IoT et soins de santé: le défi des nouvelles vulnérabilités
publié le 6 mars 2020
Récemment, la FDA américaine (Food & Drug Administration) mettait à nouveau en garde les hôpitaux contre certaines vulnérabilités des dispositifs médicaux connectés communiquant en mode sans-fil via BlueTooth Low Energy. Les nouvelles failles identifiées permettraient notamment à un hacker de provoquer un arrêt du dispositif, de l’empêcher de fonctionner ou d’accéder à certaines de ses fonctions. Parmi les dispositifs rendus ainsi vulnérables, des pompes à insuline, des glucomètres, pacemakers ou des appareils à ultra-sons. Sans parler d’équipements davantage grand public ou “fitness” tels que les bracelets connectés Fitbit.
Des correctifs, tant logiciels que matériels, seraient heureusement en cours de développement et de déploiement mais les experts en sécurité “profitent” de l’occasion pour rappeler que l’essor de l’“Internet des Objets” dans le secteur médical et hospitalier impose aux établissements et professionnels de soins de prendre de nouvelles précautions et de revoir leurs pratiques et infrastructure de (cyber-)sécurité.
Parmi leurs recommandations: la mise en oeuvre de réseaux décentralisés.
C’était l’un des thèmes abordés en décembre 2019 lors du forum Healthcare Security de Boston.
“L’Internet des Objets et les communications sans-fil ont un petit côté très pratique, permettant de multiplier les systèmes de surveillance dans la chambre d’un patient. Mais c’est là aussi multiplier les risques dans la mesure où il n’est pas possible de centraliser la gestion des dispositifs IoT.”
Le secteur attend donc que de nouvelles solutions soient mises au point. Par exemple, des solutions qui procurent une meilleure visibilité, générale et cohérente, “ne serait-ce que pour déterminer quels dispositifs sont connectés au réseau, leurs fonctionnalités et mode de fonctionnement, et comment sécuriser ce dernier”.
Autre piste de réflexion: la définition d’une norme de déploiement de dispositifs médicaux qui imposerait à tout équipement d’en passer par une série de tests et de contrôles, ce qui permettrait de juger de leur degré de sécurité avant déploiement.
Source: MobiHealthNews (HIMMS Media)
Informations techniques supplémentaires au sujet de la vulnérabilité SweynTooth, découverte dans des dispositifs médicaux fonctionnant en Bluetooth Low Energy, via ce site HIMMS.