Sécurité et sûreté des systèmes de santé

Comme tout autre environnement qui fait appel à des appareils électroniques connectés à un réseau, le secteur de la santé est vulnérable aux cybermenaces. Ces attaques peuvent être motivées par la volonté de voler des informations ou de l'argent, ou simplement de semer le chaos.

Cependant, contrairement à la plupart des autres secteurs, les attaques contre les équipements médicaux peuvent mettre en danger la santé, voire la vie, de personnes. En effet, outre les fonctions informatiques normales, un large éventail de dispositifs médicaux sont mis en réseau pour faciliter le suivi et la gestion des patients. Il s'agit notamment de pompes à perfusion de médicaments, de stimulateurs cardiaques, ou encore d'appareils pour surveiller le rythme cardiaque, la pression sanguine et d'autres signes vitaux.

Le nombre d'attaques dans le secteur de la santé augmente depuis plusieurs années, à mesure que le nombre d'appareils connectés augmente. Malgré cela, de nombreux équipements très largement utilisés restent toujours vulnérables. Par exemple, des chercheurs ont trouvé des appareils en réseau utilisant des systèmes d'exploitation très anciens, non mis à jour, et présentant des failles de sécurité connues. Dans certains cas, même les mécanismes de sécurité les plus élémentaires n'avaient pas été mis en œuvre, comme certains appareils dont les mots de passe par défaut ne pouvaient pas être modifiés.

Risques pour les systèmes de santé
De nombreux dispositifs médicaux sont reliés en réseau et s’appuient sur les mêmes systèmes d'exploitation standard que les ordinateurs portables et les smartphones. Comme le reste de l'Internet des objets (IoT), ces dispositifs sont connectés à Internet afin de profiter des avantages du stockage et de l'informatique cloud. Beaucoup d'entre eux peuvent également être commandés à distance.

En 2011, Jay Radcliffe, un chercheur en sécurité, a démontré que les pirates pouvaient facilement accéder aux appareils médicaux qui utilisent des communications sans fil pour recevoir des commandes. Il est parvenu à pirater sa propre pompe à insuline. Une tierce personne réalisant cela aurait pu soit arrêter l'administration d'insuline, soit administrer un dangereux surdosage.

Un exemple concret d'attaque par inadvertance est le cas de moniteurs cardiaques infectés par un ver informatique dans une unité de soins intensifs à des nouveau-nés. Le ver en question ne visait pas spécifiquement les dispositifs médicaux (il était destiné à voler des données de cartes de crédit), mais il était si mal écrit qu'il provoquait des pannes répétées des moniteurs cardiaques, laissant des bébés prématurés sans surveillance pendant des périodes assez longues pour constituer un danger.

Réf: https://blog.emsisoft.com/en/23161/the-alarming-state-of-computer-security-in-healthcare/ et
https://slate.com/technology/2016/01/malware-not-malicious-hackers-is-the-biggest-danger-to-internet-connected-medical-devices.html 

Ces dix dernières années, le nombre de dispositifs médicaux connectés a explosé, et les risques potentiels ont donc également augmenté. Bien que de nombreuses vulnérabilités aient existé dans le passé, comme celle démontrée par Radcliffe, les fabricants et les autorités réglementaires ont désormais pris la question plus au sérieux.

Toutefois, bon nombre des dispositifs actuellement utilisés ont été mis au point avant que l'industrie ne prenne conscience de la nécessité de prendre au sérieux la cybersécurité. Les dispositifs en question peuvent utiliser des logiciels obsolètes ou non sécurisés, qu’il n'est pas toujours possible de mettre à niveau. En outre, les équipements médicaux sont coûteux et ces systèmes ne peuvent donc pas être remplacés rapidement. Par conséquent, il existe encore de nombreux risques potentiels pour les systèmes de soins et les dispositifs médicaux.

Le risque le plus grave est une attaque affectant le fonctionnement des appareils au point de mettre en danger la santé de patients.

Mais un appareil piraté peut aussi servir de passerelle pour accéder à d'autres systèmes. Il peut être utilisé pour voler des données ou réaliser une attaque par ransomware (logiciel demandant le paiement d’une rançon pour débloquer le système). Outre les pertes de données et les pertes financières, il y a également un risque de perte de réputation si les hôpitaux ou les fabricants de dispositifs médicaux sont considérés comme vulnérables.

Même en l'absence de menaces externes, les dispositifs utilisés dans les environnements médicaux doivent être absolument fiables. Des défaillances aléatoires peuvent également mettre en danger la santé de patients. En particulier, il est essentiel que des événements, comme une coupure de courant inopinée, n'entraînent aucune perte de données, ni de corruption du microprogramme.

Protéger les systèmes des attaques
La protection des systèmes contre les cyberattaques doit se faire sur plusieurs niveaux, et doit être mise en œuvre à tous les échelons. Elle nécessite une analyse détaillée des menaces, afin de déterminer les vulnérabilités à traiter.

En outre, une formation de sensibilisation à la cybersécurité est indispensable pour l'ensemble du personnel. Celle-ci doit couvrir des éléments de base tels que l'utilisation de mots de passe appropriés et leur sécurisation. Il faut également être conscient des différents types d'attaques de type « phishing » qui peuvent être utilisées pour tenter d'extirper des informations, ou de tromper les utilisateurs pour obtenir l’accès à des systèmes.

Le processus doit évoluer en permanence, car de nouvelles menaces et vulnérabilités apparaissent au fil du temps.

La cybersécurité doit également être prise en compte à tous les niveaux de conception des dispositifs.

Maintenir les systèmes en bonne condition
Le stockage du code et des données est généralement basé sur la technologie NAND flash du fait de ses avantages : vitesse élevée, faible consommation d'énergie, et absence de pièces mobiles. La mémoire flash doit être gérée avec soin, afin de minimiser les effets dus à la technologie, comme le nombre limité de cycles de programmation et d'effacement.

Le contrôleur de mémoire flash est essentiel pour assurer un fonctionnement fiable, un stockage des données sans erreur, et une longue durée de vie. L'optimisation de la durée de vie nécessite l'utilisation de diverses techniques, comme le nivelage d’usure intelligent. Les erreurs de données peuvent être évitées en utilisant des codes de correction d'erreurs (ECC) avancés, pour détecter et corriger les éventuelles erreurs.

Le contrôleur doit être adapté aux caractéristiques de la mémoire flash pour garantir une fiabilité maximale. Le comportement de la mémoire flash évolue aussi avec le temps. Un contrôleur de haute qualité doit surveiller les caractéristiques de la mémoire flash tout au long de sa vie, et s'adapter aux effets du vieillissement.

Le contrôleur flash doit aussi protéger contre la perte de données causée par toute coupure d’alimentation. Cela est particulièrement important pour les applications critiques en matière de sûreté, comme les systèmes médicaux. Les contrôleurs Hyperstone fournissent plusieurs mécanismes pour cela. Par exemple, le contrôleur surveille en permanence les tensions d'alimentation, et si elles descendent en dessous d'un certain seuil critique, toutes les données en attente sont écrites en mémoire flash, afin d’éviter toute perte de données.

Pour garantir que le contrôleur fournisse les meilleurs résultats avec une mémoire flash donnée, Hyperstone utilise un processus de qualification rigoureux et effectue des tests tout au long du cycle de vie de la mémoire flash pour générer des données caractéristiques de la mémoire en question. Ce processus détermine les caractéristiques de chaque mémoire flash, et permet aux ingénieurs de configurer de manière optimale le micrologiciel du contrôleur afin de maximiser la fiabilité et la durée de vie de la mémoire concernée.

Mises à jour fiables des microprogrammes
La cybersécurité n'est pas une notion statique, il faut donc pouvoir effectuer des mises à jour logicielles sur le terrain pour corriger d’éventuelles nouvelles vulnérabilités lorsqu’elles sont découvertes. Cela permet à la fois d’introduire de nouvelles fonctionnalités et de corriger des bugs.

Le mécanisme de mise à jour lui-même doit être fiable et protégé des attaques, sans risque de corruption du code du programme, ni de perte de données. Par conséquent, le contrôleur doit prendre en charge des mises à jour sécurisées du micrologiciel. Cette méthode utilise généralement un chiffrement à clé publique pour générer la signature numérique du code à installer, afin que le système ait l’assurance que le code provient d'une source fiable et qu'il n'a pas été altéré. La même technique peut aussi servir à chaque démarrage du système pour valider que le code n'a pas été altéré de manière malveillante, ni corrompu à la suite d’une défaillance matérielle.

Les algorithmes utilisés pour l'ECC avancé et le chiffrement à clé publique peuvent être lourds au niveau calcul. Un contrôleur flash performant et flexible est nécessaire pour répondre à ces exigences : il doit être capable de mettre en œuvre les algorithmes par lui-même, ou à défaut de gérer un circuit intelligent servant à cela.

www.hyperstone.com

  Demander plus d’information…