L'Internet des objets médicaux (IoMT) est souvent présenté comme l'avenir de la prestation de soins de santé.
Ce n'est pas tout à fait vrai.
Le fait est que le big data et les appareils connectés sont déjà profondément ancrés dans des milliers d'hôpitaux, de laboratoires et d'organismes de prestation de soins de santé (OPS) dans le monde entier. En d'autres termes, l'IoMT n'est pas notre avenir - c'est notre réalité actuelle.
Vos médecins et infirmières utilisent déjà des appareils connectés au Wi-Fi pour surveiller et traiter à distance des pathologies en temps réel. L'IoMT génère une multitude de données qui peuvent être intégrées automatiquement au dossier. Les praticiens disposent ainsi des outils nécessaires pour prendre des décisions éclairées et prodiguer des soins précis plus rapidement que jamais.
Ces innovations arrivent à un moment crucial pour le secteur des soins de santé, avec le vieillissement de la population et les dépenses mondiales de santé qui devraient atteindre 8 700 milliards de dollars d'ici à 2020. L'expansion de l'écosystème de l'IoMT sera essentielle pour rationaliser les soins et répondre à cette pression financière croissante.
C'est pour cette raison que la sécurité des dispositifs médicaux ne peut plus être envisagée après coup. La sécurité doit être intégrée dans la conception et l'intégration de chaque nouveau dispositif qui entre dans votre organisation.
Définir l'internet des objets médicaux (IoMT)
Les fabricants de dispositifs médicaux continuent de repousser les limites des capacités de calcul et de traitement, produisant un nombre croissant de dispositifs connectés qui génèrent, collectent, analysent et transmettent des données.
Le marché des soins de santé ( IoT ), d'une valeur de 41,22 milliards de dollars, englobe aujourd'hui des appareils fixes connectés tels que les radiographies et les scanners IRM, des appareils implantés tels que les stimulateurs cardiaques, et des produits portables tels que les pompes à insuline et les traqueurs d'activité.
Il y a ensuite l'infrastructure qui fournit les plates-formes permettant ce vaste écosystème d'appareils : y compris la connectivité Wi-Fi et Bluetooth, la gestion des appareils software, la sécurité du réseau. Il s'agit là aussi de composantes cruciales de l'internet des objets médicaux.
L'IoMT représente un passage important d'un système fermé à un système ouvert. Les dispositifs médicaux et les systèmes de dossiers médicaux électroniques (DME) qui fonctionnaient autrefois sur un Ethernet hospitalier isolé vivent désormais sur des réseaux ouverts, ce qui permet un accès plus large aux données qu'ils contiennent.
Mais cette connectivité permanente s'accompagne de lacunes en matière de sécurité, lacunes qui apparaissent souvent dès qu'un nouvel appareil pénètre dans le réseau.
Le défi de l'intégration des dispositifs médicaux connectés
Il n'est pas nécessaire d'être un expert en sécurité pour avoir entendu parler des préoccupations liées à la sécurité du site IoT .
Mais le défi est particulièrement urgent dans le contexte des soins de santé, où les dispositifs médicaux piratés peuvent passer de l'utile au nuisible en un clin d'œil. Les rappels de pompes à insuline et de stimulateurs cardiaques non sécurisés sont un rappel brutal des vulnérabilités qui peuvent devenir une question de vie ou de mort.
Malheureusement, seules 38 % des organisations prennent le temps de consulter leurs équipes de sécurité lorsqu'elles choisissent les solutions IoT .
Les dispositifs médicaux connectés doivent être parfaitement sécurisés dès le premier jour. Pour bien faire, il faut une coopération importante entre les prestataires de soins de santé et les gestionnaires de données médicales.
1. Mettre en place des procédures d'accueil sécurisées
Ce n'est plus un secret pour personne : tous les nouveaux dispositifs médicaux n'entrent pas dans votre réseau avec un accueil officiel.
En fait, les terminaux inconnus et non gérés peuvent représenter plus de deux tiers de tous les terminaux sur le réseau d'un organisme de santé.
Les fournisseurs de dispositifs médicaux sont connus pour offrir aux cliniciens des équipements à titre d'essai afin de les aider à mettre leurs produits sur le terrain. Ces dispositifs "clandestins" peuvent ne pas figurer dans le dossier avant des mois et des mois plus tard... généralement, lorsqu'une facture arrive.
Lorsqu'un appareil connecté contourne le processus habituel d'évaluation des risques de votre organisation - qu'il s'agisse d'un minuscule appareil portable ou d'un scanner stationnaire - il multiplie les possibilités d'attaque.
S'engager en faveur de la sécurité de l'IoMT signifie qu'aucun nouveau dispositif ne doit entrer sous votre toit s'il n'a pas fait l'objet d'un examen approfondi.
2. Tenir les fabricants de dispositifs médicaux responsables de la sécurité
La prévention des atteintes à la santé commence par des mesures proactives dès la phase de conception des appareils.
La responsabilité en incombe donc aux fabricants de dispositifs médicaux.
Une sécurité forte dès la conception vous donne un avantage considérable lorsqu'il s'agit d'atténuer les menaces potentielles. Mais de nombreux systèmes de gestion de la maintenance sont totalement désynchronisés lorsqu'il s'agit de déterminer qui est responsable de la sécurité des appareils.
Une partie de votre travail consiste à tenir les MDM responsables de la fabrication d'appareils qui peuvent être déployés de manière sûre et sécurisée. Cela signifie des certificats numériques uniques pour chaque appareil, la signature des microprogrammes et de software, et l'intégration de la crypto-agilité pour que les appareils restent protégés au-delà de la durée de vie de leur cryptage d'origine.
3. Contrôler et identifier en permanence le comportement des dispositifs médicaux
Des études ont montré que le délai moyen d'identification d'une violation est de six mois - 190,7 jours, pour être exact.
C'est un délai suffisant pour qu'un attaquant puisse causer de sérieux dommages.
Alors que l'IoMT continue de s'étendre, il devient plus que jamais essentiel de surveiller en permanence les appareils qui font partie de votre réseau. Cela commence par l'inventaire de tous les terminaux connectés à votre réseau : ce qu'ils sont, où ils se trouvent et comment ils doivent se comporter sur le réseau.
Cette étape est essentielle pour surveiller l'activité des appareils, appliquer les correctifs software et du micrologiciel et éliminer les appareils inutilisés ou non identifiés qui pourraient présenter un risque.
4. Aider votre personnel à comprendre son rôle dans la préservation de la sécurité de l'IoMT
Pour le personnel médical, la sécurité des données peut être difficile à vendre.
Ce n'est pas que les cliniciens pensent que l'intégrité des dispositifs médicaux n'a pas d'importance. Loin de là. Le problème, c'est que les soins aux patients passent avant tout, et qu'ils n'ont pas toujours l'impression que la sécurité est de leur côté.
De votre point de vue, donner un mot de passe unique à chaque machine d'imagerie est une question de bon sens. Il en va de même pour le changement de ces mots de passe tous les 90 jours. Mais pour les cliniciens qui utilisent l'appareil jour après jour, il est fastidieux de devoir se souvenir de ces informations d'identification et de les mettre à jour en permanence.
Si vous n'y prenez pas garde, il ne faut pas longtemps pour qu'un seul mot de passe soit partagé entre plusieurs cliniciens et terminaux. La formation du personnel doit faire partie de votre processus d'intégration des appareils et de vos pratiques quotidiennes.
5. Protéger les identités de votre appareil
Les certificats numériques sont de plus en plus utilisés pour protéger les données vulnérables, les appareils et software au sein des organismes de soins de santé. L'infrastructure à clé publique (PKI ) sert de base à une plateforme sécurisée d'IoMT dans laquelle chaque entité de votre organisation peut communiquer en toute sécurité.
Mais les certificats ne sont pas éternels. Chacun d'entre eux devra être renouvelé périodiquement pour que l'infrastructure reste à jour. Et comme le nombre de dispositifs médicaux IoT sur votre réseau augmente, le nombre d'identités que vous devez gérer augmente lui aussi.
Ce n'est pas le travail d'une seule personne. Le site PKI , automatisé et basé sur le cloud, est un excellent moyen de rationaliser ce qui est autrement un processus long, coûteux et sujet aux erreurs. Téléchargez notre livre blanc pour en savoir plus sur la manière de sécuriser l'IoMT à l'aide d'un système automatisé basé sur le cloud PKI:
