Plus de la moitié des appareils connectés à Internet utilisés dans les hôpitaux présentent une vulnérabilité qui pourrait mettre en danger la sécurité des patients, les données confidentielles ou la convivialité d'un appareil, selon un nouveau rapport de la société de cybersécurité des soins de santé Cynerio .
Le rapport a analysé les données de plus de 10 millions d'appareils dans plus de 300 hôpitaux et établissements de santé dans le monde, que l'entreprise a recueillies via des connecteurs connectés aux appareils dans le cadre de sa plate-forme de sécurité.
Le type d'appareil connecté à Internet le plus courant dans les hôpitaux était une pompe à perfusion. Ces appareils peuvent se connecter à distance aux dossiers médicaux électroniques, extraire le dosage correct d'un médicament ou d'un autre liquide et le distribuer au patient. Les pompes à perfusion étaient également les appareils les plus susceptibles de présenter des vulnérabilités pouvant être exploitées par des pirates, selon le rapport – 73% avaient une vulnérabilité. Les experts craignent que le piratage d'appareils comme ceux-ci, qui sont directement connectés aux patients, ne soit utilisé pour blesser ou menacer de blesser directement des personnes. Quelqu'un pourrait théoriquement accéder à ces systèmes et modifier la posologie d'un médicament, par exemple.
Les autres appareils connectés à Internet courants sont les moniteurs de patient, qui peuvent suivre des éléments tels que la fréquence cardiaque et la fréquence respiratoire, ainsi que les ultrasons. Ces deux types d'appareils figuraient dans la liste des 10 premiers en termes de nombre de vulnérabilités.
Les organisations de soins de santé sont désormais une cible majeure pour les pirates, et bien qu'une attaque directe contre les dispositifs médicaux connectés à Internet ne semble pas encore s'être produite, les experts pensent que c'est une possibilité. La menace la plus active provient de groupes qui pénètrent dans les systèmes hospitaliers via un appareil vulnérable et verrouillent les réseaux numériques de l'hôpital – empêchant les médecins et les infirmières d'accéder aux dossiers médicaux, aux appareils et autres outils numériques – et exigent une rançon pour les déverrouiller. Ces attaques se sont intensifiées au cours des dernières années et ralentissent les fonctions hospitalières au point de blesser les patients.
Le rapport de Cynerio note que la plupart des vulnérabilités des dispositifs médicaux sont facilement réparables : elles sont dues à des mots de passe faibles ou par défaut ou à un avis de rappel auquel l'organisation n'a pas donné suite. De nombreux organismes de santé n'ont tout simplement pas les ressources ou le personnel nécessaires pour maintenir les systèmes à jour et peuvent ne pas savoir s'il existe une mise à jour ou une alerte concernant l'un de leurs appareils.
Mais des rapports comme celui-ci, combinés à la fréquence croissante des attaques de ransomwares, poussent davantage d'organisations de soins de santé à investir dans la cybersécurité, selon les experts. “Je pense que cela atteint un niveau de criticité qui attire l'attention des PDG et des conseils d'administration”, a déclaré Ed Gaudet, PDG et fondateur de la société de cybersécurité Censinet, à The Verge cet automne.