Dossiers > Réglementation
Cybersécurité : un sujet à prendre au sérieux pour les dispositifs médicaux
La cybersécurité des DM est devenue une préoccupation majeure des fabricants et des organismes de santé, avec pour enjeux principaux la protection des patients et le respect de la confidentialité des données de santé. Quels sont les risques et comment les combattre ? Explications avec BSI Group.
Par Marie Le Quellec, Marketing Manager France, BSI Group.
Les dispositifs médicaux sont passés d’équipements autrefois isolés à des équipements connectés en réseau avec communication bidirectionnelle, accès à distance et connectivité sans fil. Ces dispositifs sont de plus en plus souvent associés à des applications et/ou logiciels et connectés à des appareils tels que téléphones portables ou tablettes.
Le développement de la technologie dans le domaine de la santé permet d’optimiser la prise en charge des patients et la capacité du personnel soignant à les traiter, mais augmente également les risques de cyberattaques. Comme tout système informatisé, les dispositifs médicaux peuvent subir des violations de la sécurité, avec des conséquences réelles sur leur fonctionnement et sur la sécurité du patient.
Types de cyberattaques et risques générés dans le secteur de la santé
Avec le développement de la connectivité des dispositifs médicaux sont apparues de nouvelles menaces en matière de cybersécurité, qui peuvent entraîner la violation ou la perte de données relatives aux patients, l’exfiltration d’informations et la perte d’actifs, la perturbation des soins et des services, ou encore le vol de propriété intellectuelle.
Les attaques menées à l’encontre des fabricants de dispositifs médicaux et organismes de santé sont de plus en plus sophistiquées, qu’elles soient ciblées ou non. Elles peuvent prendre la forme de phishing (hameçonnage), un procédé qui consiste à envoyer un email frauduleux dans le but d’obtenir des informations de connexion. Autre type d’attaque : le recours à un ransomware (logiciel malveillant) qui peut se traduire par un chantage ou une extorsion basée sur l’exploitation des données sensibles exfiltrées.
Les menaces peuvent également provenir de l’intérieur de l’organisation elle-même, qu’elles soient intentionnelles ou non. Les menaces internes peuvent constituer un danger significatif en raison du préjudice porté à la relation de confiance établie avec le collaborateur.
Sensibilisation des collaborateurs et sécurisation de l’information
Les fabricants de dispositifs médicaux et les organismes de santé doivent savoir faire face aux menaces de cyberattaques dont ils peuvent faire l’objet. Il faut trouver un équilibre entre l’usage des nouvelles technologies, l’innovation et la sécurité des patients et des données confidentielles.
Afin d’optimiser les pratiques assurant la cybersécurité au sein d’une organisation, il convient de former les collaborateurs et de les sensibiliser aux menaces qu’ils peuvent rencontrer au quotidien.
Les collaborateurs représentent malheureusement un facteur de risque important en matière de cybersécurité, les attaques étant de plus en plus imputables au comportement des employés :
- 90 % des employés admettent violer les politiques internes visant à prévenir les incidents de sécurité,
- 87 % des professionnels de l’IT déclarent que les collaborateurs négligents représentent une menace encore plus importante que les cybercriminels.
Les fabricants de dispositifs médicaux et organismes de santé peuvent également mettre en place un cadre robuste pour protéger leurs informations sensibles, comme les données liées aux clients, à la situation financière ou encore à la propriété intellectuelle grâce à la norme ISO/IEC 27001. Mise à jour en 2013, celle-ci spécifie les exigences relatives à l'établissement, à la mise en œuvre, à la mise à jour et à l'amélioration continue d'un système de management de la sécurité de l'information dans le contexte d'une organisation. Elle comporte également des exigences sur l'appréciation et le traitement des risques de sécurité de l'information, adaptées aux besoins de l'organisation.
L’ISO/IEC 27001 ne protège pas uniquement l’organisation, elle renvoie aussi aux clients, aux fournisseurs et au marché l’image d’une entreprise qui a la capacité de gérer l’information de façon sécurisée.