Aujourd’hui, les états-unis Food and Drug Administration a publié ses recommandations pour combien de fabricants de dispositifs médicaux doivent assurer la sécurité des appareils connectés à internet, même après avoir entré les hôpitaux, les patients, les maisons, le patient ou le corps. Les périphériques non sécurisés peuvent permettre à des pirates d’altérer la quantité de médicaments délivrés par le dispositif pourrait avoir des conséquences mortelles.
Les recommandations sont en grande partie édentée
D’abord publié sous forme de projet, en janvier dernier, cette orientation est plus d’un an dans la fabrication. Le document de 30 pages encourage les fabricants à surveiller leurs dispositifs médicaux et les logiciels associés pour les bugs, et à corriger toute les problèmes qui se produisent. Mais les recommandations ne sont pas juridiquement contraignantes, ils sont donc en grande partie sans dents.
La FDA a mis en garde l’industrie des soins de santé pendant des années, les dispositifs médicaux sont vulnérables aux cyberattaques. C’est une préoccupation légitime: les chercheurs ont réussi à distance manipuler les dispositifs comme les défibrillateurs, stimulateurs cardiaques, et les pompes à insuline. En 2015, la FDA a averti les hôpitaux que le Hospira pompe à perfusion, ce qui libère lentement des nutriments et des médicaments dans le corps d’un patient, pourrait être utilisé et contrôlé par le réseau de l’hôpital. C’est dangereux pour les patients qui pourraient être affectées directement par les appareils modifiés pour offrir trop ou trop peu de médicaments. Il signifie aussi mal sécurisé dispositifs pourraient donner aux pirates un accès à des réseaux hospitaliers qui stockent de l’information sur le patient — une situation qui est mûr pour le vol d’identité.
“En fait, les réseaux hospitaliers expérience à d’incessantes tentatives d’intrusion et d’attaque, ce qui peut constituer une menace pour la sécurité des patients,” dit Suzanne Schwartz, la FDA directeur adjoint de la science et de partenariats stratégiques, dans un billet de blog sur les nouvelles lignes directrices. “Et comme les pirates deviennent plus sophistiqués, ces risques de cybersécurité va évoluer.”