IoT médical : quand la sécurité IoT devient un enjeu vital

This post is also available in: English (Anglais) 简体中文 (Chinois simplifié) 繁體中文 (Chinois traditionnel) Deutsch (Allemand) 日本語 (Japonais) 한국어 (Coréen) Español (Espagnol)

Medical IoT Security : le Zero Trust au service de la protection des appareils médicaux connectés

Les appareils IoT médicaux révolutionnent le secteur de la santé. Diagnostics plus rapides et plus précis, réduction des coûts opérationnels, optimisation de l’efficacité grâce à l’automatisation, amélioration de l’état de santé des patients… l’IoT médicale et opérationnelle facilite chaque aspect du parcours de soin, du suivi du patient jusqu’aux systèmes bureautiques. Le revers de la médaille ? Leur multiplication élargit la surface d’attaque des établissements de santé, au point de devenir le maillon faible des réseaux hospitaliers et la proie privilégiée des acteurs malveillants.

En effet, depuis 12 ans (2010-2022), la santé reste l’un des secteurs les plus visés par ces attaques, mais aussi celui où les compromissions coûtent en moyenne le plus cher. Si ces équipements représentent une cible si lucrative pour les acteurs malveillants, c’est non seulement parce qu’ils hébergent des dossiers médicaux électroniques à caractère hautement sensible, mais aussi parce que les vies humaines qui sont en jeu les rendent particulièrement attractifs aux yeux des gangs de ransomware.

Malgré cette importance littéralement vitale, les études de l’équipe Unit 42 de Palo Alto Networks révèlent que les appareils IoT sont criblés de vulnérabilités critiques qui affaiblissent les défenses des réseaux hospitaliers :

• 75 % des pompes à perfusion examinées lors de l’étude présentaient au minimum une vulnérabilité, ou ont déclenché au moins une alerte de sécurité.
• Les appareils d’imagerie médicale (appareils de radiologie, IRM et scanners) sont particulièrement vulnérables aux attaques : 51 % des machines à rayons X étaient exposées à une CVE (Common Vulnerabilities and Exposures) d’un niveau de sévérité élevé (CVE-2019-11687).
• 20 % des appareils d’imagerie courants fonctionnaient sous une version de Windows en fin de support.
• 44 % des scanners et 31 % des machines IRM étaient exposés à une CVE d’un niveau de sévérité élevé.

Mais la multiplication des appareils médicaux connectés et leurs vulnérabilités ne représentent que la partie émergée de l’iceberg. Protéger ces appareils est un véritable défi. En témoigne les cyberattaques récentes qui ont touché le Centre hospitalier sud-francilien de Corbeil, le système de santé américain CommonSpirit, l’établissement CHI St. Joseph Hospital dans le Kentucky, l’institut médical AIIMS-Delhi (Inde) et bien d’autres encore. En octobre 2022, aux États-Unis, la CISA (Cybersecurity and Infrastructure Security Agency) a d’ailleurs mis en garde les prestataires de santé contre les agissements d’un groupe de ransomware et d’extorsion de données ciblant tant les hôpitaux privés que publics. Son modus operandi ? La compromission de bases de données, d’appareils d’imagerie médicale et de systèmes de diagnostic.

Ces appareils médicaux, pourtant modernes, sont difficiles à sécuriser pour de multiples raisons :

• Le manque de visibilité sur les appareils IoT médicaux non gérés empêche les équipes de sécurité de cerner toute l’étendue de la surface d’attaque.
• L’absence de données contextuelles sur les appareils permet à certaines vulnérabilités de passer sous les radars et expose les hôpitaux à des menaces inconnues.
• Les architectures de sécurité d’ancienne génération, avec leurs réseaux « à plat » et leurs processus manuels sujets aux erreurs, freinent la conformité aux exigences règlementaires (par exemple, le RGPD en Europe et l’HIPAA aux États-Unis).
• La prolifération de solutions de sécurité spécialisées et non intégrées engendre de la complexité et crée des failles dans les systèmes de défense

Les établissements de santé doivent pouvoir compter sur une solution de cybersécurité Zero Trust capable d’accompagner leur transformation numérique et d’améliorer la qualité des soins aux patients, tout en garantissant la confidentialité de leurs données et la conformité aux réglementations en vigueur. L’approche Zero Trust élimine la confiance implicite en validant chaque étape d’une interaction. Le mot d’ordre : « ne jamais faire confiance, toujours vérifier ». Le Zero Trust associe des contrôles et des politiques d’accès basés sur le principe du moindre privilège, une vérification continue des niveaux de confiance et le suivi du comportement des appareils médicaux pour protéger les environnements numériques des établissements de santé contre les menaces en général et les attaques zero-day en particulier.

Palo Alto Networks vous offre la solution de sécurité Zero Trust la plus rapide et la plus complète du marché. Vous pouvez ainsi vous concentrer sur l’essentiel : le bien-être de vos patients.

Palo Alto Networks s’est appuyé sur sa technologie de sécurité IoT éprouvée, couplée à l’efficacité de son approche Zero Trust, pour créer Medical IoT Security, une solution conçue spécifiquement pour la protection des appareils médicaux. Grâce à la puissance du machine learning (ML), Medical IoT Security permet aux prestataires de santé d’identifier et d’évaluer rapidement chaque appareil, puis de segmenter leur réseau en toute simplicité pour mieux appliquer le principe du moindre privilège. Le but ? Protéger leur environnement contre les menaces connues et inconnues tout en réduisant la complexité. Mais ce n’est pas tout. La solution Palo Alto Networks leur offre également bien d’autres avantages pour renforcer leurs défenses et corriger leurs vulnérabilités :

• Vérification de la segmentation réseau – Medical IoT Security établit la cartographie complète des appareils connectés pour vérifier que chaque équipement se situe dans le segment approprié. Une segmentation réseau bien construite permet de s’assurer que les appareils communiquent uniquement avec les systèmes autorisés.
• Sécurité automatisée des appareils – Les politiques créées permettent d’identifier tout comportement inhabituel au niveau des appareils et de déclencher automatiquement les mécanismes de réponse appropriés. Par exemple, si un appareil médical transmettant habituellement de faibles volumes de données pendant la nuit se met à consommer énormément de bande passante, la règle prédéfinie coupe automatiquement son accès à Internet et alerte les équipes de sécurité.
• Automatisation des politiques et de l’application du Zero Trust – Appliquez en un clic des politiques d’accès basées sur le principe de moindre privilège à tous les appareils équipés des technologies compatibles. Plus besoin de créer manuellement un nombre incalculable de règles. Medical IoT Security déploie automatiquement vos politiques à tous les équipements présentant le même profil, réduisant par là même le risque d’erreur.
• Visibilité sur les vulnérabilités et la posture de risque des appareils – La solution Palo Alto Networks transmet immédiatement de précieuses informations sur la posture de sécurité de chaque appareil : fin de vie utile, notification de rappel de produit par la FDA, alerte en cas d’utilisation du mot de passe par défaut, communication non autorisée avec un site Internet, MDS2, CVE, comportements inhabituels, recherche sur les menaces d’Unit 42, etc. Medical IoT Security permet d’accéder à la nomenclature (SBOM) de chaque appareil médical pour établir un parallèle avec les CVE les plus récentes. Il s’agit ici d’identifier les bibliothèques logicielles utilisées, ainsi que les éventuelles vulnérabilités associées.
• Renforcement de la conformité – Obtenez en quelques clics des informations sur les vulnérabilités des appareils médicaux, l’état des correctifs et les paramètres de sécurité, assorties de recommandations de mise en conformité aux règles et directives applicables, comme le RGPD (Règlement général sur la protection des données) en Europe, la loi HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis ou tout autre texte équivalent.
• Simplification des opérations – Les équipes IT et les ingénieurs biomédicaux accèdent à toutes les données dont ils ont besoin sur deux consoles distinctes. Quant à l’intégration aux systèmes de gestion des informations de santé (AIMS, Epic Systems, etc.), elle facilite l’automatisation des workflows.
• Conformité aux exigences de résidence des données – L’hébergement de Medical IoT Security sur un cloud local facilite le déploiement de la sécurité IoT pour nos clients aux États-Unis, en Allemagne, à Singapour, au Japon et en Australie. Nos services Medical IoT Security régionaux garantissent le respect des exigences locales en matière de résidence et de localisation des données, notamment celles prévues par le RGPD.

Des recommandations actionnables

Le nombre d’appareils médicaux connectés ne cesse de croître pour accompagner la transformation du secteur vers des expériences patients de meilleure qualité. Basé sur un framework Zero Trust robuste, Medical IoT Security permet aux établissements de santé d’exploiter l’intelligence de ces appareils en toute sécurité grâce à des recommandations actionnables tout au long de leur cycle de vie. Visibilité, action, gestion des risques… les acteurs de la santé ont toutes les cartes en main pour déployer le Zero Trust sur l’ensemble de leurs applications et équipements IoT médicaux.

Pour en savoir plus sur Medical IoT Security, lisez notre livre blanc intitulé "The Right Approach to Zero Trust for Medical IoT Devices".