À la liste des termes et expressions de cybersécurité difficiles à manier avec lesquels le monde doit inévitablement se familiariser, il y a «la sécurité de l'Internet des objets médicaux (IoMT)».
Alors que le secteur de la santé adopte plus largement les appareils connectés et intelligents, il est devenu impératif d'être attentif à la cybersécurité.
L'administration des établissements de santé ne se limite plus à la désinfection des outils contre les agents pathogènes, mais également à la protection des appareils connectés contre diverses cybermenaces.
Le marché de l'IoMT s'est considérablement développé au fil des ans, devrait croître de 22,2 % TCAC pour la période 2021 à 2028.
Le nombre d'appareils connectés déployés pour les systèmes de santé communautaires, les établissements de santé conventionnels et l'usage domestique et personnel est déjà devenu trop important pour être ignoré.
Ils constituent de larges surfaces de cyberattaques qui apparaissent très attractives pour les cybercriminels.
Il convient de noter que le marché mondial de la cybersécurité des soins de santé devrait croître à un rythme comparable à un TCAC de 19,1 %.
Il ne serait pas exagéré de dire qu'il existe un besoin proportionné de répondre aux besoins de sécurité qui accompagnent l'utilisation plus répandue des appareils IoT dans le domaine médical ou des soins de santé.
Surveillance post-commercialisation des dispositifs médicaux
L'un des exemples les plus remarquables de la façon dont l'IoMT devient plus pertinente que jamais est la montée en puissance de solutions de surveillance post-commercialisation des dispositifs médicaux.
De nos jours, la sécurité des dispositifs médicaux IoT n'est pas seulement une préoccupation pour les utilisateurs. Les fabricants de ces appareils connectés sont également tenus de s'assurer que leurs produits sont suffisamment sécurisés.
L'une des principales raisons à cela est l'implication croissante des régulateurs dans la cybersécurité des dispositifs médicaux. La proposition de loi de la FDA qui cherchait à inclure peut avoir réussi sans les exigences de cybersécurité pour les dispositifs médicaux, mais il y a des projets de loi en attente visant à répondre à ce besoin. “S.4336 – Strengthening Cybersecurity for Medical Devices Act”, pour sa part, vise à obliger la FDA à s'impliquer activement dans la cybersécurité des dispositifs médicaux.
Il vise également à obliger le Government Accountability Office à rendre compte des défis en matière de cybersécurité pour les dispositifs médicaux.
Grâce à la surveillance post-commercialisation, le gouvernement et les fabricants d'IoTM devraient travailler main dans la main pour surveiller et garantir l'efficacité et la sécurité des appareils connectés utilisés dans le domaine de la santé.
Au lieu de se concentrer sur la réglementation avant la commercialisation, on s'oriente vers la surveillance et la réglementation après la commercialisation. Les partisans du changement soutiennent que les données collectées et évaluées dans le cadre de la surveillance post-commercialisation sont plus représentatives des situations réelles auxquelles les dispositifs sont soumis et des résultats qu'ils fournissent.
Ils présentent des données plus substantielles sur l'efficacité et la sécurité des produits déployés.
De plus, les fabricants de dispositifs médicaux reconnaissent l'importance d'effectuer un suivi clinique post-commercialisation (PMCF), qui vise à collecter systématiquement des données cliniques sur l'utilisation et les résultats des dispositifs médicaux afin d'évaluer la bonne utilisation des dispositifs et les avantages et les risques qui leur sont associés. .
Les organisations peuvent avoir besoin d'effectuer un PMCF si elles introduisent une nouvelle technologie ou si les risques liés aux produits sont élevés.
Vulnérabilité “unique”
Un rapport du Congrès a récemment sonné l'alarme sur la façon dont le secteur de la santé est « particulièrement vulnérable » aux cyberattaques.
“Malheureusement, le secteur des soins de santé est particulièrement vulnérable aux cyberattaques et la transition vers une meilleure cybersécurité a été douloureusement lente et inadéquate”, écrit le rapport.
L'industrie de la santé présente des défis distincts en raison du risque supplémentaire pour la sécurité des patients.
L'un des principaux problèmes cités dans le rapport est l'utilisation d'appareils qui n'ont pas la capacité de résister aux cyberattaques. De nombreux établissements de santé continuent d'utiliser des gadgets électroniques qui ne sont pas conçus pour résister aux cyberattaques modernes, en particulier ceux qui se connectent à Internet et à d'autres appareils.
Les logiciels utilisés dans les dispositifs médicaux connectés présentent un intérêt particulier. “Alors que les développeurs de logiciels retirent les anciennes versions de logiciels et ne corrigent plus ces produits, davantage d'appareils médicaux sont vulnérables aux attaques”, note le rapport.
Il cite un fournisseur de logiciels de premier plan qui aurait appris que son application en fin de vie était toujours déployée par un important fournisseur informatique de soins de santé. Il s'agit d'une pratique à haut risque qui menace non seulement le fonctionnement d'un établissement de santé, mais aussi la vie des patients.
Une partie importante des recommandations du rapport est la restriction de la vente de dispositifs médicaux avec des logiciels ou des applications obsolètes qui ne sont pas capables de faire face aux cybermenaces modernes. Une autre recommandation est l'obligation pour les fabricants de dispositifs médicaux de préparer des nomenclatures logicielles (SBOM) à soumettre à la FDA et aux utilisateurs finaux des dispositifs vendus.
Les législateurs et les régulateurs examinent attentivement la situation de la cybersécurité dans le secteur de la santé. Les menaces ont de graves conséquences qui peuvent affecter directement la vie des gens.
Ces menaces ne concernent pas seulement les données personnelles volées, mais également la possibilité de dysfonctionnements des dispositifs médicaux et de manipulation à distance pouvant mettre en danger les patients.
Des menaces plus grandes que nature
Quelle est la gravité de la menace de cybersécurité IoMT ? Un rapport (d'un fournisseur de cybersécurité dans le domaine de la santé) donne un chiffre alarmant : 56 % des hôpitaux auraient admettent que leurs appareils IoMT ont été attaqués au cours des deux dernières années.
Il s'agit d'une grande majorité d'établissements de santé. Cela montre que les cybercriminels considèrent les appareils IoT comme des cibles d'attaque viables, et beaucoup semblent ne pas être préparés.
Une autre découverte inquiétante de l'étude susmentionnée est une augmentation de 24 % de la mortalité signalée dans les hôpitaux qui ont subi des cyberattaques. Alors que des études plus larges et à plus long terme sont nécessaires pour établir la corrélation de manière plus convaincante, il n'est pas irrationnel de penser que les cyberattaques contre les établissements de santé et les taux de mortalité sont liés.
D'autres conclusions préoccupantes de l'étude sur la cybersécurité de l'IoMT sont l'attribution de 88 % des violations de données dans les hôpitaux aux appareils IoMT, la présence d'au moins une vulnérabilité de sécurité cruciale dans 53 % des appareils IoMT et la propension d'environ 47 % des hôpitaux à donner à la demande des auteurs de rançongiciels.
Parmi les appareils IoT les plus couramment utilisés dans le milieu de la santé, on trouve les pompes IV connectées, qui représenteraient 38 % de l'empreinte informatique moyenne d'un hôpital.
Plus de 70 % de ces pompes IV connectées contiendraient des vulnérabilités pouvant être exploitées par des pirates et d'autres acteurs malveillants.
Prendre les menaces au sérieux
Les menaces pesant sur l'industrie médicale ou de la santé ont considérablement augmenté avec l'adoption d'appareils plus connectés ou l'Internet des objets médicaux.
Le bon côté de cette situation de cybermenace qui s'aggrave, cependant, est que les fournisseurs de sécurité et les régulateurs se mobilisent pour proposer des solutions adaptées ou ciblées.
L'émergence de la surveillance post-commercialisation des dispositifs médicaux et la législation visant à renforcer la cybersécurité des dispositifs de santé montrent la gravité du problème et la manière dont les secteurs privé et public travaillent ensemble pour lutter efficacement contre les menaces.
