Cybersécurité des Dispositifs Médicaux

Par Guillaume Promé
le
9 Nov. 2019 Logiciel, Risques et B/R

Cybersécurité des dispositifs médicaux
La cybersécurité est en nouvel enjeu majeur pour les fabricants de dispositifs médicaux embarquant (ou étant) un logiciel, elle concerne également les organismes qui stockent et manipulent des données sensibles (typiquement : des données personnelles de santé).

La technologie engendre de nouveaux risques d’attaque, qu’il faut gérer au travers d’un processus de cybersécurité.

La tache est complexe mais, bonne nouvelle, les fabricants de dispositifs médicaux ont déjà tous les outils (les processus) nécessaires pour affronter ce challenge.

Ce dossier fait un état de l’art en matière de cybersécurité des dispositifs médicaux, pour proposer une vue globale d’un processus de gestion de la cybersécurité.

Une étude des problèmes de vigilance associés à la cybersécurité est proposée en fin d’article.

Quels dispositifs médicaux sont concernés par la cybersécurité ?

Les problématiques de sécurités sont applicables à tout logiciel dispositif médical et particulièrement à tout dispositif médical connecté.

Il ne faut donc pas limiter la cybersécurité aux DM connectés à internet : un simple port USB ou une simple interface de programmation peuvent être des portes d’entrées pour des attaques !

Contexte règlementaire et normatif en cybersécurité des DM

Règlement (UE) 2017/745

Les exigences sont bien sûr à chercher dans le règlement (UE) 2017/745, l’annexe I propose des exigences générales applicables aux logiciels, l’annexe II détaille les attente du dossier technique. Certaines exigences font écho à la cybersécurité :

développés et fabriqués conformément à l’état de l’art, compte tenu des principes du cycle de développement, de gestion des risques, y compris la sécurité de l’information, de vérification et de validation (…) énoncent les exigences minimales concernant le matériel informatique, les caractéristiques des réseaux informatiques et les mesures de sécurité informatique, y compris la protection contre l’accès non autorisé (…) essais réalisés en interne et dans un environnement d’utilisation simulé ou réel (…) différentes configurations du matériel informatique et, le cas échéant, des différents systèmes d’exploitation figurant dans les informations fournies

Guides pour la cybersécurité des dispositifs médicaux

Alors qu’un guide du MDCG pour la cybersécurité est fébrilement attendu, nous avons actuellement à disposition de nombreux guides (et exigences), écrits par des autorités compétentes très préoccupées par le sujet :

  • IMDRF : Guide IMDRF pour la cybersécurité
  • ANSM : Guide relatif à la cybersécurité des dispositifs médicaux
  • Santé Canada : Exigences relatives à la cybersécurité des instruments médicaux
  • TGA : guide relatif à la cybersécurité des dispositifs médicaux
  • FDA : guidances relatives à la cybersécurité

Vous pouvez également consulter les travaux des sociétés savantes : ENISA, ANSII (et sa méthode EBIOS) et NIST notamment.

Normes pour la cybersécurité des dispositifs médicaux

Les normes sont relativement récentes, l’ensemble est d’ailleurs en cours de création.

  • La norme AAMI TIR57 est certainement la plus complète
  • Les normes UL 2900-1 et UL 2900-2-1 (DM connectés à un réseau) proposent des essais, un certificat UL peut être obtenu via un laboratoire agréé
  • Les normes du comité ISO/TC 215 (notamment la série IEC 80001-x-x)

Cybersécurité : une affaire de gestion des risques

Avant de définir un processus de gestion de la cybersécurité, il faut comprendre que ces activités sont en fait des activités de gestion des risques, le vocabulaire utilisé en cybersécurité devrait vous en convaincre :

une menace de cybersécurté est composée de vulnérabilités et d'attaques
La cybersécurité vise à gérer les menaces informatiques (les risques).

Les menaces sont associées à des vulnérabilités informatiques (les dangers).

Une menace se concrétise lors d’une attaque informatique (la situation dangereuse), pouvant aboutir à un dommage (patient voire uniquement données en cas de conséquences règlementaires).

Il sera donc question de gérer les risques de cybersécurité : les identifier, les maitriser et les suivre.

Les objectifs de la cybersécurité

vers la sécurité des systèmes d'informations : confidentialité, intégrité, accessibilité et auditabilité
En plus des objectifs généraux de performance et de sécurité, il faudra – en cas de manipulation de données/d’informations – tenir compte des 4 grands objectifs de la sécurité des systèmes d’information :

  1. Garantir la confidentialité
  2. Garantir l’intégrité des données
  3. Garantir l’accessibilité
  4. Garantir l’auditabilité du système

Processus de gestion de la cybersécurité

Il est vivement conseillé de gérer une procédure dédiée à la cybersécurité, sinon d’intégrer les exigences dans votre procédure de gestion des risques ou de cycle de vie du logiciel.

Votre système est déjà conséquent, la cybersécurité va avoir recours à bon nombre de vos processus en place :

  • Gestion des risques (ISO 14971) et IAU (IEC 62366-1)
  • Cycle de vie du logiciel (IEC 62304)
  • Validation du logiciel (IEC 82304-1 pour les logiciels standalone et IEC 60601-1 pour les logiciels embarqués)
  • Système qualité (ISO 13485)
  • Surveillance Après Commercialisation (ISO TR 20416)
  • Et des processus supports, comme les processus « Service et prestation », « Gestion des documents », « Communications avec les parties intéressées »…

Le schéma ci-dessous met en avant les activités de cybersécurité, le plus souvent partagées avec d’autres processus :

le processus de cybersécurité fait appel au système qualité, à la gestion des risques et à la gestion des logiciels médicaux

Processus de gestion de la cybersécurité (cliquez pour agrandir)

Les étapes du processus de gestion de la cybersécurité sont les suivantes :

  1. Planification
  2. Définition du contexte
  3. Identification des risques
  4. Estimation des risques : selon l’ISO 14971 et, au besoin, selon des méthodes propres à la cybersécurité, comme le score de vulnérabilité informatique : CVSS
  5. Maitrise des risques
  6. Conception et développement
  7. Vérification, des essais en laboratoires sont possibles
  8. Validation, dont les essais d’IAU
  9. Gestion des informations fournies
  10. Surveillance après commercialisation et veille
  11. Actions correctives et préventives (dont mises à jour, patch, communication à propos des problèmes de cybersécurité…) le score de vulnérabilité informatique : CVSS

Ces activités seront mises en œuvre selon une approche par les risques : une ADR initiale va quantifier les risques de cybersécurité, votre travail sera légitimement proportionné à ces risques.

Analyse des événements de vigilance réels liés à la cybersécurité

Une analyse des événements de vigilance (voir l’outil de recherche qualitiso) amène à considérablement pondérer les problèmes de cybersécurité dans le secteur du dispositif médical : les alertes sont rares et exclusivement préventives.

Les événements de vigilance concernent le plus souvent de grosses sociétés, les DMIA sont particulièrement visés.

Les problèmes ciblent des possibilités d’accès non-autorisé, de reprogrammation malveillante et de contournement de l’authentification. Les causes sont souvent imputables aux moyens de communication ou reprogrammation et au système d’exploitation.

 

Exemples d’alertes de cybersécurité :

DATE DM RÉSUMÉ SOURCE
06/11/19 Pompe à insuline Une personne non autorisée pourrait enregistrer et rejouer la communication sans fil entre la télécommande et la pompe à insuline MiniMed. À l’aide d’un équipement spécialisé, une personne non autorisée pourrait demander à la pompe d’administrer trop d’insuline à un patient, ce qui entraînerait une hypoglycémie (hypoglycémie) ou de cesser l’administration d’insuline, ce qui entraînerait une hyperglycémie et une acidocétose diabétique, voire la mort. FDA lien
27/06/19 Pompe à insuline Vulnérabilités potentielles liées à la communication radio sans fil FDA lien
04/03/19 Moniteur cardiaque « Perte de communication » potentielle FDA lien
14/10/2018 Programmateur DMIA Vulnérabilités identifiées dans le processus de téléchargement via le SDN qui
pourraient permettre à un individu malveillant de mettre à jour les programmateurs avec un
logiciel non-officiel
Swiss Medic lien
27/08/18 Général Rappel de mesures « humaines » en matière de cybersécurité Swiss Medic lien
18/06/18 Stérilisateur Failles du système d’exploitation Microsoft utilisé dans l’appareil. Swiss Medic lien
17/04/18 DAI Protection supplémentaire contre l’accès non autorisé Swiss Medic lien
19/02/2018 DM de commande les instruments électro-chirurgicaux Vulnérabilité logicielle relative à la cybersécurité dans les dispositifs Gen11, qui permettait le contournement de l’authentification de sécurité Santé Canada lien
15/08/2017 DAI Accès non-autorisé via interface de communication radio FDA lien

Il est intéressant d’aller plus loin, le site cyberveille-sante.gouv.fr a une rubrique dédiée à la veille des alertes en santé, une analyse sur deux ans (plus de 100 événements retenus) montre que les alertes touchent principalement les établissements de santé, avec des événements le plus souvent sans conséquences :

  • 28% des alertes concernent les dispositifs médicaux, 72% des établissements de santé
  • Les DM sont victimes de “vulnérabilités”
  • Seulement 7% des événements sont des attaques de pirates informatiques
  • 2% de fishing, 12% de ransomware
  • 17% des alertes concernent des bases de données compromises
  • 16% des alertes ont fait suite à des fuites de données
  • Les causes, en dehors des problèmes techniques, sont variées : erreur humaine (4%),  piratage de messagerie (4%) voire vol de matériel (3%)

Le tableau ci-dessous liste les événements relatifs à des dispositifs médicaux.

Date Résumé de l’alerte Lien
28-oct-19 Découverte d’une vulnérabilité dans la solution Philips de gestion des données obstétricales, IntelliSpace Perinatal lien
18-sept-19 Les données personnelles et médicales de millions de patients en libre accès sur Internet lien
21-août-19 Multiples vulnérabilités identifiées sur le logiciel médical OpenEMR lien
28-juin-19 Une vulnérabilité découverte sur les pompes à insuline MiniMed 508 et celles de la gamme Paradigm lien
17-juin-19 Deux vulnérabilités découvertes dans les stations de travail Alaris Gateway lien
28-mai-19 [Mise à jour du 06/06/19] Plusieurs produits médicaux de Siemens impactés par la vulnérabilité critique BlueKeep lien
20-mai-19 Siemens corrige plusieurs vulnérabilités sur ses commutateurs sans-fil SCALANCE W1750D lien
03-mai-19 [Amérique Latine] Une vulnérabilité corrigée dans la solution logicielle Tasy EMR de Philipps lien
25-avr-19 Deux vulnérabilités critiques identifiées dans les lecteurs de cassettes de radiographie Fujifilm lien
15-mars-19 Une vulnérabilité découverte sur un instrument à ultrasons illustre les cas de vulnérabilités de nombreux dispositifs médicaux encore utilisés au sein des établissements de santé lien
08-févr-19 Découverte de 3 vulnérabilités sur des moniteurs cardiaques lien
09-nov-18 Plusieurs vulnérabilités importantes découvertes dans les dispositifs médicaux Roche Point of Care lien
05-sept-18 9 vulnérabilités (dont une critique) découvertes sur l’outil Philips E-Alert lien
24-août-18 Découverte d’une vulnérabilité critique dans les pompes médicales Alaris Plus lien
22-août-18 5 vulnérabilités découvertes dans des produits Philips lien
20-août-18 4 nouvelles vulnérabilités ciblent des appareils Medtronic lien
17-août-18 OpenEMR corrige une vingtaine de vulnérabilités sur sa solution lien
29-juin-18 Deux vulnérabilités ont été identifiées sur les moniteurs MyCareLink de Medtronic lien
19-juin-18 Natus corrige 5 vulnérabilités importantes et 3 autres critiques dans le logiciel Natus Xltek NeuroWorks lien
15-juin-18 Nouvelles vulnérabilités sur les équipements Siemens RAPIDLab et RAPIDPoint Analyseur des gaz du sang lien
08-juin-18 Trois vulnérabilités importantes ont été identifiées dans IntelliVue Patient Monitors et Avalon Fetal/Maternal Monitors de Philips lien
29-mai-18 BeaconMedaes corrige trois vulnérabilités importantes dans ses systèmes TotalAlert Scroll Medical Air lien
24-mai-18 Becton, Dickinson & Company (BD) a identifié deux vulnérabilités modérées affectant des applications de ses systèmes Kiestra et InoquIA lien
23-mai-18 Problème d’intégrité des ECG réalisés par le logiciel EC Sense 12-D lien
17-mai-18 Des vulnérabilités ont été identifiées sur des produits de GE Healthcare lien
04-mai-18 Trois vulnérabilités ont été identifiées sur les scanners Brilliance CT de Philips lien
02-mai-18 Des dispositifs médicaux sont vulnérables à l’attaque KRACK lien
30-mars-18 Deux vulnérabilités ont été identifiées dans le produit Philips Alice 6 System lien
15-mars-18 Des vulnérabilités critiques ont été identifiées dans des logiciels et équipements médicaux de GE lien