La société américaine Armis, éditeur d’outils de visibilité et de sécurité d’actifs, vient de publier une étude qui identifie les principaux dispositifs médicaux et IoT connectés qui sont exposés à des activités malveillantes dans les environnements cliniques. Les données ont été analysées à partir de la plateforme Armis Asset Intelligence and Security qui suit à l’heure actuelle, selon la société, plus de trois milliards d’actifs à travers le monde.
Les résultats révèlent notamment que les systèmes d'appel infirmier sont les dispositifs IoMT les plus risqués, suivis par les pompes à perfusion et les systèmes de distribution de médicaments. En ce qui concerne les appareils IoT, les caméras IP, les imprimantes et les appareils VoIP figurent en tête de liste des équipements à risque en matière de sécurité.
Selon Armis, d'ici à 2026, les hôpitaux intelligents devraient déployer plus de 7 millions d'appareils dits IoMT (Internet des objets médicaux), soit le double par rapport à 2021. Ces dispositifs connectés permettent notamment d'introduire automatiquement les données des patients issues des dispositifs de surveillance dans des dossiers médicaux électroniques. D’un côté, de telles connexions et communications au sein d'un environnement médical contribuent à améliorer les soins aux patients, mais d’un autre, ces équipements connectés sont aussi de plus en plus vulnérables aux cyberattaques, avec les conséquences qui en découlent au niveau de la qualité des soins et de la sécurité des patients.
Suite à cette étude d’envergure, Armis estime qu’aujourd’hui les systèmes d'appel infirmier sont les dispositifs médicaux connectés comportant le plus de risques, 39% d'entre eux présentant des CVE (vulnérabilités et expositions communes) non corrigées de gravité critique, et près de la moitié (48%) présentent des CVE non corrigées.
De leur côté les pompes à perfusion arrivent en deuxième position, 27% présentant des CVE non corrigées de gravité critique et 30% des CVE non corrigées.
Les systèmes de distribution de médicaments figurent en troisième position, avec pour 4% d’entre eux des CVE non corrigées de gravité critique, et 86% des CVE non corrigées.
En outre, 32% d'entre eux utilisent des versions non prises en charge de Windows. A ce niveau, Armis souligne que près d'un appareil médical connecté sur cinq (19%) utilise des versions de systèmes d'exploitation non prises en charge.
Au-delà, Armis note que plus de la moitié des caméras IP contrôlées dans des environnements cliniques présentent des CVE non corrigées de gravité critique (56%) et des CVE non corrigées (59%), ce qui en fait des appareils IoT à haut niveau de criticité.
Enfin, au sein d’un établissement de santé, Armis indique qu'il ne faut pas forcément se focaliser uniquement sur les seuls équipements médicaux. Ainsi, ressort de l’étude le fait que les imprimantes arrivent en deuxième position pour les appareils IoT les plus à risque dans les environnements cliniques, 37% ayant des CVE non corrigées et 30% des CVE non corrigées de gravité critique. Même obervation pour les dispositifs de type VoIP (Voice over IP) qui figurent en troisième position. 53% d'entre eux ont des CVE non corrigées. Toutefois, seuls 2% présentent des CVE non corrigées de gravité critique.
« Ces chiffres sont un indicateur fort des défis auxquels sont confrontés les établissements de soins dans le monde, explique Mohammad Waqas, architecte solutions pour les soins de santé chez Armis. Les progrès technologiques font que les soins font de plus en plus appel à des systèmes connectés, ce qui crée une plus grande surface d'attaque. Pour assurer la sécurité des patients, il est donc essentiel de protéger chaque type d'appareil connecté, médical, IoT, et même les systèmes de gestion des bâtiments, grâce à une visibilité totale et à une surveillance permanente et contextualisée. »
De fait, les métriques et la responsabilité sont essentielles pour comprendre comment protéger le réseau d’un hôpital, souligne Armis qui, avec sa technologie, apporte de la visibilité sur les appareils connectés en réseau, permet de créer des alertes à partir de comportements observés et applique des règles de pare-feu en fonction de ces alertes.
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC