Site Logo

Le FBI met en garde contre les dispositifs médicaux non patchés

Thèmes:
28 oct. 2022
|
Kevin Williams

Les experts du secteur s’inquiètent depuis longtemps des vulnérabilités de cybersécurité posées par le nombre croissant de dispositifs médicaux IoT. « Les appareils connectés sont souvent mis sur le marché dans la précipitation, avec peu de considération pour la cybersécurité », explique William Hodges, un expert en cybersécurité de Miami. « Une entreprise veut arriver sur le marché la première et commercialiser le premier cardio-fréquencemètre ou tensiomètre IoT, mais elle en paie souvent le prix avec des vulnérabilités de cybersécurité. »

Pour les établissements médicaux victimes d’une cyberattaque, les conséquences sont bien réelles. Ce fut le cas récemment pour l’hôpital de Des Moines, en Iowa, lorsqu’un enfant de trois ans a reçu un dose de médicament erronée en raison d’une cyberattaque qui avait rendu les systèmes de l’hôpital indisponibles.

Selon les sources d’information locales :

Une cyberattaque sur l’hôpital pour enfants MercyOne de Des Moines, dans l’Iowa, a directement conduit à l’administration d’une dose incorrecte de médicament à un petit garçon de trois ans après une ablation des amygdales, ce qui aurait pu être très grave. L’enfant n’en a heureusement gardé aucune séquelle.

Dispositifs médicaux sans correctifs

Le problème est si préoccupant que le FBI a récemment publié un avertissement à propos des dispositifs médicaux non sécurisés et sans correctifs.

Voici un extrait de cet avertissement :

« Le FBI a identifié un nombre croissant de vulnérabilités posées par des dispositifs médicaux sans correctifs, qui fonctionnent avec des logiciels et des appareils obsolètes non pourvus de fonctionnalités de sécurité adéquates. Les cybercriminels qui exploitent les vulnérabilités des dispositifs médicaux ont un impact négatif sur les fonctions opérationnelles des établissements de santé, la sécurité des patients, et la confidentialité et l’intégrité des données. »

M. Hodges explique que les logiciels des dispositifs médicaux peuvent rester inchangés de nombreuses années, et ce qui était autrefois considéré comme une défense robuste peut désormais être obsolète.

« Certains appareils médicaux sont conçus et programmés pour être utilisés pendant des décennies, et un pirate qui n’aurait pas pu s’introduire dans l’appareil il y a dix ans peut désormais le faire sans obstacle », rapporte M. Hodges. Il ajoute que l’ensemble de l’écosystème médical IoT est un patchwork d’appareils faiblement réglementés et qui répondent à des normes différentes.

« Cela crée une abondance d’opportunités pour les cybercriminels, qui savent que ces appareils sont vulnérables. Tout comme certains MSP se spécialisent dans la santé, il en va de même pour certains pirates. Certains se spécialisent dans les dispositifs médicaux », prévient M. Hodges.

Autres conclusions du bulletin du FBI :

  • 53 % des dispositifs médicaux connectés et d’autres appareils IoT présents dans les hôpitaux possédaient des vulnérabilités critiques.
  • Parmi les dispositifs médicaux vulnérables aux cyberattaques, on retrouve des pompes à insuline, des défibrillateurs implantables, la télémétrie cardiaque mobile, les pacemakers et les pompes intrathécales. Les acteurs malveillants qui compromettent ces dispositifs peuvent leur ordonner de fournir des résultats inexacts, d’administrer des surdoses de médicaments ou de mettre en danger la santé des patients d’une autre manière.
  • En moyenne, il y a 6,2 vulnérabilités par dispositif médical, et des rappels ont été émis pour des dispositifs critiques tels que des pacemakers et des pompes à insuline qui présentaient des problèmes de sécurité connus. En outre, plus de 40 % des dispositifs médicaux en fin de vie n’ont pas ou peu de mises à jour ou de correctifs de sécurité proposés.

M. Hodges affirme que le FBI essaie de faire passer le message aux MSP, aux CISA et au personnel informatique pour que la sécurité des dispositifs médicaux cesse d’être négligée. « Parfois, les informaticiens pensent qu’un vieux pacemaker ou un vieil appareil de dialyse encombrant ne peut pas présenter de risque de cybersécurité, mais ce n’est tout simplement pas vrai », explique-t-il. « Tous les dispositifs médicaux, anciens et nouveaux, doivent être examinés et sécurisés. »

En plus de la sécurité des patients, les MSP qui gèrent la sécurité des dispositifs médicaux pourraient être tenus pour responsables et sanctionnés par de lourdes amendes réglementaires ou HIPAA si une violation survenait sur un appareil non sécurisé.

M. Hodges conseille également aux MSP qui possèdent des clients dans le secteur médical de prendre les mesures suivantes :

Audit : dressez l’inventaire de tous les dispositifs médicaux sous votre supervision.

« Cela signifie que tout, même si vous pensez que c’est futile, absolument tout doit être consigné dans une base de données centrale, qu’il s’agisse d’un appareil médical au domicile d’une personne ou de l’inventaire de votre client », explique M. Hodges, ajoutant qu’il s’agit souvent d’une mission tentaculaire, car les dispositifs médicaux peuvent être répartis sur de nombreux sites.

« Les gens n’ont généralement pas envie de s’attaquer à une telle tâche car cela prend du temps, mais vous ne pouvez pas élaborer de plan sans savoir où se trouvent vos vulnérabilités », explique-t-il.

Plan : une fois que vous avez la liste de tous les dispositifs médicaux sous votre supervision, un plan doit être élaboré pour appliquer des correctifs à chaque appareil et pour les surveiller.

« C’est un travail d’ampleur, mais si vous ne le faites pas, les conséquences peuvent être fatales », prévient M. Hodges.

Le FBI recommande des étapes supplémentaires, notamment :

Protection des terminaux : si le dispositif médical le permet, utilisez un logiciel antivirus sur le terminal. Si les antivirus ne sont pas pris en charge, effectuez une vérification d’intégrité chaque fois que l’appareil est déconnecté pour l’entretien et avant qu’il ne soit reconnecté au réseau informatique.

Gestion des vulnérabilités : collaborez avec les fabricants pour atténuer les vulnérabilités des dispositifs médicaux opérationnels.

Formation : mettez en place la formation requise pour que les employés puissent identifier et signaler les menaces potentielles.

Selon M. Hodges, la recommandation de formation du FBI est pertinente. « La formation des employés pour reconnaître les menaces est l’un des meilleurs investissements et les moins coûteux qu’un MSP ou une entreprise puisse faire », conseille-t-il.

Combattez les menaces qui pèsent sur la sécurité grâce à une formation de sensibilisation à la sécurité.

Cet article a initialement été publié sur SmarterMSP.com. Abonnez-vous à SmarterMSP.com pour obtenir les toutes dernières informations sur la cybersécurité et les actualités qui vous aideront à améliorer votre activité de MSP.



Kevin Williams

Kevin Williams est journaliste basé dans l'Ohio. Kevin a écrit pour diverses publications, notamment le Washington Post, le New York Times, USA Today, le Wall Street Journal, National Geographic et d'autres. Il a d'abord écrit sur le monde en ligne à ses débuts pour le magazine "Online Access", aujourd'hui disparu, au milieu des années 90.  Connectez-vous avec lui sur LinkedIn.

Billets associés :
Le FBI met en garde contre les dispositifs médicaux non patchés
Le FBI met en garde contre les dispositifs médicaux non patchés
 Sécuriser l'Internet des objets médicaux
Sécuriser l'Internet des objets médicaux
 Why cybercriminals are increasingly targeting your real estate clients
Why cybercriminals are increasingly targeting your real estate clients
Email security is channel’s biggest focus for 2019
Email security is channel’s biggest focus for 2019