Examiner de plus près l'expansion de la plateforme SASE de Barracuda