Tribune Jean-Pierre Blum

Cybermenaces, le FBI diffuse une alerte très sévère sur les anciens dispositifs médicaux

Publié le 22/09/2022

Alors que l’Union Européenne légifère de façon coercitive contre les équipementiers IOT « security open bar », le FBI est la dernière agence fédérale américaine en date à mettre « virilement » en garde les entités du secteur de la santé contre les cyberattaques visant les dispositifs médicaux. Sont particulièrement dans le viseur fédéral, les produits non corrigés et obsolètes. Le FBI (Federal Bureau of Investigation) recommande aux organisations de prendre des mesures pour identifier les vulnérabilités et « sécuriser activement » les équipements sous peine de poursuites.

Dans une notification* (voir ici) au secteur santé publiée le 19 septembre , le FBI indique avoir identifié « un nombre grave et croissant de vulnérabilités » liées à des dispositifs médicaux non corrigés fonctionnant avec des logiciels obsolètes et à des matériels dépourvus de dispositifs de sécurité adéquats. « Les acteurs de la cybermenace qui exploitent les vulnérabilités des dispositifs médicaux ont un impact délétère sur les fonctions opérationnelles des établissements de santé, la sécurité des patients, la confidentialité et l'intégrité des données », indique le FBI. « Les attaquants peuvent exploiter toute une série d'appareils, notamment des pompes à insuline, des défibrillateurs cardiaques, des systèmes mobiles de télémétrie cardiaque, des stimulateurs cardiaques et des pompes antidouleur intrathécales », stipule l'avis du FBI, ajoutant que « les acteurs de la menace peuvent manipuler les appareils pour donner des lectures inexactes, administrer des surdoses de médicaments ou mettre autrement en danger la santé des patients. » La rhétorique n’empêche pas l’intrusion douloureuse. Le temps de l’action est formellement venu.

Pour la FDA, c’est une bombe à retardement (Tinking Time Bomb)

Naomi Schwartz, encore récemment examinatrice des dispositifs avant commercialisation et de responsable de la sécurité de la Food and Drug Administration, affirme que « les anciens dispositifs médicaux sont un champ de mines de problèmes ». Elle poursuit et alerte : « Les dispositifs à haut risque tels que les pompes à perfusion ne sont pas les seuls à devoir être pris en compte. La perte d'une partie ou de la totalité des systèmes de radiologie d'un hôpital peut avoir un impact en cascade dans un établissement hospitalier où les patients doivent être transférés vers d'autres établissements afin de trier et de poursuivre les plans de traitement. Certains dispositifs sont autant de tuyaux numériques dans le réseau de l'hôpital ou de l'organisme de prestation de soins de santé, ce qui conduit à des menaces plus étendues comme l'arrêt du réseau ou le rançonnement. Il s'agit d'un domaine qui nécessite une attention supplémentaire dans l'ensemble du secteur. Il n'y a pas de bonne réponse mais elle doit être immédiate et très forte. »

Tout le monde sur le pont : le réveil de l’Oncle Sam

« Nous faisons face à un problème de longue date », dit le FBI qui n'a pas précisé quelle(s) nouvelle(s) menace(s) d'attaque(s) particulière(s) l'a(ont) incité à émettre une alerte aussi sévère sur les problèmes de cybersécurité des dispositifs médicaux. D'autres agences fédérales, dont l'Agence de sécurité des infrastructures de cybersécurité et la FDA, ont également émis périodiquement des avis au fur et à mesure de la découverte de vulnérabilités dans les dispositifs médicaux.

En outre, le Health Sector Cybersecurity Coordination Center (HC3) du Department of Health and Human Services (HHS) a publié un certain nombre d'avis concernant les dispositifs médicaux au cours des derniers mois. Certains des avis récents du gouvernement concernant les dispositifs médicaux ont également été émis conjointement par plusieurs agences fédérales. En juillet, un avis conjoint du FBI, de la CISA (Cybersecurity and Infrastructure Security Agency) et du département du Trésor des États-Unis concernait les attaques de ransomware « Maui » parrainées par l'État coréen du Nord auxquelles était confronté le secteur des soins de santé et des équipements tels que les systèmes d'imagerie médicale.

Un nouveau terme le « Medjacking »

Sally Vincent, ingénieur principal de recherche sur les menaces à la société de sécurité LogRhythm, affirme que le « medjacking » (attaque sur le matériel médical) est un type de meance très inquiétant pour les appareils médicaux. « Souvent, ce type d'attaque est utilisé pour obtenir des informations d'identification personnelle ou créer un point de pivot vers d'autres dispositifs », explique-t-elle. « Cependant, le medjacking pourrait facilement être utilisé pour nuire à la santé des patients. » Vincent soupçonne que l'alerte du FBI est intervenue à la suite des récentes vulnérabilités critiques de dispositifs qui ont fait surface dans des pompes à insuline et d'autres produits. « La plupart des problèmes de sécurité qui existent dans les dispositifs médicaux proviennent de pratiques de développement qui n'accordent pas beaucoup d'importance à la sécurité. Il est impératif que cela change à l'avenir », dit-elle.

Le FBI voit la Lumière

Le FBI a cité cette semaine un certain nombre de raisons pour lesquelles les entités du secteur de la santé devraient prendre des mesures immédiates. Par exemple, le FBI a fait référence à une recherche indépendante sur la cybersécurité datant de janvier qui a révélé que 53 % des appareils médicaux connectés et autres appareils de l'internet des objets dans les hôpitaux contenaient des vulnérabilités critiques connues. De plus, selon cette étude, plus de la moitié des dispositifs de l'IOT – coucou l’Union Européenne - dans le secteur de la santé présentent un risque critique identifié susceptible d'affecter le fonctionnement technique et les fonctions des dispositifs médicaux, termine le FBI.

La méthode du discours

Les types courants de vulnérabilités et de défis liés aux appareils médicaux impliquent l'utilisation de configurations standardisées et spécialisées, le grand nombre d'appareils gérés sur un réseau, l'absence de fonctions de sécurité intégrées aux appareils et l'impossibilité de mettre à niveau ces fonctions, indique le FBI. L'alerte du FBI recommande aux établissements de santé d'envisager de prendre un certain nombre de mesures pour mieux sécuriser les dispositifs médicaux, identifier les vulnérabilités et contribuer à atténuer les risques. Ces mesures comprennent :

- L'utilisation d'un logiciel anti-malware sur un dispositif d'extrémité, lorsque cela est possible. Si ce n'est pas possible, les organisations devraient :

- fournir une vérification de l'intégrité chaque fois que le dispositif est déconnecté pour le service et avant qu'il ne soit reconnecté au réseau informatique ;

- chiffrer les données des dispositifs médicaux en transit et au repos ;

- utiliser des produits de détection et de réponse des points d'extrémité et de détection et de réponse étendues pour améliorer la visibilité et la protection des dispositifs médicaux ;

- s'assurer que les mots de passe par défaut des dispositifs sont remplacés par des mots de passe sécurisés et complexes spécifiques à chaque dispositif médical ;

- maintenir un système de gestion d'inventaire électronique pour tous les dispositifs médicaux et les logiciels associés, y compris les composants logiciels tiers, les systèmes d'exploitation, les numéros de version et de modèle ;

- utiliser la gestion de l'inventaire pour identifier les dispositifs médicaux critiques, les propriétés opérationnelles et les délais de maintenance ;

- envisager des options de remplacement pour les dispositifs médicaux concernés dans le cadre du processus d'achat, lorsque cela est possible. Sinon, isoler les dispositifs vulnérables du réseau et auditer les activités réseau du dispositif ;

- surveiller et examiner les divulgations de vulnérabilités logicielles des dispositifs médicaux faites par les fournisseurs et effectuer des évaluations indépendantes des vulnérabilités ;

- mettre en œuvre une analyse de vulnérabilité de routine avant d'installer tout nouveau dispositif médical sur le réseau informatique opérationnel.

Autres considérations en attendant Godot

En attendant, les experts estiment que les problèmes de cybersécurité liés aux dispositifs médicaux existants persisteront. « De nombreux dispositifs médicaux contiennent des données sensibles sur les patients qui peuvent être divulguées. Certains de ces dispositifs pourraient devenir indisponibles lors d'un « ransomwaring » ou d'un autre type de cyberattaque, et certains d'entre eux sont directement connectés aux patients, ce qui peut les exposer à des risques de dommages physiques », explique Daniel dos Santos, responsable de la recherche sur la sécurité au sein de la société de sécurité Forescout Technologies. « Outre les attaques qui visent directement ces dispositifs ou leurs données, chaque dispositif vulnérable d'un réseau est un tremplin possible pour un mouvement latéral ou un point de persistance possible pour un attaquant sur le réseau. l’active directory . Selon Bill Aerts, chercheur principal et directeur général du Center for Medical Device Cybersecurity de l'université du Minnesota, « les anciens dispositifs médicaux qui n'ont pas été mis à jour pour des raisons de sécurité constituent l'une des plus grandes préoccupations actuelles en matière de soins de santé et de sécurité des dispositifs. C'est un défi difficile à relever, mais certains progrès sont réalisés grâce à de nouvelles techniques », dit-il. « Pratiquement n'importe quelle attaque planifiée pourrait tirer parti d'anciens dispositifs. » De nombreux hôpitaux utilisent encore certains des plus vieux équipements existants parce que les coûts d'investissement pour les remplacer sont très élevés, dit-il. « Ils essaient de prolonger la durée de vie des appareils le plus longtemps possible. »

Monsieur Pareto au secours ! Un peu de bon sens.

Le FBI indique que de nombreux dispositifs médicaux restent en service pendant dix à trente ans. Schwartz, pour sa part, suggère aux entités de soins de santé de se coordonner soigneusement avec les fournisseurs lors de l'installation des dispositifs et de revoir périodiquement les anciennes installations pour voir si des mesures peuvent être prises aujourd'hui qui n'ont pas été envisagées lors de l'achat initial du dispositif. « Commencez de manière proactive à inclure des critères de risque de cybersécurité dans votre processus de planification des remplacements et définissez vos exigences en matière de cybersécurité dans les contrats relatifs aux nouveaux dispositifs que vous achetez. Groupez-vous pour partager votre réflexion, vos problèmes. Etablissez un dialogue stratégique avec vos hiérarchies. Défendez l’indépendance des responsables de sécurité. En général, les mêmes causes appellent les mêmes réponses », dit-elle.

En France, on rêverait de directeurs généraux enfin conscients des enjeux, préoccupés de la stratégie à adopter, partenaires de responsable de sécurité, pédagogues, indépendants des directions des systèmes d’informations et des techniciens parlant un langage commun (SI, IOT, BioMed, Energie, automates industries). Comme l’affirmait le découvreur, « Et la mer apportera à chaque homme des raisons d'espérer, comme le sommeil apporte son cortège de rêves ». Christophe Colomb.