Une série de pompes à insuline d’un fabricant ont fait l’objet d’un avertissement du FBI parce qu’elles présentent le risque d’être piratées, les conséquences pouvant aller jusqu’au décès du patient. (Photo: Shutterstock)

Une série de pompes à insuline d’un fabricant ont fait l’objet d’un avertissement du FBI parce qu’elles présentent le risque d’être piratées, les conséquences pouvant aller jusqu’au décès du patient. (Photo: Shutterstock)

Le FBI a publié cette semaine une alerte sur l’état – désastreux – des appareils connectés à vocation médicale… alors que l’Union européenne proposait une série d’exigences pour les fabricants. Un tiers des données mondiales produites chaque année sont médicales.

Il faudra le dire combien de fois? Raconter combien d’histoires? Étaler combien de fois au grand jour l’impréparation des hôpitaux aux cybermenaces ou des industriels aux tentatives de hacks de leurs objets connectés? Il faudra organiser combien de journées de la cybersécurité? Lire combien de rapports d’experts et de consultants? Existe-t-il encore quelqu’un qui ne soit pas au courant?

, d’ici 2025, le tiers des données produites chaque année seront médicales. Chaque année, la masse de données médicales augmentera de 36%, plus vite que celles de l’industrie (+6%), celles du secteur financier (+10%) ou celles des médias et du loisir (+11%). L’innovation gagnant du terrain, les objets connectés, à vocation de santé, de prévention ou de bien-être, vont largement profiter des 15.000 milliards de dollars d’investissements d’ici 2030.

Les principales fonctions des appareils connectés liés à la santé ou au bien-être.  (Source: RBC CM/In Vivo)

Les principales fonctions des appareils connectés liés à la santé ou au bien-être.  (Source: RBC CM/In Vivo)

Imaginez, près de 1.500 interactions par humain et par jour sont imaginées par les experts. Sauf que leur niveau de sécurité laisse grandement à désirer, préviennent les sociétés de cybersécurité ou des organisations comme le FBI.

, CheckPoint, le secteur de la santé a subi 830 cyberattaques par semaine en 2021, une augmentation de 71%, au point qu’il est devenu le secteur le plus ciblé par les pirates, devant le secteur public, les banques et l’industrie manufacturière.

10 à 15 objets connectés par lit d’hôpital

CheckPoint n’est pas tendre avec les objets connectés: il y en a 10 à 15 par lit et qui n’ont fait l’objet d’aucune considération de sécurité; ils fonctionnent sur des systèmes d’exploitation archaïques et jamais mis à jour; les données de santé sont les plus lucratives sur le dark web et nécessitent en moyenne 430 dollars par patient pour tenter de les protéger; et même les systèmes de gestion des hôpitaux (le smart building) ne sont pas adaptés à la nature de leurs activités.

«L’IoT est facile à hacker et difficile à patcher», affirme encore l’entreprise, qui relève qu’on peut accéder à ces objets de n’importe où, qu’ils ont des mots de passe faibles, qu’ils n’ont pas été construits avec des impératifs de sécurité, qu’ils ne sont plus opérés avec des outils modernes et qu’ils ne sont même parfois plus opérés du tout. Comprenez, ils existent et puis c’est tout. 

Si ceux qui fournissent des solutions de protection ont évidemment intérêt à créer de la peur, le FBI a lui aussi lancé un nouvel avertissement cette semaine sur ces objets qui peuvent être en circulation depuis 10 à 30 ans ou pour 10 à 30 ans… 53% de ces objets présentent jusqu’à 6,2 vulnérabilités critiques, qui peuvent aller jusqu’à la mort du patient, et 40% ne sont jamais mis à jour ou patchés. , qui semblent tout juste être du bon sens. 

Des fabricants sous pression… dans trois à quatre ans

, l’Europe a renforcé la responsabilité des fabricants et des vendeurs, car ils seront obligés de fournir une assistance en matière de sécurité et des mises à jour logicielles pour remédier aux vulnérabilités recensées, et les consommateurs pourront disposer d’informations suffisantes sur la cybersécurité des produits qu’ils achètent et utilisent.

, la Commission européenne rappelle quelques chiffres plus généraux: toutes les 11 secondes dans le monde, une organisation est victime d’une attaque par rançongiciel et on estimait, en 2021, que ; le coût annuel des violations de données est estimé à au moins 10 milliards d’euros et celui des tentatives malveillantes visant à perturber le trafic sur l’internet à au moins 65 milliards d’euros. Les amendes pourront aller jusqu’à 2,5% du chiffre d’affaires ou 15 millions d’euros.

Premier exemple avec une pompe à insuline

Preuve que cela n’est pas que philosophique, le FBI, encore lui, a lancé une nouvelle alerte, sur les pompes à insuline de MedTronic (MiniMed 600). «Il existe un problème potentiel associé au protocole de communication du système de pompe qui pourrait permettre un accès non autorisé au système de pompe. En cas d’accès non autorisé, le protocole de communication de la pompe peut être compromis, ce qui peut amener la pompe à administrer trop ou trop peu d’insuline.»

«Une trop grande quantité d’insuline peut entraîner une hypoglycémie (faible taux de sucre dans le sang) pouvant entraîner des convulsions, le coma ou la mort. Trop peu d’insuline peut entraîner une hyperglycémie (glycémie élevée) qui peut potentiellement conduire à une acidocétose diabétique», .

Articles Associés