Santé
De nombreux dispositifs médicaux sont dorénavant connectés aux réseaux Internet des hôpitaux, comme des moniteurs, des capteurs ou même des dispositifs médicaux implantables sans fil. Le développement de ces nouvelles méthodes de surveillance et de partage des données des patients s’accompagne de l’émergence de nouvelles vulnérabilités.
Les hôpitaux ne font pas exception à la règle et sont, eux aussi, de plus en plus la proie de cyber-attaques et de ransomwares. Les établissements de santé ont en effet été les victimes d’une escalade de cyber-attaques ces dernières années.
En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a révélé qu’un total de 27 hôpitaux avaient été la cible de cyber-attaques en 2020.
L’environnement hospitalier n’est donc plus uniquement un centre de soins mais un univers interconnecté qui ne peut fonctionner sans technologie numérique.
Avec des dossiers entièrement informatisés et stockés dans le cloud, les données des patients sont devenues des plus précieuses. Par ailleurs, les capteurs utilisés dans les hôpitaux peuvent également faire transiter des informations sensibles sur les patients dont certaines d’importance vitale. Leur sécurité doit donc être absolue face à des attaques malveillantes qui pourraient potentiellement pirater ces dispositifs médicaux connectés et en récupérer des données de patients.
Les équipements médicaux (imagerie, robotique, etc.) et même la gestion des bâtiments font partie de cet univers médical connecté. Comme avec tout IoT, ces équipements médicaux, comme des scanners IRM, des pompes à insuline ou des automates de toutes sortes utilisés dans les établissements de santé, sont des cibles potentielles et en cas d’attaque, mettre des vies directement en jeu.
L’Internet des objets médicaux (IoMT) présente plusieurs vulnérabilités et, heureusement, les dispositifs médicaux peuvent être sécurisés contre les attaques afin que les données des patients et leur confidentialité soient préservées.
Les défis de sécurité spécifiques à l’internet des objets médicaux
- Démarrage sécurisé
- Garantir l’authenticité du firmware
- Protéger la propriété intellectuelle
- Authenticité des données
- Garantir que les données reçues par le moniteur ne sont pas modifiées entre la sonde et le moniteur.
- Protocole de communications sécurisées (TLS, IPsec)
- Offrir la possibilité d’envoyer de manière sécurisée (cryptée et authentifiée) les données à d’autres dispositifs et systèmes.
De nombreux actifs doivent être protégés tels que :
- Les capteurs,
- Les moniteurs,
- Les implants de patients.
Solutions de sécurité pour la santé
Secure-IC possède une expertise dans la protection des applications de santé, des équipements médicaux et des capteurs. Pour résister aux attaques, Secure-IC met en œuvre une racine de confiance sécurisée assurant sécurité et authenticité des données ainsi que des protocoles de communication sécurisés.
L’approche PESC de Secure-IC repose sur un portefeuille de produits et de services de sécurité qui, lorsqu’ils sont combinés, créent une sécurité de bout en bout protégeant les fondements mêmes de votre industrie.
- SecuryzrTM iSE (integrated Secure Elements, i.e. éléments de sécurité intégrés) pour la santé : conforme aux certifications pour une connectivité et une gestion à distance sécurisées avec les exigences du protocole TLS/Secure et la pile du firmware.
- SecuryzrTM Logiciel complet pour l’industrie pour les appareils existants ou déjà installés.
- Gestion des identifiants pour tous les appareils de la flotte qui peut être réalisée pour chaque appareil grâce au PUF (Fonction physique non clonable) de Secure-IC (à la fois au niveau matériel et logiciel).
- Le SecuryzrTM Server permet de gérer une flotte d’appareils, de les mettre en service/hors service, de mettre à jour le firmware à distance (over-the-air) de façon sécurisée.
- LaboryzrTM: Évaluation de la sécurité:
- Détection des chevaux de Troie matériels
- Vérification de la protection contre la rétro-ingénierie
- Tests d’intrusion matériels/logiciels
- Le LaboryzrTM comprend 3 outils :
- AnalyzrTM, outil d’évaluation permettant de valider le niveau de sécurité des puces ou plateaux physiques réels après leur sortie de fonderie
- Garantit la conformité aux normes ISO/CEI 17825 et 20085
- VirtualyzrTM, outil de CAO permettant d’évaluer la conception de sécurité à tous les niveaux de la conception matérielle (RTL, post-synthèse, Place & Route et disposition).
- CatalyzrTM, outil logiciel permettant d’évaluer la vulnérabilité d’un code logiciel grâce à une analyse statique et dynamique
- AnalyzrTM, outil d’évaluation permettant de valider le niveau de sécurité des puces ou plateaux physiques réels après leur sortie de fonderie
-
ExpertyzrTM : Offre de Secure-IC comprenant plusieurs services et formations pour amener votre entreprise à un niveau supérieur de connaissances en terme de sécurité :
- Service d’évaluation pour les dispositifs existants et les nouveaux dispositifs
- Accompagnement à la certification
- Formation à la sécurité et Veille
Normes et certifications à prendre en compte dans le secteur de la santé
Plusieurs normes existent et sont applicables au secteur la de santé, ainsi que des certifications générales telles que FIPS 140-3, OSCCA ou Common Criteria.
En tant qu’expert en sécurité, Secure-IC accompagne les entreprises et les institutions qui souhaitent acquérir et renforcer leurs certifications, que ce soit par le biais de projets collaboratifs, de tutoriels, de formations ou de prestations de conseils.
Normes spécifiques à la santé:
- SESIP
- GP TEE
- IEC 62304-2006
- ISO/IEC 27032
- IEC 82304-1
- ISO/TR 80002
- ISO/IEC 8001
Ressources et événements liés
You may also be interested in having a closer look at the elements below: