(MàJ le 16 novembre)  

L’actualité récente nous le confirme : le secteur de la santé n’est pas épargné par les cyberattaques. Face à cette menace, les entreprises du dispositif médical (DM) sont en première ligne.

Commençons par le commencement : qu’est-ce qu’une cyberattaque ? Prenons l’exemple d’un cambriolage au cours duquel le voleur doit casser la porte, localiser le coffre-fort et en connaître les codes d’accès pour arriver à ses fins : voler le butin.

Une cyberattaque contre un dispositif médical fonctionne sur le même principe. Le dispositif médical constitue ici le coffre que le hacker va tenter de percer afin de voler le « trésor », les données.

Dans le cadre d’un acte de piratage, il convient donc de distinguer :

  • Le contenant qui héberge les données et informations sensibles : une base de données, un logiciel, une application, un serveur, une machine…
  • Le contenu : les données métriques qui constituent le nerf de la guerre.

Le DM est donc le contenant(support) et les données de santé qu’il héberge, le contenu.

Les données, un enjeu crucial

Lorsque l’on parle de « données de santé », le sujet devient très sensible. « Quel que soit le secteur d’activité, l’objectif de la cybersécurité est le même : se prémunir contre les cyberattaques afin d’être résilient, souligne Inssata Ricourt, experte en cybersécurité et formatrice au sein d’Ifis DM. Sauf que les conséquences ne sont pas les mêmes pour tous les secteurs. La cybersécurité devrait être plus élevée de la santé car il y a la notion de mort ».

En d’autres mots, dans le cadre du DM, une attaque contre un DM – par exemple, un pacemaker ou une pompe à transfusion - peut avoir des conséquences graves pour la vie du patient.

Prenons un patient placé en réanimation. En modifiant par exemple les données dans l’application destinée à la gestion de la pompe à insuline, une personne malveillante peut accéder à des données sensibles, les modifier et injecter un mauvais dosage au patient. Avec de possibles conséquences mortelles, et sans que le personnel médical ne puisse identifier l’auteur de l’action, ni les modifications opérées de manière malintentionnée.

À partir de cet exemple, se posent donc plusieurs enjeux autour des données de santé :

  • La disponibilité des informations. Celles-ci doivent être accessibles de façon permanente
  • La confidentialité. Seules les personnes autorisées doivent accéder aux informations
  • L’intégrité. La donnée de doit pas avoir été modifiée
  • La traçabilité. Toutes les actions doivent être tracées et leurs auteurs identifiés.

Quelle réglementation s'applique aux dispositifs médicaux ?

Face aux risques liés aux cyberattaques, plusieurs législations réglementent la protection des données, notamment pour les DM. En France, c’est la loi de programmation militaire qui encadre la cybersécurité.

Par ailleurs, le Règlement général sur la protection des données (RGPD) contraint les entreprises traitant des données personnelles à notifier leurs failles de sécurité auprès de la Commission nationale de l’informatique et des libertés (Cnil).

Des normes existent également :

  • La norme ISO 27005, qui permet d’identifier les risques de sécurité liés au système d’information, l’écosystème qui regroupe tous les « acteurs » concernés par les données.
  • La norme ISO 13485, qui est une norme spécifiquement dédiée au DM

Et à l’avenir, comment évoluera la législation ? Pour Inssata, il n’y a pas de doute. Cet encadrement deviendra plus restrictif afin d’élever les niveaux de sécurité, face à des attaques toujours plus sophistiquées.

Deux exemples récents de fuite massive de données l’ont illustré :

  • en février, près de 500 000 noms de patients ont été dérobés à des laboratoires d’analyses médicales
  • et en août, 700 000 résultats de tests Covid subissent le même sort.

Dans le premier cas, la faille serait due à l’utilisation d’un logiciel obsolète dont la mise à jour n’était plus assurée par son concepteur et dans le second, d’une application utilisée par les pharmaciens sans que celle-ci n’ait été autorisée par le ministère de la Santé. Ce logiciel, très pratique pour saisir les résultats de tests, comportait des failles béantes en matière de cybersécurité.

Pas seulement un coût

Mécaniquement, mettre en place les mesures de protection exigées par les lois et référentiels, cela a un coût pour les entreprises du DM.

« Oui, ces mesures ont un coût, confirme Inssata. Mais ce que je recommande, c’est d’effectuer une analyse du rapport coût/gain. Si je ne fais rien, quels sont les risques ? » En premier lieu, il y a un risque pour la santé du patient. Mais il y a aussi un risque en termes d’images, d’impact business et financiers. Sur ce dernier point, la Cnil a le pouvoir de sanctionner les entreprises qui ne mettent pas en place les mesures appropriées (jusqu’à 4% du chiffre d’affaires annuel international).

Au-delà des risques évoqués plus haut, le respect de la réglementation présente également un avantage concurrentiel. En protégeant vos données conformément à la certification ISO 27001, la démarche qualité que vous entreprenez vous permettra de vous distinguer de vos concurrents et, donc, de gagner des parts de marché.

Par expérience, les mesures sont globalement appliquées par les entreprises. La véritable question est plutôt de savoir si elles les appliquent correctement. Ifis DM accompagne, en ce sens, les entreprises du dispositif médical dans la mise en application des mesures de cybersécurité, conformément aux règlements en vigueur.

 

Se former sur la cybersécurité
Vous êtes une entreprise du dispositif médical ? Ifis DM propose une formation sur la cybersécurité et ses enjeux. Vous disposerez notamment des outils pour effectuer l'analyse des risques de sécurité sur vos DM. Une formation animée par Inssata Ricourt.

 

 Inssata Ricourt et Philippe Lourenço