Cyberattaque des objets connectés dans le secteur de la santé : quelle protection des fabricants et des utilisateurs ?
Actualité
20 novembre 2017

Cyberattaque des objets connectés dans le secteur de la santé : quelle protection des fabricants et des utilisateurs ?

L’Agence nationale de sécurité du médicament et des produits de santé (ANSM) a créé le premier comité scientifique spécialisé temporaire (CSST) sur la cyber-sécurité des logiciels dispositifs médicaux (DM)[1].

La cyberattaque des objets connectés est un sujet particulièrement grave, qui engendre un risque majeur pour les fabricants, les utilisateurs professionnels que sont les établissements de santé, mais également pour les professionnels de santé et les patients dépendant de ces appareils.

L’attaque des logiciels peut conduire à un blocage du fonctionnement des produits connectés et par conséquent à une paralysie du système de santé.

Ces risques, qui menacent tous les objets connectés de la vie quotidienne (téléphone, domotique, voiture, industrialisation alimentaire, transports etc.), sont d’autant plus graves dans le secteur de la santé, qu’ils menacent les personnes dont la vie dépend de ces objets. Le risque porte sur les fonctionnalités de ces objets, qui peuvent donc partager des informations à travers des liaisons sans fil (bluetooth, wifi) ou par connexion physique à un réseau internet.

Les risques de cyberattaque concernent principalement l’échange de données (imagerie médicale, résultats de biologie), le pilotage du dispositif (programmation de pompes à perfusion ou de dispositifs implantables actifs), le suivi du patient à distance (surveillance de signes vitaux) ou la maintenance des produits.

Cette question n’est pas nouvelle, mais elle commence à prendre néanmoins de l’ampleur tant la préoccupation est grandissante sur la sécurité de ces produits. Aux Etats-Unis, l'un des principaux acteurs du secteur sur le marché américain était au centre d'une polémique sur la potentielle vulnérabilité aux cyberattaques de ses pacemakers et défibrillateurs.

Face à ce risque, il est indispensable de préciser quel est l’encadrement juridique qui permet de protéger la sécurité des DM connectés. Ces appareils sont en effet soumis à un corps de règles qui nécessite pour l’entreprise la mise en œuvre de textes complexes et enchevêtrés. La question pour le fabricant de DM est de mettre en œuvre le dispositif le plus sécurisant pour éviter toute attaque malveillante.

Le DM connecté est en effet soumis à la fois au nouveau règlement DM[2] et au nouveau règlement sur la protection des données (RGPD[3]). Ces textes visent à assurer la confidentialité, l’intégrité et la disponibilité des informations contenues ou issues d’un DM connecté ou d’un logiciel. Il vise à assurer la protection contre les attaques intentionnelles et malveillantes. Mais, il conviendrait d’ajouter à ces textes la notion de manipulation non intentionnelle, de mésusage ou d’erreur d’utilisation, à fortiori lorsque ces DM sont utilisés ou « mis à disposition » de personnes fragiles, de personnes âgées, dépendantes, malades, ou encore présentant des altérations de leurs facultés de discernement…

Le nouveau règlement DM ne règle pas toutes les questions : il ne couvre pas toutes les problématiques transversales, et les fabricants ne disposent que d’un guide de référence sans valeur contraignante qui ne saurait les dédouaner de leur responsabilité.

Au niveau français, l’ANSM s’est saisie de cette question, et a mis en place un Comité (CSST) composé d’experts externes, choisis en raison de leurs compétences et expériences diverses sur le sujet de l’informatique et de la cyber-sécurité. Ce comité est chargé de proposer au directeur général de l’ANSM, des recommandations à l’attention des fabricants de dispositifs médicaux de manière à ce qu’ils puissent prendre les mesures nécessaires pour prévenir toute attaque malveillante à l’encontre des DM qu’ils commercialisent et ainsi empêcher la compromission des données et l’utilisation détournée de ces DM.

Ce renforcement de la sécurité implique pour le fabricant qu’il s’assure de la conformité de son produit aux règles juridiques en vigueur (Règlement Général sur la Protection des Données, Règlement DM, normes, guides, recommandations). Cette question ne touche pas seulement les fabricants, mais elle concerne tous les professionnels de santé, et établissements qui sont utilisateurs de ces DM connectés : ils doivent, dans leurs pratiques au quotidien, intégrer les mesures de sécurité nécessairement adaptés aux profils des usagers et patients, afin de ne pas ouvrir les portes aux piratages informatiques. Cela devrait très rapidement induire des actions coordonnées entre tous les acteurs, de formation, information, élaboration de procédures, protocoles, contrôles, dans un encadrement juridique, réglementaire et contractuel sécurisé.

La mise en œuvre de la politique numérique, préconisée dans la stratégie nationale de santé 2017/2022, et la télémédecine, boostée dans le PLFSS 2018, devront donc intégrer ces problématiques.

[1]http://ansm.sante.fr/L-ANSM/Comites-scientifiques-specialises-temporair…
[2] Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données