Cybersécurité des Dispositifs Médicaux

Par Guillaume Promé
le 9 Nov. 2019 • Logiciel, Risques et B/R

La cybersécurité est en nouvel enjeu majeur pour les fabricants de dispositifs médicaux embarquant (ou étant) un logiciel, elle concerne également les organismes qui stockent et manipulent des données sensibles (typiquement : des données personnelles de santé).

La technologie engendre de nouveaux risques d’attaque, qu’il faut gérer au travers d’un processus de cybersécurité.

La tache est complexe mais, bonne nouvelle, les fabricants de dispositifs médicaux ont déjà tous les outils (les processus) nécessaires pour affronter ce challenge.

Ce dossier fait un état de l’art en matière de cybersécurité des dispositifs médicaux, pour proposer une vue globale d’un processus de gestion de la cybersécurité.

Une étude des problèmes de vigilance associés à la cybersécurité est proposée en fin d’article.

Quels dispositifs médicaux sont concernés par la cybersécurité ?

Les problématiques de sécurités sont applicables à tout logiciel dispositif médical et particulièrement à tout dispositif médical connecté.

Il ne faut donc pas limiter la cybersécurité aux DM connectés à internet : un simple port USB ou une simple interface de programmation peuvent être des portes d’entrées pour des attaques !

Contexte règlementaire et normatif en cybersécurité des DM

Règlement (UE) 2017/745

Les exigences sont bien sûr à chercher dans le règlement (UE) 2017/745, l’annexe I propose des exigences générales applicables aux logiciels, l’annexe II détaille les attente du dossier technique. Certaines exigences font écho à la cybersécurité :

développés et fabriqués conformément à l’état de l’art, compte tenu des principes du cycle de développement, de gestion des risques, y compris la sécurité de l’information, de vérification et de validation (…) énoncent les exigences minimales concernant le matériel informatique, les caractéristiques des réseaux informatiques et les mesures de sécurité informatique, y compris la protection contre l’accès non autorisé (…) essais réalisés en interne et dans un environnement d’utilisation simulé ou réel (…) différentes configurations du matériel informatique et, le cas échéant, des différents systèmes d’exploitation figurant dans les informations fournies

Guides pour la cybersécurité des dispositifs médicaux

Alors qu’un guide du MDCG pour la cybersécurité est fébrilement attendu, nous avons actuellement à disposition de nombreux guides (et exigences), écrits par des autorités compétentes très préoccupées par le sujet :

IMDRF : Guide IMDRF pour la cybersécurité
ANSM : Guide relatif à la cybersécurité des dispositifs médicaux
Santé Canada : Exigences relatives à la cybersécurité des instruments médicaux
TGA : guide relatif à la cybersécurité des dispositifs médicaux
FDA : guidances relatives à la cybersécurité

Vous pouvez également consulter les travaux des sociétés savantes : ENISA, ANSII (et sa méthode EBIOS) et NIST notamment.

Normes pour la cybersécurité des dispositifs médicaux

Les normes sont relativement récentes, l’ensemble est d’ailleurs en cours de création.

La norme AAMI TIR57 est certainement la plus complète
Les normes UL 2900-1 et UL 2900-2-1 (DM connectés à un réseau) proposent des essais, un certificat UL peut être obtenu via un laboratoire agréé
Les normes du comité ISO/TC 215 (notamment la série IEC 80001-x-x)

Cybersécurité : une affaire de gestion des risques

Avant de définir un processus de gestion de la cybersécurité, il faut comprendre que ces activités sont en fait des activités de gestion des risques, le vocabulaire utilisé en cybersécurité devrait vous en convaincre :

La cybersécurité vise à gérer les menaces informatiques (les risques).

Les menaces sont associées à des vulnérabilités informatiques (les dangers).

Une menace se concrétise lors d’une attaque informatique (la situation dangereuse), pouvant aboutir à un dommage (patient voire uniquement données en cas de conséquences règlementaires).

Il sera donc question de gérer les risques de cybersécurité : les identifier, les maitriser et les suivre.

Les objectifs de la cybersécurité

En plus des objectifs généraux de performance et de sécurité, il faudra – en cas de manipulation de données/d’informations – tenir compte des 4 grands objectifs de la sécurité des systèmes d’information :

Garantir la confidentialité
Garantir l’intégrité des données
Garantir l’accessibilité
Garantir l’auditabilité du système

Processus de gestion de la cybersécurité

Il est vivement conseillé de gérer une procédure dédiée à la cybersécurité, sinon d’intégrer les exigences dans votre procédure de gestion des risques ou de cycle de vie du logiciel.

Votre système est déjà conséquent, la cybersécurité va avoir recours à bon nombre de vos processus en place :

Gestion des risques (ISO 14971) et IAU (IEC 62366-1)
Cycle de vie du logiciel (IEC 62304)
Validation du logiciel (IEC 82304-1 pour les logiciels standalone et IEC 60601-1 pour les logiciels embarqués)
Système qualité (ISO 13485)
Surveillance Après Commercialisation (ISO TR 20416)
Et des processus supports, comme les processus « Service et prestation », « Gestion des documents », « Communications avec les parties intéressées »…

Le schéma ci-dessous met en avant les activités de cybersécurité, le plus souvent partagées avec d’autres processus :

le processus de cybersécurité fait appel au système qualité, à la gestion des risques et à la gestion des logiciels médicaux

Processus de gestion de la cybersécurité (cliquez pour agrandir)

Les étapes du processus de gestion de la cybersécurité sont les suivantes :

Planification
Définition du contexte
Identification des risques
Estimation des risques : selon l’ISO 14971 et, au besoin, selon des méthodes propres à la cybersécurité, comme le score de vulnérabilité informatique : CVSS
Maitrise des risques
Conception et développement
Vérification, des essais en laboratoires sont possibles
Validation, dont les essais d’IAU
Gestion des informations fournies
Surveillance après commercialisation et veille
Actions correctives et préventives (dont mises à jour, patch, communication à propos des problèmes de cybersécurité…) le score de vulnérabilité informatique : CVSS

Ces activités seront mises en œuvre selon une approche par les risques : une ADR initiale va quantifier les risques de cybersécurité, votre travail sera légitimement proportionné à ces risques.

Analyse des événements de vigilance réels liés à la cybersécurité

Une analyse des événements de vigilance (voir l’outil de recherche qualitiso) amène à considérablement pondérer les problèmes de cybersécurité dans le secteur du dispositif médical : les alertes sont rares et exclusivement préventives.

Les événements de vigilance concernent le plus souvent de grosses sociétés, les DMIA sont particulièrement visés.

Les problèmes ciblent des possibilités d’accès non-autorisé, de reprogrammation malveillante et de contournement de l’authentification. Les causes sont souvent imputables aux moyens de communication ou reprogrammation et au système d’exploitation.

Exemples d’alertes de cybersécurité :

DATE	DM	RÉSUMÉ	SOURCE
06/11/19	Pompe à insuline	Une personne non autorisée pourrait enregistrer et rejouer la communication sans fil entre la télécommande et la pompe à insuline MiniMed. À l’aide d’un équipement spécialisé, une personne non autorisée pourrait demander à la pompe d’administrer trop d’insuline à un patient, ce qui entraînerait une hypoglycémie (hypoglycémie) ou de cesser l’administration d’insuline, ce qui entraînerait une hyperglycémie et une acidocétose diabétique, voire la mort.	FDA	lien
27/06/19	Pompe à insuline	Vulnérabilités potentielles liées à la communication radio sans fil	FDA	lien
04/03/19	Moniteur cardiaque	« Perte de communication » potentielle	FDA	lien
14/10/2018	Programmateur DMIA	Vulnérabilités identifiées dans le processus de téléchargement via le SDN qui pourraient permettre à un individu malveillant de mettre à jour les programmateurs avec un logiciel non-officiel	Swiss Medic	lien
27/08/18	Général	Rappel de mesures « humaines » en matière de cybersécurité	Swiss Medic	lien
18/06/18	Stérilisateur	Failles du système d’exploitation Microsoft utilisé dans l’appareil.	Swiss Medic	lien
17/04/18	DAI	Protection supplémentaire contre l’accès non autorisé	Swiss Medic	lien
19/02/2018	DM de commande les instruments électro-chirurgicaux	Vulnérabilité logicielle relative à la cybersécurité dans les dispositifs Gen11, qui permettait le contournement de l’authentification de sécurité	Santé Canada	lien
15/08/2017	DAI	Accès non-autorisé via interface de communication radio	FDA	lien

Il est intéressant d’aller plus loin, le site cyberveille-sante.gouv.fr a une rubrique dédiée à la veille des alertes en santé, une analyse sur deux ans (plus de 100 événements retenus) montre que les alertes touchent principalement les établissements de santé, avec des événements le plus souvent sans conséquences :

28% des alertes concernent les dispositifs médicaux, 72% des établissements de santé
Les DM sont victimes de “vulnérabilités”
Seulement 7% des événements sont des attaques de pirates informatiques
2% de fishing, 12% de ransomware
17% des alertes concernent des bases de données compromises
16% des alertes ont fait suite à des fuites de données
Les causes, en dehors des problèmes techniques, sont variées : erreur humaine (4%), piratage de messagerie (4%) voire vol de matériel (3%)

Le tableau ci-dessous liste les événements relatifs à des dispositifs médicaux.

Date	Résumé de l’alerte	Lien
28-oct-19	Découverte d’une vulnérabilité dans la solution Philips de gestion des données obstétricales, IntelliSpace Perinatal	lien
18-sept-19	Les données personnelles et médicales de millions de patients en libre accès sur Internet	lien
21-août-19	Multiples vulnérabilités identifiées sur le logiciel médical OpenEMR	lien
28-juin-19	Une vulnérabilité découverte sur les pompes à insuline MiniMed 508 et celles de la gamme Paradigm	lien
17-juin-19	Deux vulnérabilités découvertes dans les stations de travail Alaris Gateway	lien
28-mai-19	[Mise à jour du 06/06/19] Plusieurs produits médicaux de Siemens impactés par la vulnérabilité critique BlueKeep	lien
20-mai-19	Siemens corrige plusieurs vulnérabilités sur ses commutateurs sans-fil SCALANCE W1750D	lien
03-mai-19	[Amérique Latine] Une vulnérabilité corrigée dans la solution logicielle Tasy EMR de Philipps	lien
25-avr-19	Deux vulnérabilités critiques identifiées dans les lecteurs de cassettes de radiographie Fujifilm	lien
15-mars-19	Une vulnérabilité découverte sur un instrument à ultrasons illustre les cas de vulnérabilités de nombreux dispositifs médicaux encore utilisés au sein des établissements de santé	lien
08-févr-19	Découverte de 3 vulnérabilités sur des moniteurs cardiaques	lien
09-nov-18	Plusieurs vulnérabilités importantes découvertes dans les dispositifs médicaux Roche Point of Care	lien
05-sept-18	9 vulnérabilités (dont une critique) découvertes sur l’outil Philips E-Alert	lien
24-août-18	Découverte d’une vulnérabilité critique dans les pompes médicales Alaris Plus	lien
22-août-18	5 vulnérabilités découvertes dans des produits Philips	lien
20-août-18	4 nouvelles vulnérabilités ciblent des appareils Medtronic	lien
17-août-18	OpenEMR corrige une vingtaine de vulnérabilités sur sa solution	lien
29-juin-18	Deux vulnérabilités ont été identifiées sur les moniteurs MyCareLink de Medtronic	lien
19-juin-18	Natus corrige 5 vulnérabilités importantes et 3 autres critiques dans le logiciel Natus Xltek NeuroWorks	lien
15-juin-18	Nouvelles vulnérabilités sur les équipements Siemens RAPIDLab et RAPIDPoint Analyseur des gaz du sang	lien
08-juin-18	Trois vulnérabilités importantes ont été identifiées dans IntelliVue Patient Monitors et Avalon Fetal/Maternal Monitors de Philips	lien
29-mai-18	BeaconMedaes corrige trois vulnérabilités importantes dans ses systèmes TotalAlert Scroll Medical Air	lien
24-mai-18	Becton, Dickinson & Company (BD) a identifié deux vulnérabilités modérées affectant des applications de ses systèmes Kiestra et InoquIA	lien
23-mai-18	Problème d’intégrité des ECG réalisés par le logiciel EC Sense 12-D	lien
17-mai-18	Des vulnérabilités ont été identifiées sur des produits de GE Healthcare	lien
04-mai-18	Trois vulnérabilités ont été identifiées sur les scanners Brilliance CT de Philips	lien
02-mai-18	Des dispositifs médicaux sont vulnérables à l’attaque KRACK	lien
30-mars-18	Deux vulnérabilités ont été identifiées dans le produit Philips Alice 6 System	lien
15-mars-18	Des vulnérabilités critiques ont été identifiées dans des logiciels et équipements médicaux de GE	lien

2 commentaires

martin brochu

27 Fév. 2020
Connectez-vous pour répondre

Bonjour Guillaume, comme la cybersécurité commence à devenir le sujet chaud du moment est ce qu'il existe des formations ou des organismes qui dispense des formations à la cybersécurité des dispositifs médicaux?

Guillaume Promé

28 Fév. 2020
Connectez-vous pour répondre

Pas à ma connaissance. Note que je travaille le sujet depuis quelques mois dans une procédure, c'est surtout de la gestion des risques qui prend en compte les principes généraux de cybersecurité, je ne suis pas convaincu des spécificités du médicales hors gestion des risques (un peu comme avec l'IAU)

Le Blog des Dispositifs Médicaux