Sécuriser l'IoMT et les soins de santé connectés de la prochaine génération

Il y a quelques années seulement, les hôpitaux et les cliniques ont commencé à accélérer leur transition du papier vers les dossiers médicaux électroniques (DME).

Aujourd'hui, pratiquement tous les aspects des soins aux patients ont été transformés numériquement.

Ce n'est plus de la science-fiction : les appareils portables, les dispositifs médicaux, les dispositifs implantables, la robotique avancée et l'intelligence artificielle (IA) sont les éléments constitutifs de l'écosystème des soins de santé connectés d'aujourd'hui.

Sous l'effet de l'augmentation des coûts, du vieillissement et de l'accroissement de la population, et du passage de soins basés sur le volume à des soins basés sur la valeur, les organismes de prestation de soins de santé (OPS) sont soumis à une pression croissante pour passer d'un modèle de soins "malades" réactifs à un modèle de soins "de santé" plus proactif et durable, axé sur la prévention et les diagnostics précoces.

Les technologies actuelles et émergentes créent des opportunités pour combler le fossé. Les fabricants de dispositifs médicaux (MDM) construisent la prochaine génération de dispositifs médicaux connectés afin de fournir des soins plus rentables et centrés sur le patient. Dans le même temps, des perturbateurs du marché tels qu'Apple et Google proposent des dispositifs médicaux capables de fournir des données précieuses aux patients et aux prestataires de soins.

Qu'est-ce qui se cache derrière cette innovation ? L'"internet des objets médicaux" (IoMT) - un réseau de dispositifs médicaux, d'applications, de systèmes de santé et de services.

L'IoMT réunit les mondes physique et numérique, générant d'importants volumes de données qui permettent d'établir des diagnostics plus rapides et plus précis. Les dispositifs médicaux connectés peuvent surveiller et modifier à distance la santé des patients en temps réel, et rationaliser les processus cliniques et les flux de travail.

Les hôpitaux américains utilisent déjà en moyenne 10 à 15 dispositifs médicaux connectés par lit - mais nous ne faisons qu'effleurer la surface de ce que l'IoMT peut offrir. En 2018, Forbes a rapporté que quelque 3,7 millions d'appareils connectés étaient utilisés. D'ici 2020, ce nombre devrait atteindre 20 à 30 milliards.

Mais l'IoMT est autant une opportunité pour les pirates informatiques que pour les patients et les prestataires de soins. Les dispositifs en réseau collectent et partagent désormais des informations de santé protégées (PHI) sur des réseaux ouverts, ce qui augmente considérablement le nombre de vulnérabilités potentielles dans l'ensemble de l'écosystème.

Près de 95 % des institutions médicales et de soins de santé ont déclaré avoir été victimes d'une forme ou d'une autre de cybermenace. Dans un secteur déjà bombardé par des attaques constantes de ransomware et de phishing, l'émergence de l'IoMT devrait servir de signal d'alarme pour les responsables de l'informatique et de la cybersécurité dans le secteur de la santé.

Dans ce nouvel environnement, le coût des violations de données est important et lourd de conséquences. Comme les dispositifs médicaux se connectent à des réseaux Wi-Fi domestiques ou publics non sécurisés, ainsi qu'à des réseaux cellulaires pour transmettre des données entre le patient et le prestataire, le risque de perte de données augmente de manière exponentielle.

Dès 2015, des pirates informatiques ont exploité des dispositifs médicaux compatibles avec le site IoT pour créer des portes dérobées dans les réseaux hospitaliers. Le détournement d'appareils n'est plus confiné aux laboratoires de sécurité, il est bien réel.

L'un des principaux problèmes auxquels il faut faire face est que de nombreux protocoles machine à machine (M2M) utilisés aujourd'hui sont intrinsèquement peu sûrs, ce qui rend les appareils IoMT situés à la périphérie du réseau vulnérables aux attaques. Les pirates s'appuient sur les appareils IoMT compromis pour infiltrer le réseau et se déplacer latéralement dans l'infrastructure critique, intercepter des données précieuses, voire compromettre le fonctionnement de l'appareil lui-même - mettant ainsi les patients directement en danger.

Un nombre croissant d'appareils médicaux ont la souplesse de conception nécessaire pour se connecter au réseau d'un HDO, qu'il s'agisse d'appareils portables, d'appareils implantables ou d'appareils stationnaires de chevet. Mais même les appareils anciens dont les coûts de remplacement sont élevés, tels que les appareils d'IRM et de radiographie, sont équipés d'un accès au réseau pour permettre la gestion à distance.

Même si votre organisation n'a pas encore adopté une stratégie IoT , il y a de fortes chances que vous disposiez déjà d'un grand nombre de dispositifs médicaux connectés à votre infrastructure. D'ici 2020, plus de 25 % des attaques identifiées dans les HDO impliqueront IoT. Le secteur de la santé adoptant de plus en plus de dispositifs médicaux en réseau, c'est le moment idéal pour mettre les mesures de cybersécurité au premier plan.

En 2013, la Food and Drug Administration (FDA) est devenue beaucoup plus vigilante dans sa manière d'examiner les exigences en matière de cybersécurité. Depuis lors, de nombreuses communications de sécurité ont été diffusées au public, mettant en lumière la gravité des vulnérabilités des dispositifs médicaux connectés, ainsi que les dommages inévitables pour la réputation et les coûts opérationnels, tant pour les MDM que pour les HDO.

La sécurisation de l'IoMT et des soins de santé connectés de la prochaine génération est une responsabilité partagée entre les HDO et les MDM. La FDA est claire à ce sujet, déclarant que les HDO doivent "évaluer la sécurité de leur réseau et protéger leurs systèmes hospitaliers", tandis que les MDM "sont chargés de rester vigilants quant à l'identification des risques et des dangers associés à leurs dispositifs médicaux".

Quelles sont donc les premières mesures pratiques que les HDO et les MDM peuvent prendre pour sécuriser l'IoMT et les soins de santé connectés de la prochaine génération ?

1. Identifier - Les terminaux inconnus et non gérés représentent au moins deux tiers de tous les terminaux sur le réseau d'une organisation. Les équipes informatiques et de sécurité du secteur de la santé doivent découvrir tous les dispositifs présents sur le réseau, y compris les nouveaux dispositifs IoMT, et comprendre leur fonction.
2. Audit - À mesure que l'IoMT se développe, il est essentiel de garder la trace des nouveaux appareils, de s'assurer que les derniers correctifs software et firmware sont appliqués et de supprimer les appareils inutilisés qui peuvent encore présenter un risque pour votre réseau.
3. Communiquer - En dehors du RSSI, les risques liés à la sécurité des dispositifs IoT sont souvent mal compris. Le personnel médical, en particulier, doit être conscient des risques potentiels liés aux dispositifs médicaux connectés au réseau.

1. Conception - La sécurité doit être prise en compte au moment de la fabrication. Le projet de directive de la FDA sur le contenu des soumissions préalables à la mise sur le marché pour la gestion de la cybersécurité dans les dispositifs médicaux fournit un cadre solide pour comprendre la manière dont la sécurité des dispositifs médicaux doit être prise en compte.
2. Planifier - Les gestionnaires de dispositifs médicaux doivent également se préparer à l'inévitable software ou à la mise à jour du micrologiciel. Le document Final Guidance on Post-Market Management of Cybersecurity in Medical Devices de la FDA contient des recommandations visant à garantir des opérations sûres et sécurisées tout au long du cycle de vie du produit.
3. Communiquer - Les MDM doivent communiquer avec les HDO et leur fournisseur de sécurité des données pour comprendre les types d'appareils qu'ils essaient de mettre sur le marché, l'objectif de ces appareils et les risques potentiels encourus, y compris en matière de cybersécurité.

Keyfactor s'engage à protéger la prochaine génération de soins de santé connectés pour les patients, les applications et les dispositifs médicaux. Nous donnons à nos clients les moyens de développer et de mettre en œuvre des technologies de santé plus rapidement, plus facilement et de manière plus sécurisée que jamais. Téléchargez notre eBook pour connaître les étapes directes de la sécurisation de la prochaine génération de soins de santé connectés.