Le spécialiste du pare-feu et de la protection des systèmes d’information travaille actuellement à la mise à disposition, dès le début d’année prochaine, d’un dispositif dédiée à la sécurisation des appareils médicaux connectés au réseau des établissements de santé.
Systèmes de diagnostic et de monitoring, équipements embarqués dans les ambulances, robots chirurgicaux sont autant d’appareils numériques utilisés par les professionnels de santé pour améliorer les soins aux patients. Reste que la sécurité de ces appareils se révèle, in fine, aussi critique que leur fonction première. Régulièrement en Une des journaux, les établissement de santé sont de plus en plus la cible de cyberattaque. Des recherches menées par l’Unit 42 de l’éditeur Palo Alto Networks ont révélé que ces dispositifs médicaux seraient le maillon le plus faible du réseau hospitalier :
- 75 % des pompes à perfusion étudiées présentaient au moins une vulnérabilité ou ont généré au moins une alerte de sécurité.
- Les appareils d’imagerie, tels que les scanners à rayons X, IRM et CT, étaient particulièrement vulnérables, 51 % de tous les appareils à rayons X étant exposés à des vulnérabilités et expositions communes de haute gravité (CVE-2019-11687).
- 20 % des périphériques d’imagerie courants exécutaient une version non prise en charge de Windows.
- 44 % des tomodensitomètres et 31 % des appareils d’IRM ont été exposés à un CVE de haute gravité.
Une solution Zero Trust à la portée de tous
« A cette réalité s’ajoutent la grande diversité des appareils médicaux IoT et leurs vulnérabilités inhérentes qui montre qu’une solution de sécurité spécialement conçue pour le secteur de la santé est une vraie nécessité. Trois incontournables se dégagent : la capacité à se défendre contre les menaces ciblant les appareils de soins critiques, la continuité opérationnelle, et un meilleur alignement des responsabilités de gouvernance des appareils, partagées entre les équipes IT et biomédicale. Ce sont devenus des nécessités absolues pour protéger les données et la vie des patients, » affirme Ed Lee, directeur de recherche, IoT and Intelligent Edge Security, IDC.
En janvier 2023, Palo Alto mettra donc à disposition du secteur de la santé Medical IoT Security, une solution Zero Trust conçue spécifiquement pour les appareils médicaux. L’objectif est de permettre aux organismes de soins de santé de déployer et de gérer rapidement et en toute sécurité les nouvelles technologies connectées. Pour rappel, le Zero Trust, ou confiance zéro, est une approche stratégique de la cybersécurité qui protège les entreprises en éliminant toute confiance implicite, grâce à une vérification systématique et constante de chaque utilisateur et de chaque appareil.
Des fonctionnalités dédiées au monde médical
La nouvelle solution Palo Alto Networks Medical IoT Security utilisera l’apprentissage automatique (machine learning) et proposera les fonctionnalités suivantes aux organismes de santé :
- Création de règles de surveillance des appareils avec des réponses de sécurité automatisées : Si un appareil médical qui n’envoie généralement que de petites quantités de données commence à avoir une consommation de bande passante inattendue, il peut alors être déconnecté d’Internet, tandis que les équipes de sécurité reçoivent une alerte.
- Automatisation des recommandations de la politique Zero Trust et mise en application : le principe du moindre privilège, recommandé pour les appareils médicaux, peut être appliqué en un seul clic. Cette solution évite une création manuelle de politiques, chronophage et source d’erreurs, et peut facilement être étendue à tout un ensemble d’appareils de profil similaire.
- Compréhension des vulnérabilités des appareils et de leur profil de risque : la solution permet d’accéder à la nomenclature logicielle (SBOM) de chaque appareil médical et de la confronter aux failles et vulnérabilités communes (CVE). Ce mappage permet d’identifier les bibliothèques logicielles utilisées sur les appareils médicaux et de détecter les vulnérabilités associées. La solution fournit des indications sur le statut de risque de chaque appareil. Elle précise notamment sa date d’arrivée en fin de vie et les notifications de rappel le concernant. Elle envoie une alerte en cas d’utilisation d’un mot de passe par défaut ou de communication avec des sites Web externes non autorisés.
- Amélioration de la conformité : la solution permet de déterminer aisément les vulnérabilités des appareils médicaux, le statut des correctifs et les paramètres de sécurité. Elle fournit en outre des recommandations de mise en conformité des appareils avec les règles et les directives, telles que la loi américaine HIPAA (Health Insurance Portability Accountability Act), le Règlement général sur la protection des données (RGPD), ainsi qu’avec des lois et des réglementations similaires.
- Vérification de la segmentation du réseau : la solution permet de visualiser la carte complète des appareils connectés et de s’assurer que chaque appareil est placé dans le segment réseau qui lui correspond. Une segmentation correcte du réseau garantit qu’un appareil ne communique qu’avec les systèmes autorisés.
- Simplification des opérations : deux tableaux de bord distincts permettent aux équipes informatiques et d’ingénierie biomédicale de visualiser les informations essentielles à leur rôle. L’intégration aux systèmes de gestion des informations de santé existants, comme AIMS et Epic Systems, automatise les flux de travaux.
Hélène Saire
