L’informatique biomédicale est-elle une informatique comme les autres ? Directement liée aux équipements médicaux, elle soutient le cœur de l’activité des hôpitaux et se distingue en tout cas par des enjeux particulièrement critiques.
Des systèmes opérationnels propres à la santé
Imagerie médicale, prise de rendez-vous, consultations à distance, l’informatique est devenue omniprésente dans les établissements de santé et dans le parcours de soin des patients. L’informatique biomédicale regroupe ainsi tous les équipements de santé connectés aux systèmes d’information : scanners, appareils d’analyse, moniteurs, etc. Ce domaine, historiquement géré par des médecins et non par les équipes informatiques, représente un réel risque pour la cybersécurité des hôpitaux, mais pas seulement. Dans ce secteur encore plus qu’ailleurs, la disponibilité des réseaux et l’intégrité des données sont critiques : des vies peuvent en dépendre.
Et des problématiques spécifiques
À l’hôpital, il est donc vital que l’infrastructure opérationnelle fonctionne quand on en a besoin. Or, dès lors que ces divers équipements biomédicaux sont connectés au réseau, ils deviennent tout aussi vulnérables que des ordinateurs ou des serveurs classiques. Malheureusement, les professionnels concernés, utilisateurs comme constructeurs, restent encore peu sensibilisés aux enjeux de cybersécurité propres à cette informatique biomédicale.Pourtant, le secteur dispose d’une longue expérience en sûreté de fonctionnement mais il intègre moins la logique de sécurité, qui nécessite d’envisager des actes de malveillance. À ces aspects culturels s’ajoute un parc d’équipements souvent obsolète et difficile à maîtriser. Son inventaire peut être complexe du fait de la diversité des appareils qui le composent, de leur répartition géographique et de la faible centralisation des informations à leur sujet.
Pour Léonard Keat, Responsable des Opérations Sud-Est Advens, les difficultés découlent aussi d’une certaine dépendance aux fournisseurs ou aux éditeurs de logiciel :
« Rares sont les équipes internes qui disposent de droit d’accès aux équipements, soit parce que le fournisseur n’a pas intégré la notion de rôle, soit parce ce dernier est le seul autorisé à y accéder. »
Auditer pour mieux protéger l’informatique biomédicale
S’il est impossible de prévenir à 100 % les cyberattaques, des solutions existent néanmoins pour mieux sécuriser ce parc d’appareils connectés. Les dernières recommandations de l’Association française des ingénieurs biomédicaux (AFIB) appellent notamment à être plus exigeants vis-à-vis des fournisseurs et à lutter contre l’obsolescence des équipements. Advens préconise également l’adoption d’une posture « immunitaire » qui vise à détecter au plus tôt les cybermenaces pour en réduire l’impact. Cette stratégie de réponse s’appuie sur un ensemble de services de protection, de détection et de réaction qui commence très souvent par une phase d’audit.
Cette étape simple et efficace permet de connaître le niveau de sécurité du parc biomédical. Rémi Martin de Abia, auditeur Advens, a récemment réalisé un test d’intrusion externe pour un CHU. Via une recherche de noms de domaine et de sous-domaines, il découvre deux vulnérabilités importantes qui permettent d’accéder au système, puis aux fiches des patients. On peut par exemple y lire des commentaires de radiographies. Rémi complète :
« Pour l’attaquant, s’en prendre à un poste bureautique à l’accueil ou à un scanner en salle de radiologie revient à exploiter des vulnérabilités classiques : il pourrait même ne pas faire la différence entre les deux machines ! ». Inquiétant au vu des enjeux qui, eux, sont sans commune mesure. »
Le rapport d’audit permet donc de prendre conscience des vulnérabilités et des risques encourus mais il peut aussi servir le RSSI dans sa négociation budgétaire annuelle ou encore être utilisé comme base de discussion avec des fabricants d’équipement biomédical. Soit un premier pas vers une meilleure sécurisation de ce parc pas comme les autres !
Mais alors par où commencer pour renforcer la sécurité du parc biomédical ? Une simple cartographie de ce périmètre peut déjà constituer un premier pas très enrichissant.