Pour beaucoup d'entre nous qui travaillons dans le domaine de l'informatique et de l'administration des systèmes, le récent faux pas de GoDaddy, de Google et d'Apple en matière de sécurité numérique fait sans aucun doute l'effet d'une bombe.
Chaque histoire de ce genre nous donne au moins une leçon à méditer. Dans le cas présent, il s'agit de reconnaître que la mise en œuvre d'un programme de sécurité numérique ne se limite pas à faire le travail et à cocher une case.
Une stratégie efficace en matière de certificats numériques et de sécurité comprend une vision prospective et rétrospective. C'est le genre d'effort qui exige des fabricants de dispositifs médicaux (MDM) et des organismes de prestation de soins de santé (HDO) qu'ils voient grand et large - y compris la planification, l'investissement et la gouvernance continue au niveau de l'entreprise.
Sécuriser l'internet des objets médicaux (IoMT) signifie accepter que chaque appareil connecté est vulnérable jusqu'à ce qu'il ne le soit plus.
Tous les appareils, dites-vous ? Oui.
Les dispositifs médicaux ont été et continueront d'être des cibles attrayantes pour les pirates informatiques, et les dégâts peuvent être catastrophiques. Les prises de contrôle d'appareils sont devenues suffisamment réelles pour que la FDA intensifie ses efforts en matière de sécurité de l'internet médical des objets (IoT ).
Qu'il s'agisse de 100 appareils ou de 100 millions, les certificats numériques servent de base naturelle à l'identification unique et à la couverture de sécurité IoT de chaque appareil médical connecté sur le terrain.
Comment les identités individuelles uniques font-elles la différence dans la sécurité des dispositifs médicaux ?
L'utilisation de certificats numériques uniques pour chaque appareil permet de valider l'authenticité d'un appareil et d'affirmer avec une grande certitude que ses messages sont authentiques. Elle permet également aux plateformes et applications IoMT de valider l'intégrité des données et de la programmation envoyées vers et depuis chaque appareil.
Cela garantit que les informations essentielles sur les soins de santé sont envoyées et reçues uniquement par les destinataires prévus. L'impact potentiel d'un dispositif compromis est minimisé parce qu'il porte une identité unique, crypte ses données et est programmé avec une clé cryptographique associée à cette identité.
Parmi les solutions moins sûres figurent les mots de passe statiques et les clés partagées, qui n'offrent pas le niveau de sécurité ou de contrôle requis. La compromission d'un mot de passe statique permet d'accéder à chaque appareil utilisant ce mot de passe ou de se faire passer pour lui. Si ce mot de passe est stocké en texte clair, la prise de contrôle de l'appareil peut devenir une tâche encore plus facile. La mise à jour du mot de passe compromis sur tous les appareils déployés est difficile et souvent impossible car il est intégré dans le code.
Les clés partagées constituent une méthode plus solide que les mots de passe textuels. Cependant, elles ne sont pas associées à une racine de confiance spécifique et ne peuvent pas être mises à jour. Cela ne permet pas une différenciation absolue entre les dispositifs de l'écosystème IoT . Si plusieurs appareils s'authentifient avec la même paire de clés, toute information d'identification ultérieure ne peut être validée avec une grande assurance.
S'assurer que des instructions spécifiques ne parviennent qu'à un appareil particulier, ou valider que des données spécifiques proviennent d'un appareil particulier, sont tous deux hors de portée si chaque appareil ne dispose pas de ses propres identifiants, uniques et solides.
La surveillance permanente des patients sur des réseaux ouverts dans de nombreux établissements étant devenue une pratique courante, la sécurité des dispositifs médicaux n'a jamais été aussi importante. Cela signifie que chaque dispositif doit être comptabilisé, entretenu et surveillé pour assurer sa sécurité.
Pour en savoir plus sur les principes fondamentaux d'une stratégie de sécurité IoMT réussie, lisez nos Cinq principes directeurs pour optimiser la sécurité sur IoT ou contactez-nous dès aujourd'hui :