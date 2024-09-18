Si les prestataires de soins de santé ont mis en place des mesures de protection techniques, administratives et physiques concernant les informations relatives aux patients, ils n’ont pas fait preuve de la même diligence pour sécuriser leurs dispositifs médicaux. Ces dispositifs sont critiques pour les soins des patients et peuvent exposer les hôpitaux à des cyberattaques, entraînant des perturbations majeures dans la prise en charge des patients.
En fait, 88 millions de personnes ont été touchées par de grandes violations, compromettant d’énormes quantités de données de santé protégées (ePHI) l’année dernière, selon le département de la Santé et des Services sociaux des États-Unis. Cette année, plusieurs grands prestataires de soins de santé ont de nouveau été touchés par des cyberattaques, notamment Change Healthcare, Kaiser Permanente et Ascension. « Synnovis, un fournisseur clé de services de laboratoire et de diagnostic à Londres, a été victime d’une attaque par ransomware provoquant de vastes perturbations », a rapporté Halcyon. L’attaque a touché plusieurs hôpitaux, dont Guy’s, St Thomas’ etKing’s College, l’hôpital pour enfants Evelina, le Royal Brompton, les hôpitaux spécialisés en maladies cardiaques et pulmonaires de Harefield ainsi que le Princess Royal Hospital à Orpington, a rapporté The Guardian.
Le nombre total d’hôpitaux dans le monde devrait atteindre 166 548 d’ici 2029, selon un rapport de Statista . Le nombre moyen de dispositifs médicaux connectés par lit d’hôpital est d’environ 10 à 15, selon le HIPAA Journal. Ces données suggèrent qu’il y aura 1,67 million de dispositifs médicaux connectés dans le monde d’ici 2029, et que de nombreux dispositifs seront fabriqués sans approche sécurisée dès la conception (secure-by-design). Selon une enquête menée par le Ponemon Institute et Proofpoint, 89 % des entreprises de santé ont subi près d’une attaque par semaine. Le risque est accru car 53 % des organisations de santé déclarent ne pas disposer d’une expertise interne pour traiter les problèmes de cybersécurité. Ces chiffres sont alarmants, compte tenu de la grande quantité d’appareils médicaux interconnectés dans les hôpitaux.
Bien que les dispositifs médicaux soient conçus pour surveiller la santé des patients, ils peuvent également constituer un point d’entrée majeur pour les pirates informatiques dans le réseau d’un hôpital. Alors que les professionnels de santé ont amélioré la sécurité des dossiers de santé électroniques (DSE), les pirates informatiques ciblent désormais les dispositifs médicaux. La sécurité des dispositifs médicaux est ainsi entrée dans une situation de type « code bleu ». Voici quelques exemples :
Dispositifs hérités : de nombreux dispositifs médicaux plus anciens encore utilisés n’ont pas été conçus en tenant compte de la cybersécurité. Ils utilisent souvent des logiciels obsolètes, ce qui rend les points d’entrée vulnérables.
Lacunes réglementaires : bien que la Food and Drug Administration (FDA) ait pris des mesures importantes pour faire respecter la réglementation des dispositifs médicaux ces dernières années, la conformité reste inégale chez les fabricants de dispositifs médicaux et les prestataires de soins.
Absence de protocoles de sécurité : de nombreux dispositifs médicaux sont conçus sans protocoles robustes, ce qui en fait des cibles faciles pour les attaquants.
Complexité : les dispositifs médicaux sont des systèmes complexes qui peuvent être difficiles à sécuriser en raison de leurs multiples composants, interfaces et options de connectivité.
Exigences d’interopérabilité : les dispositifs médicaux doivent communiquer avec d’autres systèmes, appareils et réseaux, ce qui crée des risques de sécurité.
Manque de ressources : certains fabricants de dispositifs médicaux ne disposent pas de l’expertise en cybersécurité nécessaire pour mettre en œuvre les contrôles de sécurité appropriés.
Risques liés à la chaîne d’approvisionnement : les prestataires de soins disposent souvent d’une visibilité limitée de bout en bout sur leur réseau de dispositifs médicaux et leur chaîne d’approvisionnement, ce qui limite la détection et la réponse appropriées.
Le traitement de ces vulnérabilités dans les dispositifs médicaux contribuera à améliorer considérablement la résilience des réseaux des prestataires de soins et à atténuer le risque de cyberattaques.
Voici quelques exemples de dispositifs médicaux qui sont les cibles préférées des pirates informatiques :
Il est crucial que les prestataires de soins veillent à ce que les dispositifs médicaux interconnectés à l’infrastructure de leur hôpital soient sécurisés afin de réduire les risques et de garantir la sécurité des patients.
Les professionnels de santé peuvent améliorer la sécurité des dispositifs médicaux, renforcer leur posture de cybersécurité et améliorer la qualité des soins aux patients en tirant parti de l’IA générative. Voici quelques stratégies clés :
Surveillance de la conformité : utilisez l’IA générative pour garantir le respect de la HIPAA (Health Insurance Portability and Accountability Act) et d’autres normes réglementaires.
Renseignements sur les menaces : utilisez l’IA générative pour analyser de grandes quantités de données, détecter et répondre aux menaces potentielles aux dispositifs médicaux et fournir des alertes aux professionnels de santé.
Confidentialité des données : assurez la conformité HIPAA en anonymisant les ePHI avant le traitement avec l’IA générative et en intégrant la tokenisation pour éviter la diffusion externe des informations des patients.
Formation : créez une formation à la cybersécurité pilotée par l’IA pour les professionnels de santé afin d’améliorer la sensibilisation, de minimiser les risques de sécurité et de respecter les exigences de conformité.
Gestion des correctifs : mettez en place un système de gestion des correctifs efficace, piloté par l’IA, afin de s’assurer que les vulnérabilités les plus critiques soient corrigées en premier et que les dispositifs médicaux reçoivent des mises à jour logicielles en temps voulu.
Réponse aux incidents : utilisez l’IA pour analyser les données afin d’identifier les schémas dans les attaques potentielles, fournir aux analystes des informations pour améliorer la prise de décision et réduire le temps passé à analyser les alertes.
En conclusion, le secteur des soins de santé repose sur la connectivité numérique des dispositifs médicaux. Les fabricants de dispositifs médicaux n’ont traditionnellement pas suivi d’approches de sécurité dès la conception, ce qui a introduit des risques dans l’infrastructure des réseaux hospitaliers. Les attaquants en tirent parti et exécutent avec succès des attaques par ransomware, mettant les opérations des hôpitaux à l’arrêt, ainsi que d’autres types de cyberattaques. Les professionnels de santé peuvent améliorer considérablement la sécurité des dispositifs médicaux en appliquant les bonnes pratiques de cybersécurité et en tirant parti de la puissance de l’IA générative pour améliorer la qualité des soins et, en fin de compte, la sécurité des patients.
