Vous devez être connecté pour accèder à cette archive.

Se connecter
X
X
S'abonner au magazine
Prestations & Services > Conseil

Sécuriser les DM connectés : le rôle essentiel du pentest

Publié le 25 février 2025 par Patrick RENARD
Esynov propose une formation dédiée à la Cybersécurité des DM, qui peut être donnée en entreprise, avec adaptation personnalisée.
Crédit photo : Esynov

Face aux risques de cyberattaques, les pentests sont devenus incontournables pour les fabricants de DM connectés. Mais de quoi s'agit-il ? C'est une question à laquelle sait répondre Mickaël Seignobos d'Esynov, qui donnera une conférence sur le sujet à Medi'Nov 2025.

Qu'il s'agisse de pompes à insuline, de pacemakers, de moniteurs de signes vitaux ou encore d'équipements de laboratoire, les dispositifs médicaux connectés sont des cibles privilégiées de cyberattaques.

« L’interconnexion croissante de ces dispositifs avec les réseaux, que ce soit à domicile ou en milieu hospitalier, amplifie les menaces », explique Mickaël Seignobos, Expert Cybersécurité Produit pour Esynov. « Un dispositif vulnérable pouvant servir de point d'entrée dans le réseau ». Et une faille peut avoir des conséquences dramatiques : vol de données de santé, modification des paramètres d’un appareil, interruption de fonctionnement critique, perte de secrets industriels (Propriété Intellectuelle), etc.

Esynov : formation et conseil en CEM, RF et Cybersécurité

La plateforme technologique Esynov est une association indépendante d'une vingtaine d'experts (techniciens, ingénieurs et PhD), qui s'appuient sur l'expertise académique de Grenoble INP - Esisar, et sur près de 30 ans de collaboration avec les industriels pour promouvoir les bonnes pratiques en R&D et pré-industrialisation de systèmes embarqués. La mission d'Esynov est de répondre aux besoins des industriels sur les thématiques CEM, RF et Cybersécurité produit, par de la formation et du conseil en phase de conception et R&D, de préqualification produit et de pentest.

Un programme de formation dédié à la Cybersécurité des DM a été construit avec Medicalps et MD101, plus de 30 personnes l'ont déjà suivi en 2024. La prochaine session publique est programmée en novembre 2025 à Medytec Grenoble, et peut être réalisée à tout moment en sur-mesure dans les entreprises (contact : Charles Reboul).

Certains cas concrets illustrent la dangerosité potentielle de cyberattaques sur des dispositifs médicaux :
• 2017 - Pacemakers Abbott : une faille permettait de modifier les paramètres à distance. La FDA a imposé une mise à jour urgente.
• 2018 - Pompe à insuline Medtronic : un attaquant pouvait administrer une dose létale via une faille radiofréquence.
• 2021 - Moniteurs cardiaques : une vulnérabilité Bluetooth permettait de désactiver un appareil de surveillance.

Une exigence réglementaire en Europe et aux États-Unis

Face à ces menaces réelles, les autorités imposent désormais des règles strictes en cybersécurité. En Europe et aux États-Unis, la réalisation de tests d’intrusion (pentests) par un tiers est devenue une exigence normative (ex. guidance FDA "Cybersecurity in Medical Devices" du 27 septembre 2023).

« Les entreprises qui ignorent ces obligations s’exposent à de fortes sanctions économiques, et en particulier à un refus d’autorisation de mise sur le marché », précise Mickaël Seignobos, « Sans parler des dommages sur l'image de marque de l’entreprise ».

À plus haut niveau, pour être conforme au Cyber Resilience Act qui s’applique aux produits intégrant des éléments numériques, les industriels doivent :

  • intégrer la cybersécurité dès la conception (principe de "security by design"),
  • assurer la mise à jour et la correction des failles de sécurité durant le cycle de vie du produit,
  • notifier les autorités en cas de faille de sécurité critique,
  • et évaluer les risques.

Le pentest fait partie intégrante de ce processus de démonstration et de documentation de la sécurité dans le cadre d’une conformité aux normes européennes et internationales.

Comment se déroule un pentest sur un dispositif médical ?

Mickael Seignobos donnera une conférence intitulée "Cyberattaques des dispositifs médicaux, comment effectuer les tests obligatoires ?" sur Medi'Nov le mercredi 26 mars 2025, à 10h30.

crédit photo : © Memento pour First Connection - Medi'Nov Connection 2024

Un test d’intrusion suit une méthodologie rigoureuse adaptée aux systèmes embarqués, réalisée par un ingénieur spécialisé, indépendant des équipes de développement :

1. Cartographie des composants : identification des interfaces (Wi-Fi, Bluetooth, ports USB, API cloud…).

2. Analyse des menaces : recherche des vulnérabilités connues (CVE) et spécifiques à l’architecture du dispositif.

3. Attaques simulées : exploitation des failles détectées (injection de code, attaques sur le firmware, interception de données).

4. Évaluation des impacts : analyse des conséquences potentielles (prise de contrôle, altération de données, interruption).

5. Recommandations et corrections : rapport détaillé avec mesures correctives.

6. Re-test après correction (optionnel) : vérification que les vulnérabilités ont bien été éliminées.

Ces éléments soulignent pour les industriels la nécessité d’intégrer la cybersécurité dès la conception du DM et tout au long de son cycle de vie, en mobilisant des spécialistes et partenaires de confiance pour se former et réaliser les pentests.

A voir sur le stand 29 de Medi'Nov.

www.esynov.fr

Partagez cet article sur les réseaux sociaux ou par email :
Mots-clés :
cybermenaces
cybersécurité
DM connecté
Esisar
Esynov
Grenoble-INP
ISO 60601-4-5
MD101
Medi'Nov Connection
Medicalps
pentest
santé connectée
test d'intrusion

A lire aussi

SAFE : un projet de traitement de surface d'implants à l'aide du plasma Des emballages rigides alliant sécurité, fonctionnalité et développement durable Albhades internalise les analyses par MALDI-TOF