• IDS213 - Outiller l'ingénieur biomédical dans la prévention des cyberattaques

    Avertissement

    Les projets ou stages publiés auxquels vous accédez sont des rapports d'étudiants et doivent être pris comme tels. Il peuvent donc comporter des imperfections ou des imprécisions que tout lecteur doit admettre et donc supporter. Il ont été réalisés pendant les périodes de formation et constituent avant-tout des travaux de compilation bibliographique, d'initiation et d'analyse sur des thématiques associées aux concepts, méthodes, outils et expériences sur les démarches qualité dans les organisations ou sur les technologies en santé.

    Si, malgré nos précautions, vous avez des raisons de contester ce droit de diffusion libre, , nous nous efforcerons d'y apporter une réponse rapide. L'objectif de la présentation des travaux sur le web est de permettre l'accès à l'information et d'augmenter ainsi la qualité des échanges professionnels.

    Nous ne faisons aucun usage commercial des travaux de projet ou de stage publiés, par conséquent les citations des informations et l'emploi des outils mis à disposition sont totalement libres. Dans ce cas, nous vous demandons de respecter les règles d'éthique en citant explicitement et complètement vos sources bibliographiques.

    Bonne lecture...

    Auteurs

    Contacts

    Citation

    A rap­pe­ler pour tout usage : M. BOSSARD, B. BARBIER, M. DURAND, T. ROBIN, « Outiller l'ingénieur bio­mé­di­cal dans la pré­ven­tion des cybe­rat­taques », Uni­ver­si­té de Tech­no­lo­gie de Com­piègne (France), Mas­ter Ingé­nie­rie de la San­té, Mémoire de Pro­jet, jan­vier 2024, https://travaux.master.utc.fr/, réf n° IDS213, https://travaux.master.utc.fr/formations-master/ingenierie-de-la-sante/ids213/, https://doi.org/10.34746/ids213

    Remerciements

    La concré­ti­sa­tion de ce pro­jet a été pos­sible grâce à la col­la­bo­ra­tion et à l'engagement d'un groupe de contri­bu­teurs qui ont géné­reu­se­ment appor­té leur sou­tien. Nous expri­mons notre pro­fonde gra­ti­tude envers tous ceux qui ont par­ti­ci­pé à la réa­li­sa­tion de ce pro­jet et notam­ment les dif­fé­rents pro­fes­sion­nels qui ont accep­té de faire des entretiens.

    Nous tenons éga­le­ment à remer­cier l’ensemble de l’équipe péda­go­gique du Mas­ter Ingé­nie­rie de la San­té de l’Université de Tech­no­lo­gie de Compiègne.

    Nous remer­cions notre tutrice de pro­jet Madame Julie Fol­let, pour l’ensemble de ses retours sur nos pro­duc­tions, ses conseils et son accom­pa­gne­ment. Nous remer­cions éga­le­ment les res­pon­sables du Mas­ter, Madame Isa­belle Claude, et Mon­sieur Jean-Mat­thieu Prot, pour leur atten­tion par­ti­cu­lière ain­si que pour leurs recommandations. 

    Enfin, nous expri­mons notre sin­cère gra­ti­tude à l'ensemble des ingé­nieurs et tech­ni­ciens bio­mé­di­caux qui ont pris de leur temps pour nous aider à éla­bo­rer ce pro­jet ain­si que pour leurs retours construc­tifs sur nos productions.

    Résumé

    La numé­ri­sa­tion crois­sante des sys­tèmes d’information dans les ser­vices de soins des éta­blis­se­ments de san­té, a ouvert de nou­velles voies pour l'amélioration des soins. Cepen­dant, cette avan­cée tech­no­lo­gique s'accompagne d'un défi majeur à savoir la cyber­sé­cu­ri­té au sein de ces der­niers. La pro­tec­tion des don­nées médi­cales sen­sibles, la pré­ser­va­tion de l'intégrité des sys­tèmes infor­ma­tiques, et la garan­tie du bon fonc­tion­ne­ment des équi­pe­ments bio­mé­di­caux sont des impé­ra­tifs cru­ciaux. Face à l’émergence des risques cyber, il est néces­saire d'outiller les ingé­nieurs bio­mé­di­caux dans la pré­ven­tion des cyberattaques. 

    En s'appuyant sur les ensei­gne­ments de la publi­ca­tion “Sécu­ri­té Numé­rique des équi­pe­ments bio­mé­di­caux" de l'Association Fran­çaise des Ingé­nieurs Bio­mé­di­caux (AFIB), quatre outils ont été éla­bo­rés pour favo­ri­ser l’intégration de la sécu­ri­té numé­rique dans les pro­cé­dures d'achat, défi­nir les moda­li­tés de col­la­bo­ra­tion au sein des éta­blis­se­ments de san­té, assu­rer la sécu­ri­té autour des équi­pe­ments bio­mé­di­caux et éva­luer la cri­ti­ci­té de ces équipements.

    Ces outils ont fait l’objet de tests auprès d’ingénieurs bio­mé­di­caux pour véri­fier leur adé­qua­tion aux besoins de la com­mu­nau­té bio­mé­di­cale et déga­ger des pers­pec­tives d’évolution.

    Abstract

    The increa­sing digi­ti­za­tion of infor­ma­tion sys­tems in heal­th­care ins­ti­tu­tions' care ser­vices has ope­ned new ave­nues for impro­ving patient care. Howe­ver, this tech­no­lo­gi­cal advan­ce­ment comes with a major chal­lenge, name­ly cyber­se­cu­ri­ty within these ins­ti­tu­tions. Safe­guar­ding sen­si­tive medi­cal data, pre­ser­ving the inte­gri­ty of com­pu­ter sys­tems, and ensu­ring the pro­per func­tio­ning of bio­me­di­cal equip­ment are cru­cial impe­ra­tives. Due to emer­ging cyber risks, it is neces­sa­ry to equip bio­me­di­cal engi­neers with tools for pre­ven­ting cyber-attacks.

    Dra­wing on the insights from the publi­ca­tion "Digi­tal Secu­ri­ty of Bio­me­di­cal Equip­ment" by the French Asso­cia­tion of Bio­me­di­cal Engi­neers (AFIB), four tools have been deve­lo­ped to pro­mote the inte­gra­tion of digi­tal secu­ri­ty into pur­cha­sing pro­ce­dures, define col­la­bo­ra­tion moda­li­ties within heal­th­care ins­ti­tu­tions, ensure secu­ri­ty around bio­me­di­cal equip­ment, and assess the cri­ti­ca­li­ty of these devices.

    These tools have under­gone tes­ting with bio­me­di­cal engi­neers to veri­fy their sui­ta­bi­li­ty for the bio­me­di­cal community's needs and to iden­ti­fy poten­tial areas for improvement.

    Téléchargements

    IDS213 - Mémoire d'Intelligence Méthodologique
    IDS213 - Mémoire d'Intelligence Méthodologique
    IDS213 - Poster
    IDS213 - Poster
    IDS213 - Outil 1 - Introduire la sécurité numérique dans les procédures d’acquisition
    IDS213 - Outil 1 - Intro­duire la sécu­ri­té numé­rique dans les pro­cé­dures d’acquisition
    IDS213 - Outil 2 - Analyse des risques de cybersécurité pour les dispositifs médicaux
    IDS213 - Outil 2 - Ana­lyse des risques de cyber­sé­cu­ri­té pour les dis­po­si­tifs médicaux
    IDS213 - Outil 3 - Affiche : La cybersécurité et les dispositifs médicaux
    IDS213 - Outil 3 - Affiche : La cyber­sé­cu­ri­té et les dis­po­si­tifs médicaux
    IDS213 - Outil 4 - Vidéo de sensibilisation à la cybersécurité à l'hôpital
    IDS213 - Outil 4 - Vidéo de sen­si­bi­li­sa­tion à la cyber­sé­cu­ri­té à l'hôpital
    IDS213 - Outil 5 - Vidéo récapitulative des outils
    IDS213 - Outil 5 - Vidéo réca­pi­tu­la­tive des outils

    "OUTILLER L'INGÉNIEUR BIOMÉDICAL DANS LA PRÉVENTION DES CYBERATTAQUES"

    Introduction

    À l'ère de la numé­ri­sa­tion crois­sante des sys­tèmes de san­té et plus par­ti­cu­liè­re­ment dans les éta­blis­se­ments de san­té, les ingé­nieurs bio­mé­di­caux sont confron­tés à un défi majeur : Sécu­ri­ser les équi­pe­ments bio­mé­di­caux contre les menaces crois­santes de cybe­rat­taques. En effet, les cybe­rat­taques sont clas­sées au 5e rang des risques les plus impor­tants en 2020 et ces der­nières ont encore aug­men­té depuis la pan­dé­mie du COVID-19 attei­gnant 730 inci­dents décla­rés en 2022 contre 327 en 2018 [10]. L'impact de ces attaques va au-delà de la sphère tech­no­lo­gique (atteintes du Sys­tème Infor­ma­tique Hos­pi­ta­lier, des Dis­po­si­tifs Médi­caux - DM, des don­nées médi­cales d’un patient…) en affec­tant direc­te­ment les mis­sions des ser­vices bio­mé­di­caux (main­te­nance pré­ven­tive et cura­tive des DM, uti­li­sa­tion de la Ges­tion de la Main­te­nance Assis­tée par Ordi­na­teur - GMAO,…). Ce mémoire explore l'impact des cybe­rat­taques sur le métier d'ingénieur bio­mé­di­cal, en met­tant en lumière le contexte glo­bal de la cyber­sé­cu­ri­té en France, l’état des lieux des menaces cyber ciblant les éta­blis­se­ments de san­té, les consé­quences finan­cières de ces cybe­rat­taques et la prise en charge com­plexe des patients.

    Face à l'émergence des risques liés à la cyber­sé­cu­ri­té dans le domaine de la san­té, il devient impé­ra­tif de doter les ingé­nieurs bio­mé­di­caux d'outils effi­caces pour pré­ve­nir les cybe­rat­taques. En réponse à ces défis, l'AFIB a déve­lop­pé des tra­vaux dans la publi­ca­tion “Sécu­ri­té Numé­rique des équi­pe­ments bio­mé­di­caux”. Ce mémoire exa­mine le rôle cru­cial de ces tra­vaux dans l'élaboration de recom­man­da­tions et d’outils visant à armer l'ingénieur bio­mé­di­cal dans la pré­ven­tion de cybe­rat­taques. L’accent est mis sur  l'intégration de la sécu­ri­té numé­rique dans les pro­cé­dures d'achat, la défi­ni­tion de la col­la­bo­ra­tion au sein des éta­blis­se­ments de san­té, la garan­tie de la sécu­ri­té entou­rant les équi­pe­ments bio­mé­di­caux, et l'évaluation de la cri­ti­ci­té de ces équipements.

    Enfin, ce mémoire se penche sur l'évaluation pra­tique des outils de cyber­sé­cu­ri­té créés pour les ingé­nieurs bio­mé­di­caux et mis en place en sui­vant leurs recom­man­da­tions. En ana­ly­sant les retours ter­rain et en réa­li­sant une éva­lua­tion appro­fon­die des pra­tiques du ser­vice bio­mé­di­cal, il met en évi­dence les impli­ca­tions concrètes de ces outils, iden­ti­fiant leurs avan­tages tout en sou­li­gnant leurs éven­tuelles limi­ta­tions. Cet ensemble de tra­vaux vise à gui­der les ingé­nieurs bio­mé­di­caux vers une inté­gra­tion effi­cace de la sécu­ri­té numé­rique, tout en envi­sa­geant des amé­lio­ra­tions futures pour ren­for­cer la rési­lience des sys­tèmes de san­té face aux cybermenaces.

    I. Impacts des cyberattaques sur le métier d’ingénieur biomédical

    I.1. Contexte global de la cybersécurité en France

    Selon l'Agence Natio­nale de la Sécu­ri­té des Sys­tèmes d'information (ANSSI) qui est l’agence en France char­gée de la veille, de l'alerte et de la réac­tion aux attaques infor­ma­tiques, une cybe­rat­taque peut être défi­nie comme une “ten­ta­tive d’atteinte à des sys­tèmes d’information réa­li­sée dans un but mal­veillant. Elle peut avoir pour objec­tif de voler des don­nées (secrets mili­taires, diplo­ma­tiques ou indus­triels, don­nées per­son­nelles ban­caires), de détruire, endom­ma­ger ou alté­rer le fonc­tion­ne­ment nor­mal de sys­tèmes d’information (dont les sys­tèmes indus­triels)” [11]. Les cybe­rat­taques sont per­pé­trées par dif­fé­rents types d’acteurs (Figure 1) qui visent majo­ri­tai­re­ment 3 types de cibles. Tout d’abord les ordi­na­teurs et ser­veurs iso­lés ou en réseau reliés ou non à inter­net, ensuite les équi­pe­ments péri­phé­riques, et enfin les appa­reils com­mu­ni­cants comme les tablettes notam­ment [11].

    Figure 1 : Répartition des auteurs des cyberattaques (Source : [11]) (le glossaire peut être consulté pour plus d'informations)

    Il existe 4 types de risques cyber que sont le pira­tage, l’atteinte à l’image, l’espionnage et le sabo­tage [11]. Le top 15 des menaces les plus obser­vées ces der­nières années ain­si que leur ten­dance crois­sante ou décrois­sante est pré­sen­té en figure 2.

    Figure 2 : Top 15 des cybermenaces avec leurs tendances au cours des dernières années (Source : [12])

    D’après l’ANSSI, les cybe­rat­taques ont connu une aug­men­ta­tion spec­ta­cu­laire, avec une crois­sance de 600 % depuis la pan­dé­mie du COVID-19, fin 2019, sur tous les sec­teurs d’activités en France [12]. Cette hausse signi­fi­ca­tive s'explique en grande par­tie par l'adoption géné­ra­li­sée du télé­tra­vail, qui a expo­sé de nom­breuses entre­prises à un risque accru d'attaques. En effet, cette pra­tique a élar­gi la sur­face d’attaque à tra­vers l’utilisation de connexions inter­net non sécu­ri­sées et a accru la com­plexi­té de la ges­tion de la sécurité. 

    En 2021, à tra­vers la pla­te­forme cybermalveillance.gouv.fr, un total de 173 000 demandes d'aide de vic­times de cybe­rat­taques ont été recueillies, ce qui repré­sente une aug­men­ta­tion de 65 % par rap­port à l'année 2020 [13]. Ce nombre de demandes d’assistance a grim­pé à près de 280 000 en 2022 [14]. Entre 2021 et 2022 la fré­quen­ta­tion de la pla­te­forme a aug­men­tée de 55% pour atteindre plus de 8.3 mil­lions de vues en 5 ans. 

    Les don­nées four­nies par la pla­te­forme cybermalveillance.gouv.fr sont par­ti­cu­liè­re­ment inté­res­santes car sa mis­sion prin­ci­pale est le sou­tien aux indi­vi­dus, aux entre­prises, aux asso­cia­tions, aux col­lec­ti­vi­tés et aux admi­nis­tra­tions qui sont vic­times de cyber mal­veillance, ain­si que la dif­fu­sion d'informations sur les risques numé­riques et les méthodes pour s'en pré­mu­nir. Des chiffres par­ti­cu­liè­re­ment infor­ma­tifs ont été publiés dans le rap­port annuel de 2021 de cybermalveillance.gouv.fr (Figure 3 et 4). Pour les pro­fes­sion­nels, les ran­som­wares ou ran­çon­gi­ciels demeurent la prin­ci­pale cause de pré­oc­cu­pa­tion, repré­sen­tant envi­ron 22 % des demandes d'aide [15].

    Figure 3 : Top 5 des demandes d'assistance d'après les demandes faites sur la plateforme cybermalveillance.gouv.fr (Source : [16])
    Figure 4 : Les grandes menaces de la cybersécurité en 2021 (Source : [16])

    En 2022, l’hameçonnage est pas­sé à la pre­mière place de chaque caté­go­rie de publics avec une aug­men­ta­tion de 54% des recherches d’informations et d’assistance (Figure 5 et Figure 6) [17].

    Figure 5 : Tendances des menaces cyber en 2022 d'après les données recueillies sur la plateforme cybermalveillance.gouv.fr (Auteurs d'après [17])
    Figure 6 : Les grandes menaces de la cybersécurité en 2022 (Source : [17])

    En France, le baro­mètre du Club des Experts de la Sécu­ri­té de l'information et du Numé­rique (CESIN) révèle que la moi­tié des entre­prises fran­çaises ont été vic­times d'une cybe­rat­taque en 2021. Ces attaques ont un coût non négli­geable et crois­sant au fil des années pour les orga­nismes car selon IBM Secu­ri­ty, le coût total moyen d'une vio­la­tion de don­nées s'élève à envi­ron 3,84 mil­lions d'euros en 2023 en France, com­pa­ra­ti­ve­ment à 3,6 mil­lions d'euros en 2020 [18]. De plus, il est esti­mé que d'ici 2025, la cyber­cri­mi­na­li­té coû­te­ra aux entre­prises du monde entier envi­ron 10 500 mil­liards de dol­lars par an [19].

    En 2022, selon l’ANSSI les prin­ci­paux sec­teurs tou­chés par les attaques de ran­som­ware en France étaient les petites et moyennes entre­prises (Très Petite Entre­prises TPE, Petite ou Moyenne Entre­prise PME, Entre­prise de Taille Inter­mé­diaire ETI), sui­vis des col­lec­ti­vi­tés ter­ri­to­riales et des éta­blis­se­ments publics de san­té (Figure 7) [12]. Les sec­teurs sont ciblés pour plu­sieurs rai­sons tels que la dépen­dance à l’automatisation et au numé­rique, le retard en matière de pré­ven­tion du risque cyber et une insuf­fi­sance dans les pro­cé­dures de reprise d’activité.

    Figure 7 : Répartition des types de victimes de compromissions par ransomwares en 2021 et 2022 (Source : [20])

    Ces attaques ont des consé­quences impor­tantes notam­ment sur la dif­fu­sion d’informations confi­den­tielles qui ali­mentent les mar­chés paral­lèles. En effet, une étude menée par Sekoia.io (socié­té euro­péenne spé­cia­li­sée en cyber­sé­cu­ri­té) au cours du second semestre 2021 révèle que plus de 1000 listes d'accès ont été mises en vente par des hackers uti­li­sant la méthode du ran­çon­gi­ciel. Les prix de ces don­nées varient en fonc­tion de leur nature, par exemple, les don­nées médi­cales d'une per­sonne se négo­cient à 200 $, tan­dis qu'une carte ban­caire peut être ven­due pour seule­ment 1 $ car le numé­ro n’aura plus de valeur lorsque l’usurpation aura été décou­verte. Selon le sec­teur d'activité, la taille de l'entreprise et les pri­vi­lèges d'accès asso­ciés, les prix de revente aux enchères peuvent oscil­ler entre 100 et 100 000 dol­lars par accès. Les cybe­rat­taques ont donc un inté­rêt finan­cier impor­tant, ce qui explique l'augmentation des menaces cyber dans le monde entier [12].

    Les acteurs mal­veillants amé­liorent constam­ment leurs tech­niques à des fins de gains finan­ciers, d’espionnage et de désta­bi­li­sa­tion notam­ment en pas­sant par les équi­pe­ments péri­phé­riques qui offrent un accès plus fur­tif et per­sis­tant aux réseaux des cibles. D’après l’ANSSI, les usages numé­riques non maî­tri­sés et les fai­blesses consta­tées dans la sécu­ri­sa­tion des don­nées conti­nuent d’offrir de nom­breuses oppor­tu­ni­tés d’actions mal­veillantes. Pour se pré­mu­nir des menaces les plus cou­rantes, l’agence pré­co­nise notam­ment l’application d’une poli­tique de mise à jour accrue, une sen­si­bi­li­sa­tion régu­lière de tous les uti­li­sa­teurs et le déve­lop­pe­ment de capa­ci­tés de détec­tion et de trai­te­ment d’incidents [13].

    I.2. Les cyberattaques au sein des établissements de santé français

    I.2.1. Établissements visés

    Le nombre d'incidents de sécu­ri­té infor­ma­tique ciblant les éta­blis­se­ments de san­té a connu une pro­gres­sion constante, avec près de 730 attaques signa­lées en France en 2021 ce qui équi­vaut à 2 attaques par jour en moyenne en 2021. En 2022, le Com­pu­ter Emer­gen­cy Res­ponse Team (CERT) San­té a enre­gis­tré 588 décla­ra­tions d'incidents de cyber­sé­cu­ri­té dans les éta­blis­se­ments de san­té fran­çais, mais le même pour­cen­tage de décla­ra­tions d’origine mal­veillante (envi­ron 50%). 27 inci­dents étaient liés à une attaque par ran­som­ware en 2022, contre 59 en 2021 [21]

    Les hôpi­taux publics se dis­tinguent net­te­ment par une sur­re­pré­sen­ta­tion par rap­port aux éta­blis­se­ments pri­vés (Figure 8). De plus, le CERT remarque que la pro­por­tion des éta­blis­se­ments pri­vés à but lucra­tif ayant signa­lé des inci­dents a été réduite d'un peu plus de la moi­tié en 2021.

    Figure 8 : Part des signalements comparés à la part des établissements selon leur raison social en 2021 (Source : [15])

    I.2.2. Attaques ciblant les systèmes d’information

    Le risque majeur pour les éta­blis­se­ments de san­té en France est celui du ran­çon­nage, aus­si bien en fré­quence qu’en volume puisque ce type d’attaque est pas­sé du 6ème au 1er rang entre 2019 et 2020 [12]. Le ran­çon­nage se carac­té­rise par le chif­fre­ment et l'inaccessibilité des don­nées ce qui désor­ga­nise l’activité et la prise en charge des patients, allant même jusqu’à para­ly­ser les ser­vices et à la perte de don­nées sen­sibles. Dans le pire cas, ces cybe­rat­taques peuvent conduire à la mort du patient. 

    Le ran­çon­nage se pra­tique de plu­sieurs façons et notam­ment par hame­çon­nage (en anglais phi­shing), le recours à un iden­ti­fiant volé lors de pré­cé­dentes intru­sions ou com­por­te­ments inadap­tés, et enfin par l’exploitation de failles de sécu­ri­té sou­vent liées à un sys­tème d’exploitation obso­lète. Toutes les don­nées col­lec­tées peuvent être com­mer­cia­li­sées sur les mar­chés paral­lèles car les don­nées de san­té ont une valeur mer­can­tile très attrac­tive. Ain­si, près de 80 % des attaques étaient moti­vées par des gains finan­ciers en 2022 [18].

    I.2.3. Attaques ciblant les Dispositifs Médicaux exploités

    L’essor des solu­tions de san­té numé­rique per­met le par­tage de don­nées, la sur­veillance, la pré­vi­sion des risques, ou encore la ges­tion des dis­po­si­tifs et donc le déve­lop­pe­ment de la télé­mé­de­cine ou des pla­te­formes de sui­vi des patients. Cepen­dant, les risques asso­ciés ne sont pas com­plè­te­ment maî­tri­sés, ni par les fabri­cants des DM, ni par leurs uti­li­sa­teurs, ouvrant de nou­velles portes à la cybercriminalité.

    En effet, les fabri­cants peinent encore à pos­sé­der une exper­tise solide en matière de sécu­ri­té infor­ma­tique. Le nombre tou­jours plus impor­tant de DM com­bi­nés le plus sou­vent avec des manques en termes de sécu­ri­té font des hôpi­taux une cible pri­vi­lé­giée pour les cybe­rat­taques. En effet, en 2020, il y avait envi­ron 6 mil­liards d’objets connec­tés dans le monde contre plu­sieurs cen­taines de mil­lions d’ordinateurs [23]. L'Agence de l'Union euro­péenne pour la cyber­sé­cu­ri­té (ENISA) en col­la­bo­ra­tion avec Juni­per Research pré­voit que d'ici 2026, les orga­ni­sa­tions de san­té dans leur ensemble auront déployé plus de 7 mil­lions d'appareils médi­caux connec­tés dans le monde, soit le double par rap­port à 2021 Au niveau hos­pi­ta­lier, cela équi­vaut à une moyenne de plus de 3 850 dis­po­si­tifs par éta­blis­se­ment. Ce chiffre repré­sente une crois­sance totale de 131% par rap­port à 2021 [24]. Étant don­né que la puis­sance d’une cybe­rat­taque dépend du nombre de péri­phé­riques pira­tés, il est aisé de com­prendre l’intérêt des pirates de réa­li­ser des cybe­rat­taques via ces DM connec­tés mal sécu­ri­sés. Ce pira­tage des DM est notam­ment ren­du pos­sible par le fait que les fabri­cants ont besoin d’avoir un accès à dis­tance pour inter­ve­nir sur leur appa­reil rapi­de­ment, ris­quant de per­mettre aux hackers de s’infiltrer à leur place [23]. Pen­dant très long­temps Team Vie­wer était uti­li­sé mais est main­te­nant ban­ni de la plu­part des éta­blis­se­ments du fait de ses nom­breux risques en matière de sécu­ri­té. La sur­veillance des DM et des réseaux à l'hôpital consti­tue une tâche com­plexe pour les ser­vices infor­ma­tiques et bio­mé­di­caux. La ges­tion de ce défi est ren­due dif­fi­cile en rai­son du volume impor­tant de DM et de la néces­si­té de main­te­nir une connec­ti­vi­té avec des réseaux externes pour des acti­vi­tés telles que la télé­main­te­nance et les mises à jour.

    I.2.4. Vulnérabilité des établissements face aux cyberattaques

    La crois­sance de la fré­quence et du nombre de cybe­rat­taques tou­chant les éta­blis­se­ments de san­té, quelle que soit leur loca­li­sa­tion s’explique par leurs vul­né­ra­bi­li­tés (manque de mise à jour, failles des sys­tèmes d’exploitation et com­por­te­ments humains à risque... Figure 9). Ain­si, en dépit des idées répan­dues, les hôpi­taux ne sont pas direc­te­ment visés par les cyber-atta­quants qui par oppor­tu­nisme exploitent une faille de sécu­ri­té rési­duelle du sys­tème infor­ma­tique. Il y a cepen­dant un réel inté­rêt, lorsque l’opportunité se pré­sente, pour le carac­tère sen­sible et la valeur mar­chande des don­nées trai­tées par le sys­tème infor­ma­tique hos­pi­ta­lier (SIH) [12].

    Figure 9 : Les principales vulnérabilités d'une structure de santé (Source : [25])

    L'émergence des risques cyber dans le sec­teur de la san­té s’explique éga­le­ment par le manque de prise de conscience de la part des soi­gnants, sub­mer­gés de tra­vail et insuf­fi­sam­ment sen­si­bi­li­sés aux dif­fé­rents risques cyber. Par exemple, les soi­gnants ne sont pas for­cé­ment au fait que les don­nées médi­cales ont une valeur mar­chande très éle­vée sur le Dark Web car leur déten­tion per­met de deman­der des ran­çons, se faire pres­crire des médi­ca­ments ou usur­per une iden­ti­té [23]. Ces don­nées peuvent éga­le­ment être trans­mises aux com­pa­gnies d’assurances ce qui est très pro­blé­ma­tique pour le patient.

    I.2.5. Conséquences sur les établissements de santé

    Les consé­quences des cybe­rat­taques sur les éta­blis­se­ments de san­té sont signi­fi­ca­tives, puisqu’elles ne se tra­duisent pas seule­ment par des pertes finan­cières, mais aus­si par une dété­rio­ra­tion de la prise en charge des patients et une perte d’intégrité de leurs infor­ma­tions médi­cales (Figure 10).

    Figure 10 : Les principaux risques et impacts de la cybersécurité en santé (Source : [25])

    I.3. Impacts financiers

    En 2021, l'hôpital de Dax a été dans l’obligation de dépro­gram­mer des opé­ra­tions et d'orienter les patients vers d’autres éta­blis­se­ments. En plus de la perte de chiffre d'affaires pour l'hôpital, les cyber-atta­quants peuvent deman­der des ran­çons en échange d’un déblo­cage du sys­tème d’information. En France, il est deman­dé de ne pas céder au chan­tage mais dans d’autres pays comme aux Etats-Unis,il n’est pas rare que les éta­blis­se­ments acceptent de payer pour déblo­quer leur système. 

    La recons­truc­tion de l’environnement numé­rique est éga­le­ment coû­teuse car elle peut prendre plu­sieurs semaines à plu­sieurs mois. Les coûts sont donc liés aux res­sources humaines mobi­li­sées pen­dant la ges­tion de la crise, de nom­breux employés doivent faire des heures sup­plé­men­taires pour par­ti­ci­per à l’effort de crise, et à la com­mande de pres­ta­tion infor­ma­tiques pour accé­lé­rer la remé­dia­tion. Dans le cas de l’attaque du centre hos­pi­ta­lier d’Albertville Mou­tiers en décembre 2020, l’impact finan­cier est esti­mé à 1.5 M€ [11].

    En 2019, le CH d’Issoudun dans l’Indre a dû débour­ser plus de 40 000 euros pour se doter d’un nou­veau pare-feu après avoir refu­sé de payer la ran­çon asso­ciée au virus Anti­re­cu­va ANDB [12].

    Ce bilan peut s’alourdir dans le cas de sanc­tions finan­cières pro­non­cées par la Com­mis­sion natio­nale de l'informatique et des liber­tés (CNIL) en cas de non-res­pect du Règle­ment Géné­ral de Pro­tec­tion des Don­nées (RGPD) notam­ment lors de fuites de don­nées de san­té des patients. Selon les don­nées recueillies par le CERT en 2021, la répar­ti­tion des inci­dents par caté­go­rie de don­nées tou­chées est la sui­vante : 56 % ont tou­ché des don­nées de san­té à carac­tère per­son­nel, 34 % des infor­ma­tions à carac­tère per­son­nel autres que les don­nées patients, 16 % des infor­ma­tions confi­den­tielles ou stra­té­giques, prin­ci­pa­le­ment des iden­ti­fiants de compte uti­li­sa­teur, et enfin 12 % des don­nées tech­niques sen­sibles [22]. Ces sta­tis­tiques sou­lignent que les don­nées per­son­nelles sont les pre­mières tou­chées par les inci­dents de sécu­ri­té déclarés.

    L’étude de 2023, “Menaces et risques cyber pesant sur les éta­blis­se­ments de san­té en France” conduite par Relyens qui est un groupe mutua­liste euro­péen d'Assurance et Mana­ge­ment des risques spé­cia­liste des acteurs du soin et des ter­ri­toires, consi­dère le scé­na­rio d'une attaque par ran­çon­gi­ciel d’un éta­blis­se­ment de san­té de type CHU. Cette der­nière suit un mode opé­ra­toire clas­sique des cyber­cri­mi­nels au cours duquel les atta­quants envoient un logi­ciel mal­veillant ou un virus à l'établissement, blo­quant l'accès à ses don­nées ou à son maté­riel en les chif­frant [26]. Les cri­mi­nels exigent ensuite le paie­ment d'une ran­çon pour réta­blir l'accès. Ce type d'attaque peut entraî­ner les consé­quences suivantes :

    • Le chif­fre­ment d'une par­tie signi­fi­ca­tive du SIH, pro­vo­quant des per­tur­ba­tions dans les soins, notam­ment l'indisponibilité du dos­sier patient infor­ma­ti­sé (DPI), d'applications métiers et de divers équi­pe­ments médicaux.
    • L'exfiltration de don­nées de san­té par les attaquants.

    Selon cette étude, l'impact finan­cier d'un tel scé­na­rio pour ce type d'établissement est repré­sen­té sur la Figure 11.

    Figure 11 : Estimation de l'impact financier d'une cyberattaque sur un établissement de santé type CHU (Source : [26])

    En rai­son des consé­quences graves, tant pour l'établissement que pour la sécu­ri­té des patients, il est essen­tiel que les diri­geants des éta­blis­se­ments de san­té et leurs RSSI aient une vision pré­cise de leur expo­si­tion aux risques cyber afin de com­prendre les menaces, d'estimer leur niveau et d'évaluer leur capa­ci­té de défense afin de mettre en place une poli­tique de cyber­sé­cu­ri­té adap­tée à leur établissement.

    I.4. Impacts sur la prise en charge des patients

    Un constat pré­oc­cu­pant révèle qu'en 2022, 39% des struc­tures de san­té ont dû opé­rer en mode dégra­dé pour assu­rer la prise en charge des patients, met­tant en lumière la vul­né­ra­bi­li­té du sec­teur face aux inci­dents de cyber­sé­cu­ri­té et la néces­si­té d'une pré­pa­ra­tion ren­for­cée. De plus, les consé­quences des inci­dents de cyber­sé­cu­ri­té en 2022 sont clai­re­ment illus­trées par le fait que 63% des struc­tures tou­chées signalent un impact direct sur leurs don­nées, qu'elles soient liées aux patients ou aux opé­ra­tions internes de la struc­ture [27].

    Ain­si, lors d’une cybe­rat­taque, les éta­blis­se­ments de san­té peuvent se retrou­ver para­ly­sés. Par exemple, le 10 août 2019, les 120 éta­blis­se­ments du groupe Ram­say ont été ciblés par une attaque infor­ma­tique, affec­tant les ser­veurs gérant les infra­struc­tures et les mes­sa­ge­ries, les ren­dant inuti­li­sables pen­dant une période de cinq jours. Cela com­plique les soins qui sont pro­di­gués au patient puisque la par­tie numé­rique est para­ly­sée. Évi­dem­ment, l’organisation peut conti­nuer de fonc­tion­ner, même en mode dégra­dé (papier, télé­phone…) mais la prise en charge des patients est tout de même impac­tée du fait du temps de réor­ga­ni­sa­tion néces­saire des soi­gnants. Le 15 novembre 2019, le CHU de Rouen a été gra­ve­ment tou­ché par une attaque infor­ma­tique, obli­geant l'arrêt de tous les ordi­na­teurs pour limi­ter sa pro­pa­ga­tion, pro­vo­quant une per­tur­ba­tion signi­fi­ca­tive dans la sécu­ri­té et la conti­nui­té des soins. Cet arrêt empêche sou­vent les équipes soi­gnantes de com­mu­ni­quer entre elles comme elles en ont l’habitude ce qui ralen­tit la conti­nui­té des soins et la tra­ça­bi­li­té des patients et des actes réalisés.

    Un peu plus récem­ment, en août 2022, le Centre Hos­pi­ta­lier Sud Fran­ci­lien a été vic­time d'une attaque par ran­som­ware qui a entraî­né une per­tur­ba­tion majeure de l’accès aux don­nées et aux appli­ca­tions du sys­tème d'information, ce qui a ren­du très com­plexe la tra­ça­bi­li­té des don­nées du patient et le par­tage d’informations entre ser­vices. Le 23 sep­tembre 2022, envi­ron 11 giga­oc­tets de don­nées, dont des infor­ma­tions médi­cales et per­son­nelles concer­nant les patients et le per­son­nel hos­pi­ta­lier, ont été divul­gués sur le site web du groupe de cyber­cri­mi­nels à l’origine de l’attaque [28]. Bien que les équipes tech­niques du Centre Hos­pi­ta­lier, en col­la­bo­ra­tion avec l'ANSSI et divers pres­ta­taires, aient réus­si à réta­blir les ser­vices cri­tiques, la recons­truc­tion sécu­ri­sée du sys­tème d'information et le retour à un fonc­tion­ne­ment nor­mal demandent des efforts à long terme. En effet, le Centre Hos­pi­ta­lier (CH) a annon­cé un chan­tier de 12 à 18 mois pour ren­for­cer son infra­struc­ture infor­ma­tique, mené en col­la­bo­ra­tion avec l’Agence régio­nale de san­té (ARS) [29]. Ain­si la prise en charge des patients n’est tou­jours pas rede­ve­nue opti­male et leurs don­nées sont encore pré­sentes à cer­tains endroits du Web. Pour le moment, aucune attaque n’a abou­ti à la mort avé­rée d’un patient mais il s’agit d’un scé­na­rio tout à fait envisageable. 

    Ces retours ter­rains témoignent de l’impact des cybe­rat­taques sur la sécu­ri­té des soins et la perte de chances pour les patients. Il s’agit d’une réor­ga­ni­sa­tion com­plète de l’hôpital qui impacte néces­sai­re­ment pro­fon­dé­ment la prise en charge du patient, tout du moins au début de la cyberattaque.

    I.5. Mesures de sécurité dans les établissements de santé

    La cyber­cri­mi­na­li­té est deve­nue une pré­oc­cu­pa­tion prio­ri­taire pour l'hôpital, les patients et la socié­té du fait de la mul­ti­pli­ca­tion des attaques et de l’augmentation de leur ampleur. De fait, dans le sec­teur de la san­té émergent de nom­breuses réflexions en lien avec la cyber­sé­cu­ri­té défi­nie alors comme “l’ensemble des mesures tech­niques ou orga­ni­sa­tion­nelles mises en place pour assu­rer l’intégrité et la dis­po­ni­bi­li­té d’un DM ain­si que la confi­den­tia­li­té des infor­ma­tions conte­nues ou issues de ce DM contre le risque d’attaques dont il pour­rait faire l’objet“ [30].

    La cyber­sé­cu­ri­té s’appuie sur un trip­tyque : tech­nique, orga­ni­sa­tion­nel et juri­dique [31] pour être efficace.

    I.5.1. Mesures techniques et financières

    En 2021, le Pré­sident de la Répu­blique a deman­dé aux éta­blis­se­ments de san­té de consa­crer 5 à 10% du bud­get infor­ma­tique à la cyber­sé­cu­ri­té. Cette demande sus­cite plu­sieurs réflexions. Il faut tout d’abord remettre cela en pers­pec­tive avec la réa­li­té des bud­gets des éta­blis­se­ments de san­té dont le bud­get est sou­vent déjà ser­ré pour le fonc­tion­ne­ment glo­bal des soins.  D'un point de vue cri­tique, on pour­rait se deman­der si l'allocation de 5 à 10% est suf­fi­sante, compte tenu de l'évolution constante des menaces cybers. Dans la réa­li­té, les éta­blis­se­ments de san­té pour­raient être confron­tés à des défis plus impor­tants et à des coûts plus éle­vés pour main­te­nir une cyber­sé­cu­ri­té effi­cace. Une éva­lua­tion régu­lière et une adap­ta­tion aux nou­velles menaces sont donc essen­tielles. Cepen­dant cette annonce du Pré­sident de la Répu­blique sou­ligne la recon­nais­sance de l'importance de la cyber­sé­cu­ri­té dans le sec­teur de la san­té. Cela est posi­tif puisque les ins­ti­tu­tions médi­cales traitent des don­nées sen­sibles et donc allouer des res­sources finan­cières à la pro­tec­tion de ces don­nées est essen­tiel pour garan­tir la confi­den­tia­li­té, l'intégrité et la dis­po­ni­bi­li­té des infor­ma­tions médi­cales. Cepen­dant, il est impor­tant de sou­li­gner que la cyber­sé­cu­ri­té ne devrait pas être consi­dé­rée comme une pré­oc­cu­pa­tion uni­que­ment finan­cière. Elle néces­site une approche com­plète qui englobe la mise en place de poli­tiques de sécu­ri­té, la sur­veillance constante des réseaux, et la col­la­bo­ra­tion avec d'autres ins­ti­tu­tions pour par­ta­ger des infor­ma­tions sur les menaces. Il est néces­saire que ces fonds soient uti­li­sés de manière judi­cieuse, en inves­tis­sant dans des tech­niques de sécu­ri­sa­tion modernes et robustes ain­si que dans des for­ma­tions adé­quates pour le per­son­nel des ser­vices infor­ma­tique, bio­mé­di­cal et de soins. La qua­li­té des inves­tis­se­ments est sou­vent plus cru­ciale que la quantité. 

    A ce titre, l'État annon­çait en 2021 allouer 25 mil­lions d’euros à l’ANSSI pour la réa­li­sa­tion d’audits dans les hôpi­taux et 350 mil­lions pour la sécu­ri­sa­tion infor­ma­tique des établissements. 

    La réa­li­sa­tion d’audits apporte un accom­pa­gne­ment tech­no­lo­gique et humain. Effec­ti­ve­ment, la réa­li­sa­tion d'audits par l'ANSSI dans les hôpi­taux vise à éva­luer la sécu­ri­té des sys­tèmes d'information en place, à iden­ti­fier les éven­tuelles vul­né­ra­bi­li­tés et à for­mu­ler des recom­man­da­tions pour ren­for­cer la pos­ture de sécu­ri­té. Ces audits couvrent dif­fé­rents aspects tels que les infra­struc­tures réseau, les appli­ca­tions, les pro­cé­dures de ges­tion des accès. Ain­si, ils four­nissent une base pour mettre en œuvre des mesures cor­rec­tives ciblées. Les 350 mil­lions d'euros dédiés à la sécu­ri­sa­tion infor­ma­tique des éta­blis­se­ments de san­té per­mettent de finan­cer des ini­tia­tives plus larges, telles que l'acquisition de tech­no­lo­gies de sécu­ri­té, la for­ma­tion du per­son­nel, la mise en place de pro­cé­dures de réponse aux inci­dents, et la créa­tion d'une culture de sécu­ri­té au sein des établissements. 

    D’après le Ministre délé­gué de la Tran­si­tion Numé­rique, la démarche a per­mis de dou­bler le nombre d'établissements de san­té qui béné­fi­cient du par­cours de sécu­ri­sa­tion des éta­blis­se­ments. Mais les finan­ce­ments ayant été octroyés en 2021 il y a pour le moment assez peu de retours d’expérience sur l’efficacité de ces finan­ce­ments. Il serait donc inté­res­sant de recen­ser ces retours et d’en faire une syn­thèse pour gui­der les pou­voirs publics.

    Concer­nant des mesures tech­niques autres que finan­cières, la Haute Auto­ri­té de San­té (HAS) a révi­sé en fin d’année son guide de cer­ti­fi­ca­tion des éta­blis­se­ments de san­té vis-à-vis la qua­li­té des soins dis­pen­sés en incluant la prise en compte de la ges­tion des risques numé­riques dans la pres­ta­tion des soins. La ver­sion la plus récente du manuel de cer­ti­fi­ca­tion élève le niveau d'exigence en inté­grant la ges­tion des risques numé­riques en tant que cri­tère stan­dard (cri­tère 3.6-02) pour éva­luer la qua­li­té des soins dis­pen­sés par les éta­blis­se­ments de san­té à par­tir du 1er jan­vier 2024. Ce cri­tère gui­de­ra l’appréciation de la qua­li­té des soins pro­di­gués par les éta­blis­se­ments de san­té, et per­met­tra l’évaluation de cri­tères impé­ra­tifs comme le 3.6-01 (La ges­tion des ten­sions hos­pi­ta­lières et des situa­tions sani­taires excep­tion­nelles est maî­tri­sée) et le 3.7-03 (L’établissement ana­lyse, exploite et com­mu­nique les indi­ca­teurs qua­li­té et sécu­ri­té des soins).

    Le cri­tère 3.6-02 dont le titre est “Les risques de sécu­ri­té numé­rique sont maî­tri­sés” est donc cen­tral. Les élé­ments d’évaluation de la gou­ver­nance pour obte­nir la cer­ti­fi­ca­tion portent notam­ment sur la pré­sence de plans de conti­nui­té d'activité et de reprise d'activité, les actions de sen­si­bi­li­sa­tion régu­lières pour les pro­fes­sion­nels de san­té. On retrouve éga­le­ment la dési­gna­tion de réfé­rents sécu­ri­té SI for­més dans les sec­teurs à risques et la décla­ra­tion immé­diate des inci­dents de sécu­ri­té des SI à l'Agence du Numé­rique en San­té (ANS). Concer­nant les pro­fes­sion­nels, on retrouve la connais­sance des pro­cé­dures en cas d'incident/attaque, la connais­sance du contact du réfé­rent de la sécu­ri­té numé­rique ou encore la sen­si­bi­li­sa­tion à la sup­pres­sion de docu­ments de san­té avec don­nées per­son­nelles sur les postes de travail.

    I.5.2. Mesures organisationnelles

    I.5.2.a. Cadre des mesures organisationnelles

    La cyber­sé­cu­ri­té ne se limite pas à l’acquisition du meilleur maté­riel mais elle repose sur une orga­ni­sa­tion struc­tu­rée par le sys­tème de mana­ge­ment de la sécu­ri­té de l’information (norme ISO 27001) [13].

    Les mesures orga­ni­sa­tion­nelles se concentrent sur les aspects humains, admi­nis­tra­tifs et struc­tu­rels de la cyber­sé­cu­ri­té, c'est-à-dire à la mise en place de bonnes pra­tiques et le sui­vi de la régle­men­ta­tion à l’échelle d’un éta­blis­se­ment. Il s’agit de for­mer et de sen­si­bi­li­ser les pro­fes­sion­nels de san­té aux bonnes pra­tiques de sécu­ri­té, de répar­tir rôles et res­pon­sa­bi­li­tés entre les ser­vices bio­mé­di­caux et infor­ma­tiques, d’établir des poli­tiques internes et des pro­cé­dures opé­ra­tion­nelles pour réduire les risques.

    I.5.2.b. Sensibilisation et formation des professionnels

    L’instauration d’une culture de sécu­ri­té et de démarches d’amélioration conti­nue par­mi les per­son­nels d’un éta­blis­se­ment per­met d’encourager la vigi­lance et de res­pon­sa­bi­li­ser cha­cun. Cepen­dant, les démarches qui visent à amé­lio­rer la com­pré­hen­sion des risques et l’importance de la sécu­ri­té numé­rique dans les éta­blis­se­ments de san­té n’émergent que depuis quelques années et impliquent des efforts nour­ris de la part de tous les acteurs pour être efficaces.

    Le Guide d’hygiène infor­ma­tique de l’ANSSI inti­tu­lé Ren­for­cer la sécu­ri­té de son sys­tème d’information en 42 mesures com­porte de nom­breux conseils mais qui sont plus à des­ti­na­tion de la direc­tion des ser­vices infor­ma­tiques.
    Intro­duit à la fin de l'année 2022, le label régio­nal NOUVEY, éla­bo­ré en col­la­bo­ra­tion avec l'ARS et le Grou­pe­ment de Coopé­ra­tion Sani­taire (GCS) Tesis, vise à amé­lio­rer la sen­si­bi­li­sa­tion des acteurs de san­té en matière de cyber­sé­cu­ri­té, inci­ter l'ensemble des pro­fes­sion­nels à adop­ter les bonnes pra­tiques (Figure 12) et illus­trer la dyna­mique en cours dans le domaine médi­cal et médi­co-social en matière de cyber­sé­cu­ri­té, à tra­vers le mes­sage sui­vant : "En infor­ma­tique comme en méde­cine, il y a des règles d’hygiène à res­pec­ter !" [32] Cette ini­tia­tive, dont le nom signi­fie "on veille" en créole, se fixe pour mis­sion de sen­si­bi­li­ser les acteurs de san­té aux risques liés à des com­por­te­ments tels que les clics sur des mails frau­du­leux, l'usage per­son­nel d'outils pro­fes­sion­nels, ou l'utilisation de mots de passe par­ta­gés et faci­le­ment déchif­frables sont clai­re­ment identifiés.

    Figure 12 : Campagne de sensibilisation aux risques cyber en santé initiée par le label régional NOUVEY (Source : [33])

    Entre fin 2022 et début 2023, une cam­pagne de com­mu­ni­ca­tion édu­ca­tive a été ini­tiée pour infor­mer et sen­si­bi­li­ser les acteurs de san­té aux sujets du label NOUVEY. Cette cam­pagne a employé divers moyens, tels que des affiches (Figure 13), des cam­pagnes sur les réseaux sociaux, des vidéos, des quiz et des info­gra­phies. Un site inter­net dédié a été mis en place pour cen­tra­li­ser les infor­ma­tions. Enfin, des ses­sions de for­ma­tions et de sen­si­bi­li­sa­tion, sous forme de webi­naires, ont été orga­ni­sées, et un évé­ne­ment annuel spé­ci­fique a été ins­tau­ré dans le cadre de cette initiative.

    Figure 13 : Campagne de sensibilisation aux risques cyber en santé initiée par le label régional NOUVEY (Source : [32])

    Le but des dif­fé­rentes actions de sen­si­bi­li­sa­tion enga­gées sur tout le ter­ri­toire Fran­çais est de faire prendre conscience que les uti­li­sa­teurs et les ache­teurs sont aus­si res­pon­sables de la bonne ges­tion des risques cyber pour garan­tir la sécu­ri­té des patients pris en charge dans les éta­blis­se­ments de san­té et éga­le­ment la confi­den­tia­li­té des don­nées. Le ser­vice bio­mé­di­cal a donc un rôle pré­pon­dé­rant dans cette prise de conscience pour pou­voir adop­ter les bonnes pra­tiques et les actions néces­saires pour faire face à ces risques cyber.

    I.5.2.c. Collaboration entre les services informatiques, médicaux et administratifs pour assurer une approche cohérente et intégrée de la sécurité informatique

    His­to­ri­que­ment, les fonc­tions de sup­port infor­ma­tique et bio­mé­di­cal étaient déli­mi­tées en fonc­tion de l'infrastructure : le ser­vice bio­mé­di­cal gérait les dis­po­si­tifs médi­caux tan­dis que le ser­vice infor­ma­tique était char­gé des ordi­na­teurs, ser­veurs et équi­pe­ments réseau.

    Cepen­dant, la ges­tion des don­nées bio­mé­di­cales exige désor­mais une col­la­bo­ra­tion plus étroite entre les ser­vices infor­ma­tiques et bio­mé­di­caux. Selon l’AFIB (Asso­cia­tion Fran­çaise des Ingé­nieurs Bio­mé­di­caux), il est néces­saire de fusion­ner leurs com­pé­tences et de les appli­quer conjoin­te­ment à un domaine d'intérêt com­mun [34]. Cette fusion est d’autant plus impor­tante qu’un des enjeux majeurs dans la thé­ma­tique de la cyber­sé­cu­ri­té est l’opposition de la vision du Res­pon­sable de la Sécu­ri­té des Sys­tèmes d’Information (RSSI) et du res­pon­sable bio­mé­di­cal à pro­pos des équi­pe­ments bio­mé­di­caux (Figure 14). Effec­ti­ve­ment, le pre­mier, char­gé de défi­nir la poli­tique de sécu­ri­té des sys­tèmes d’information et qui veille à son appli­ca­tion, sou­haite sou­vent limi­ter les connexions pour garan­tir la sécu­ri­té des appa­reils et la confi­den­tia­li­té des don­nées alors que le der­nier sou­haite l’ouverture et la connexion des DM pour faci­li­ter leur uti­li­sa­tion et leurs sau­ve­gardes. Il y a donc un enjeu majeur de dia­logue entre les deux ser­vices qui doit notam­ment être faci­li­té par le comi­té de ges­tion de la sécu­ri­té numé­rique désor­mais mis en place dans une grande majo­ri­té d’établissements de san­té. L’objectif est fina­le­ment de trou­ver un com­pro­mis entre les règles de sécu­ri­té maxi­mum et les fonc­tion­na­li­tés de tra­vail néces­saires au per­son­nel soi­gnant. De plus, les ingé­nieurs bio­mé­di­caux doivent affir­mer que la sécu­ri­té numé­rique des équi­pe­ments est au cœur de leurs pré­oc­cu­pa­tions et le faire clai­re­ment savoir aux four­nis­seurs [31].

    Figure 14 : Différences de visions entre le RSSI et le responsable biomédical à propos des équipements connectés (Source : [31])

    Ain­si la ges­tion de la cyber­sé­cu­ri­té en termes de moyens, de stra­té­gie et de solu­tions tech­niques doit se faire à l’échelle de chaque struc­ture sani­taire et médi­co-sociale et mobi­li­ser un nombre impor­tant et divers d’acteurs.

    Les mis­sions des acteurs de la sécu­ri­té infor­ma­tique à l'hôpital com­mencent d’ores et déjà à évo­luer [31]

    Par­mi eux, on retrouve le RSSI qui est éga­le­ment char­gé de don­ner des conseils, une assis­tance et d’assurer la for­ma­tion, dont la pré­ven­tion ain­si qu’un tra­vail de veille à la fois tech­no­lo­gique mais éga­le­ment régle­men­taire. Il doit notam­ment accom­pa­gner le ser­vice bio­mé­di­cal dans ses mis­sions. Ensuite il y a les réfé­rents tech­no­lo­giques de chaque domaine du sys­tème d’information en san­té et qui sont les inter­lo­cu­teurs pri­vi­lé­giés du RSSI. Puis la direc­tion des sys­tèmes d’information doit jouer le rôle de faci­li­ta­teur et d’architecte des solu­tions infor­ma­tiques. Enfin, face à la numé­ri­sa­tion de l’hôpital, l’ingénieur bio­mé­di­cal a un rôle de plus en plus cru­cial dans la sécu­ri­té. Tous ces acteurs doivent donc col­la­bo­rer le mieux pos­sible et il s’agit d’un des enjeux majeurs.

    Actuel­le­ment de plus en plus d'établissements opèrent une réor­ga­ni­sa­tion avec la fusion du ser­vice bio­mé­di­cal et de la Direc­tion des Ser­vice Infor­ma­tiques (DSI). À mesure que la tech­ni­ci­té des DM aug­mente, englo­bant de nom­breuses com­po­santes infor­ma­tiques et com­mu­ni­cantes, les res­pon­sa­bi­li­tés des DSI et des ser­vices bio­mé­di­caux se che­vauchent. A titre d’exemple, l’expérience réus­sie au sein du Grou­pe­ments hos­pi­ta­liers de ter­ri­toires (GHT) Nord Saône et Loire Bresse Mor­van a abou­ti à une gou­ver­nance par­ta­gée entre la DSI et le bio­mé­di­cal [35]. Cette approche a per­mis une réor­ga­ni­sa­tion effi­cace des espaces, une cen­tra­li­sa­tion des accès, et la mise en place d'un socle infor­ma­tique solide. Sa confor­mi­té aux direc­tives du Ségur du numé­rique, a amé­lio­ré la ges­tion des acti­vi­tés en cas de dys­fonc­tion­ne­ment, ren­for­çant les liens avec la ville, et garan­tis­sant la dis­po­ni­bi­li­té des don­nées sur tout le ter­ri­toire. Au Centre Hos­pi­ta­lier d’Aix-en-Provence, la DSI a été char­gée d'englober le bio­mé­di­cal, mais des obs­tacles liés à l'autonomie et au sou­tien de la direc­tion ont ren­du le pro­jet com­plexe [35]

    Ain­si, bien que le rap­pro­che­ment entre le bio­mé­di­cal et la DSI semble être une évo­lu­tion incon­tour­nable à long terme, sa réus­site dépen­dra d'une fusion sou­te­nue par les dif­fé­rents col­la­bo­ra­teurs, d'une culture par­ta­gée, d'une tra­jec­toire com­mune, et de l'engagement de la direc­tion géné­rale. L’intérêt d’une telle fusion n’est cepen­dant pas par­ta­gé et seul le temps mon­tre­ra le modèle le plus robuste, fusion ou non. 

    I.5.3. Mesures juridiques

    Les mesures juri­diques de la cyber­sé­cu­ri­té consistent en la mise en place des dis­po­si­tifs légaux et régle­men­taires pour pro­té­ger les Sys­tèmes d’Information (SI), pro­té­ger les don­nées médi­cales sen­sibles, garan­tir la conti­nui­té des soins, et pré­ve­nir les cybe­rat­taques. Cela implique le res­pect des règle­ments euro­péens sur les Dis­po­si­tifs Médi­caux (2017/745 et 2017/746) et la pro­tec­tion des Don­nées Per­son­nelles, ain­si que les lois fran­çaises telle que la direc­tive SG/DSSIS/2016/309. Ces dif­fé­rents règle­ments émettent des exi­gences sur la pro­tec­tion des don­nées et la défi­ni­tion des res­pon­sa­bi­li­tés en cas d’incidents.

    I.5.3.a. Règlements Européens
    • Règle­ment Géné­ral sur la Pro­tec­tion des Don­nées (RGPD) n°2016/679

    Le but de ce règle­ment est d’informer les patients et les pro­fes­sion­nels de leurs droits en matière de ges­tion des don­nées à carac­tère per­son­nel et de garan­tir leur confi­den­tia­li­té. Dans ce cadre, il faut nom­mer un Délé­gué à la Pro­tec­tion des Don­nées (DPO). Le ser­vice bio­mé­di­cal assure donc les mis­sions d’identifier les DM pro­dui­sant des don­nées per­son­nelles, de com­prendre les risques liés au SI, aux flux de don­nées et à la nature des don­nées lors de l’achat. Il est éga­le­ment char­gé d’annexer le contrat RGPD au contrat de main­te­nance en impli­quant le DPO, s’assurer de la des­truc­tion des don­nées lors de l’élimination des DM et enfin signa­ler au DPO tout pro­blème de confi­den­tia­li­té consta­té en exploi­ta­tion des DM.

    • Règle­ments euro­péens 2017/745 et 2017/746 rela­tifs aux dis­po­si­tifs médi­caux et dis­po­si­tifs médi­caux de diag­nos­tic in vitro

    Ils imposent des exi­gences spé­ci­fiques en matière de sécu­ri­té et de per­for­mance pour les DM, et les articles 14.2.d, 17.4. et 6.1.b du règle­ment 2017/745 intro­duisent le concept de DM numé­rique. Ces mesures doivent être appli­quées dès la phase de concep­tion des DM et être inté­grées aux spé­ci­fi­ca­tions des pro­duits pour garan­tir leur uti­li­sa­tion sécu­ri­sée dans le domaine médical. 

    Bien que ces nou­veaux règle­ments per­mettent de faire entrer cer­tains logi­ciels et SI dans le champ des DM et d’augmenter les exi­gences liées aux risques numé­riques et aux mises à jour, peu d’articles abordent spé­ci­fi­que­ment le lien entre DM et cybersécurité. 

    Par­mi les articles qui abordent cette thé­ma­tique, on retrouve l'article 14.5 qui sti­pule que les dis­po­si­tifs des­ti­nés à être uti­li­sés avec d'autres dis­po­si­tifs ou pro­duits doivent être conçus et fabri­qués de manière à garan­tir une inter­opé­ra­bi­li­té et une com­pa­ti­bi­li­té fiables et sécu­ri­sées. Cepen­dant, aucune norme requise pour l'obtention du mar­quage CE, en vue de la mise sur le mar­ché de ces dis­po­si­tifs, ne traite spé­ci­fi­que­ment de l'interopérabilité.

    Enfin, l'article 103 du règle­ment exige la créa­tion d'un groupe de coor­di­na­tion euro­péen des DM, qui a éla­bo­ré en 2019 un guide des­ti­né aux fabri­cants concer­nant la cyber­sé­cu­ri­té des DM. Il est impor­tant de noter que ce guide n'a cepen­dant pas de valeur légale contrai­gnante et ne ren­seigne pas l’ingénieur bio­mé­di­cal sur les exi­gences qu’il doit appliquer.

    Il est éga­le­ment impor­tant d’évoquer la maté­rio­vi­gi­lance, régie par ces Règle­ments euro­péens. En effet, ce champ est cru­cial pour assu­rer la sécu­ri­té des pro­duits médi­caux sur le mar­ché. Ces règle­ments imposent aux fabri­cants la mise en place de sys­tèmes de maté­rio­vi­gi­lance, englo­bant la col­lecte, l'évaluation, et le signa­le­ment des inci­dents graves et des effets indé­si­rables. Tant pour les dis­po­si­tifs médi­caux que pour les dis­po­si­tifs médi­caux de diag­nos­tic in vitro, le signa­le­ment aux auto­ri­tés com­pé­tentes et aux orga­ni­sa­tions concer­nées en cas d'incident majeur est une obli­ga­tion essen­tielle. L'objectif prin­ci­pal est d'assurer une sur­veillance sys­té­ma­tique et effi­cace, ain­si que la prise de mesures cor­rec­tives appro­priées pour garan­tir la sécu­ri­té des patients et des utilisateurs.

    • Direc­tive Net­work and Infor­ma­tion Sys­tem Secu­ri­ty (NIS)

    Cette direc­tive, entrée en vigueur en 2023, vise à assu­rer un niveau de sécu­ri­té éle­vé com­mun aux réseaux et SI de l’Union euro­péenne et à mettre en place des actions face aux risques de cybe­rat­taques [36]. Les 4 enjeux sont les sui­vants : mettre en place une stra­té­gie natio­nale de sécu­ri­té numé­rique coor­don­née par l’ANSSI, de même que la coopé­ra­tion entre les États de l’Union Euro­péenne, ren­for­cer la cyber­sé­cu­ri­té des opé­ra­teurs de ser­vice essen­tiels (OSE) et ren­for­cer la cyber­sé­cu­ri­té des four­nis­seurs de ser­vice numérique.

    • Recom­man­da­tions de l’Agence Natio­nale de Sécu­ri­té du Médi­ca­ment et des pro­duits de santé : 

    Le guide Cyber­sé­cu­ri­té des DM inté­grant du logi­ciel au cours de leur cycle de vie indique que les fabri­cants doivent res­pec­ter le RGPD et réa­li­ser une ana­lyse des risques des DM liée à la cyber­sé­cu­ri­té. Il donne la manière dont les four­nis­seurs peuvent atteindre un niveau de risque accep­table mais pas com­ment les ingé­nieurs bio­mé­di­caux vont pou­voir juger l’acceptabilité du risque. 

    I.5.3.b. Lois françaises

    S’agissant de sécu­ri­té, en France, le res­pect de réfé­ren­tiels est une exi­gence entrée dans le Code de la San­té Publique. Le Code de la San­té Publique regroupe l'ensemble des dis­po­si­tions légis­la­tives et régle­men­taires qui encadrent le sys­tème de san­té en France. Il évo­lue au fil du temps pour s'adapter aux enjeux contem­po­rains, y com­pris ceux liés à la sécu­ri­té des sys­tèmes d'information dans le domaine de la san­té. Les éta­blis­se­ments de san­té sont tenus de se confor­mer à ces réfé­ren­tiels de sécu­ri­té, et des audits peuvent être réa­li­sés pour véri­fier la confor­mi­té de leurs pra­tiques. Les sanc­tions en cas de non-res­pect de ces obli­ga­tions peuvent inclure des amendes et d'autres mesures coer­ci­tives, sou­li­gnant l'importance de la sécu­ri­té des don­nées de san­té dans le contexte légal français.

    Une des prin­ci­pales lois fran­çaises concer­nant la cyber­sé­cu­ri­té est la direc­tive SG/DSSIS/2016/309 du 14 octobre 2016 rela­tive à la mise en œuvre du plan d’action sur la sécu­ri­té des sys­tèmes d’information dans les éta­blis­se­ments de san­té.  Cette direc­tive concerne la mise en œuvre du Plan d'action sur la sécu­ri­té des sys­tèmes d'information (SSI) dans les éta­blis­se­ments de san­té. Ce plan vise à ren­for­cer la sécu­ri­té des sys­tèmes d'information au sein des dif­fé­rents ser­vices d’un éta­blis­se­ment. Les détails spé­ci­fiques de cette ins­truc­tion incluent des direc­tives sur les mesures de sécu­ri­té à mettre en place, les pro­to­coles à suivre et les res­pon­sa­bi­li­tés assi­gnées aux éta­blis­se­ments et ser­vices concer­nés. En résu­mé, l'instruction four­nit un cadre pour ren­for­cer la pro­tec­tion des sys­tèmes d'information dans le contexte des éta­blis­se­ments visés par cette réglementation.

    Par consé­quent, en cas d’incidents, la mise en œuvre de pro­cé­dures légales, telles que des enquêtes ou des pour­suites judi­ciaires, contri­bue à dis­sua­der les atta­quants poten­tiels. Les sanc­tions pré­vues par la loi peuvent consti­tuer un élé­ment dis­sua­sif effi­cace pour les indi­vi­dus ou les orga­ni­sa­tions cher­chant à com­pro­mettre la sécu­ri­té des sys­tèmes et des éta­blis­se­ments. Il est cepen­dant néces­saire de rap­pe­ler que la mise en place de ces lois et de sanc­tions asso­ciées en cas de non-res­pect, ne repré­sente pas réel­le­ment un frein pour les cyber attaquants.

    Le Gou­ver­ne­ment fran­çais se mobi­lise éga­le­ment pour ins­tau­rer des mesures visant à ren­for­cer la sécu­ri­té de l'espace numé­rique. À tra­vers le pro­jet de loi inti­tu­lé « Sécu­ri­ser et régu­ler l'espace numé­rique », l'objectif pre­mier est d'offrir une pro­tec­tion accrue aux citoyens fran­çais et aux entre­prises, en tenant compte des enjeux sociaux et éco­no­miques liés au numé­rique. Dans un contexte où la France aspire à jouer un rôle pré­pon­dé­rant dans la régu­la­tion digi­tale en Europe, le gou­ver­ne­ment ambi­tionne de créer un cadre pro­pice à la confiance dans l'environnement numé­rique. Ce pro­jet de loi vise à éta­blir un ordre public en ligne, inter­di­sant les acti­vi­tés qui ne sont pas auto­ri­sées dans la vie réelle pour garan­tir la cyber­sé­cu­ri­té des acti­vi­tés quo­ti­diennes des Fran­çais [37]. En ce qui concerne le volet lié au cloud, les dépu­tés ont inté­gré un nou­vel article 10 bis A, impo­sant à l'État et à ses opé­ra­teurs l'obligation de faire appel à des entre­prises euro­péennes pour l'hébergement des don­nées stra­té­giques et sen­sibles. Par ailleurs, des pré­ci­sions sup­plé­men­taires ont été appor­tées concer­nant les obli­ga­tions spé­ci­fiques des héber­geurs de don­nées de santé. 

    I.5.3.c. Limites des mesures juridiques liant la cybersécurité et les dispositifs médicaux

    Les enjeux régle­men­taires de la cyber­sé­cu­ri­té à l'hôpital sont donc cru­ciaux et visent à garan­tir la pro­tec­tion des don­nées médi­cales sen­sibles, la conti­nui­té́ des soins, et la pré­ven­tion des cybe­rat­taques. Il est donc impor­tant d’avoir une vision glo­bale des dif­fé­rents règle­ments, direc­tives et bonnes pra­tiques les plus per­ti­nentes et com­prendre les enjeux qui gra­vitent autour de la cyber­sé­cu­ri­té. Cet enjeu est d’autant plus impor­tant que le cor­pus régle­men­taire autour des DM et des SI demeure res­treint. En effet, contrai­re­ment aux risques phy­siques (élec­tro­nique, méca­nique, magné­tique, etc..), les risques et contraintes numé­riques sont peu abor­dés dans les règle­ments euro­péens 2017/745 et 2017/746 rela­tifs aux dis­po­si­tifs médi­caux [34]. Bien que ces nou­veaux règle­ments per­mettent de faire entrer cer­tains logi­ciels et SI dans le champ des DM et d’augmenter les exi­gences liées aux risques numé­riques et aux mises à jour, peu d’articles abordent spé­ci­fi­que­ment le lien entre DM et cybersécurité.

    I.6. Apports des travaux de l’Association Française des Ingénieurs Biomédicaux en matière de Sécurité Numérique des équipements biomédicaux

    L’ingénieur bio­mé­di­cal pos­sède plu­sieurs mis­sions en lien avec la cyber­sé­cu­ri­té mais qui ne sont pas tou­jours faciles à mettre en place sur le ter­rain. Comme expli­ci­té dans les sec­tions pré­cé­dentes, il existe des conseils don­nés par dif­fé­rentes enti­tés comme l’ANSSI ou l’ANS mais assez peu d’outils uti­li­sables direc­te­ment dans les mis­sions quo­ti­diennes des ser­vices biomédicaux. 

    Dans le cadre de ce pro­jet, plu­sieurs docu­ments et guides abor­dant la cyber­sé­cu­ri­té dans le monde de la san­té ont été exa­mi­nés. 75% des docu­ments étaient des­ti­nés à l’ensemble des ser­vices de l’établissement de san­té, 15% concer­naient le sys­tème infor­ma­tique et 10% concer­naient le ser­vice bio­mé­di­cal. Une cer­taine hété­ro­gé­néi­té des publics cibles peut être consta­tée de même qu’un faible nombre de recom­man­da­tions spé­ci­fiques aux ser­vices bio­mé­di­caux, et assez peu d’outils uti­li­sables alors même que le ser­vice bio­mé­di­cal a un rôle pré­pon­dé­rant dans la pré­ven­tion des cyberattaques. 

    L’AFIB a mené un groupe de tra­vail entre 2019 et 2020 visant à étu­dier l’impact de la régle­men­ta­tion euro­péenne en matière de DM sur les mis­sions de l’ingénieur bio­mé­di­cal dont la prise en compte de la sécu­ri­té numé­rique dans toutes les étapes du cycle de vie des équi­pe­ments bio­mé­di­caux. A l’issue des tra­vaux, une série de recom­man­da­tions sur la sécu­ri­té numé­rique des équi­pe­ments bio­mé­di­caux a été publiée par l’AFIB (Figure 15) [31].

    Figure 15 : Tableau des 5 recommandations de l'AFIB pour une meilleure prise en compte des systèmes d'information associés aux équipements biomédicaux (Source : [31])

    La pre­mière recom­man­da­tion concerne l’introduction de la sécu­ri­té numé­rique dans les pro­cé­dures d'acquisition. Le but est d’intégrer la sécu­ri­té numé­rique dès les étapes d'acquisition en uti­li­sant un ques­tion­naire stan­dar­di­sé qui aborde les aspects infor­ma­tiques et de sécu­ri­té numé­rique. L'objectif est d'augmenter les exi­gences impo­sées aux four­nis­seurs en géné­ra­li­sant ce ques­tion­naire à tous.

    En ce qui concerne la col­la­bo­ra­tion au sein des éta­blis­se­ments, l’AFIB insiste sur la néces­si­té d’établir des recom­man­da­tions concer­nant la col­la­bo­ra­tion entre le ser­vice bio­mé­di­cal et le ser­vice infor­ma­tique. Les prin­ci­paux enjeux incluent la défi­ni­tion des res­pon­sa­bi­li­tés et des moda­li­tés de col­la­bo­ra­tion, ain­si que l'identification et la ges­tion des logiciels.

    A pro­pos de la sécu­ri­té des équi­pe­ments, les ingé­nieurs bio­mé­di­caux ont pour mis­sion de sécu­ri­ser les accès et de véri­fier l’intégrité des DM. Il est éga­le­ment néces­saire d’élaborer une car­to­gra­phie détaillée et de par­ti­ci­per à une plus grande sen­si­bi­li­sa­tion des uti­li­sa­teurs aux risques cybers des DM

    Dans la qua­trième recom­man­da­tion, il est men­tion de la défi­ni­tion de la cri­ti­ci­té des équi­pe­ments médi­caux et donc la réa­li­sa­tion d’une car­to­gra­phie des risques asso­ciée à des plans d’actions adap­tés à ces risques.

    Enfin, pour la réponse rapide en cas de cybe­rat­taque, il s’agit de four­nir des recom­man­da­tions visant à per­mettre une réac­tion rapide en cas de cybe­rat­taque. Cette recom­man­da­tion s'appuie sur les direc­tives émises par le minis­tère de la San­té en réponse à un Mes­sage d'Alerte Rapide Sani­taire (MARS).

    Ain­si 80% des recom­man­da­tions émises par l’AFIB concernent la pré­ven­tion des cybe­rat­taques dont la démarche est géné­ra­li­sable entre les dif­fé­rents éta­blis­se­ments (Figure 16) et ce pour plu­sieurs rai­sons. Tout d’abord, au niveau des recom­man­da­tions de l’AFIB, la pré­ven­tion représente.

    Figure 16 : Schéma des recommandations de l'AFIB concernant la prévention pour une meilleure prise en compte des systèmes d'information associés aux équipements biomédicaux (Source : Auteurs)

    Mais des outils concrets faci­li­tant leur mise en appli­ca­tion res­tent à conce­voir. La pro­blé­ma­tique adres­sée par le pré­sent mémoire est donc la suivante : 

    Com­ment outiller les ingé­nieurs bio­mé­di­caux pour mettre en place et amé­lio­rer la pré­ven­tion des cybe­rat­taques au sein des éta­blis­se­ments de san­té fran­çais en se basant sur les recom­man­da­tions de l’AFIB et sur des retours d’expériences ?

    II. Création d’outils à partir des recommandations de l’Association Française des Ingénieurs Biomédicaux

    II.1. État des lieux des pratiques biomédicales concernant les risques cyber

    Deux ques­tion­naires ont donc été réa­li­sés. Le pre­mier ques­tion­naire était construit en trois par­ties dis­tinctes. La pre­mière par­tie, qui est celle d’intérêt dans cette sec­tion, se concen­trait sur les pra­tiques glo­bales des éta­blis­se­ments de san­té en matière de cyber­sé­cu­ri­té (Figure 17) et seront détaillées dans cette section.

    Figure 17 : Tableau récapitulatif de la nature et du type de données recueillies dans le premier questionnaire concernant les pratiques globales des établissements de santé en matière de cybersécurité (Source : Auteurs)

    La répar­ti­tion des 75 per­son­nels sol­li­ci­tés, tous for­més dans le domaine bio­mé­di­cal, est indi­quée en figure 18 selon leur struc­ture d’exercice.

    Figure 18 : Répartition des personnes contactées par structure d’appartenance (Source : Auteurs)

    Par­mi les 75 sol­li­ci­ta­tions envoyées, 6 réponses ont été obte­nues à nos ques­tion­naires après deux relances. La moi­tié des répon­dants sont des ingé­nieurs bio­mé­di­caux et l’autre moi­tié des res­pon­sables d’atelier biomédical/techniciens tra­vaillant majo­ri­tai­re­ment dans des CHU (Centres Hos­pi­ta­liers Uni­ver­si­taires). Le faible nombre de réponses peut s’expliquer par la courte durée du pro­jet ain­si que par le manque de temps des ingé­nieurs bio­mé­di­caux pour répondre à ce type de sol­li­ci­ta­tions comme expli­qué dans la par­tie limi­ta­tion de ce mémoire.

    En plus des réponses au ques­tion­naire, 8 entre­tiens ont été menés à la fois pour obte­nir des avis sur les outils réa­li­sés mais éga­le­ment pour avoir une idée des mis­sions et du quo­ti­dien des ser­vices bio­mé­di­caux en rap­port avec la cyber­sé­cu­ri­té. La majo­ri­té des per­sonnes inter­ro­gées sont des ingé­nieurs bio­mé­di­caux (Figure 19) et tra­vaillent dans des Centres Hos­pi­ta­liers Uni­ver­si­taires (CHU)

    Figure 19 : Répartition des personnes interrogées par fonction (Source : Auteurs)

    Les entre­tiens menés per­mettent de croi­ser les visions com­plé­men­taires de dif­fé­rents types d’acteurs selon leur fonc­tion et la taille de leur éta­blis­se­ment d’appartenance. A la ques­tion, “vous sen­tez-vous prêt à faire face à une cybe­rat­taque ?”, les réponses sont assez conver­gentes. 50% des répon­dants ne se sentent pas vrai­ment prêts, 16,7% pas du tout prêts et 33,3% des répon­dants ont répon­du qu’ils se sentent par­tiel­le­ment prêts (Figure 20). Ce sen­ti­ment de manque de pré­pa­ra­tion face aux risques de cybe­rat­taques res­sort éga­le­ment dans les entretiens.

    Figure 20 : Réponses à la question : Vous sentez-vous prêts à faire face à une cyberattaque (Source : Auteurs)

    La par­tie géné­rale du ques­tion­naire s’est ensuite concen­trée sur les prin­ci­paux outils et méthodes uti­li­sés par les ser­vices bio­mé­di­caux pour pré­ve­nir les cybe­rat­taques. Les prin­ci­pales pra­tiques qui ont été remon­tées, clas­sées par fré­quence de retour, sont les suivantes : 

    • Recen­se­ment de tous les DM géné­rant de la don­née sur le réseau et regrou­pe­ment de ces DM sur un même Vir­tual Local Area Net­work (VLAN) pour les iso­ler du réseau en cas d’attaque ou de cou­pure réseau.
    • Tra­vail en étroite col­la­bo­ra­tion avec le ser­vice infor­ma­tique et grande confiance dans le tra­vail du ser­vice infor­ma­tique qui par­ti­cipe sou­vent aux com­mis­sions d’achats des DM pour anti­ci­per les moda­li­tés de connexion au réseau de l’hôpital
    • Mises à jour des OS
    • Uti­li­sa­tion d’antivirus et de bas­tion de sécurité.

    Dans 66,7% des cas, ces outils étaient consi­dé­rés comme effi­caces. En effet, la plu­part des ser­vices s’appuient sur des VLAN iso­lés et donc sécu­ri­sés. Si ce switch est décon­nec­té du réseau, les DM seront auto­nomes pour ceux qui le peuvent comme les cen­trales de sur­veillance et de moni­to­rage. La confiance por­tée au ser­vice infor­ma­tique, qui a une part impor­tante dans la sécu­ri­té des DM, contri­bue éga­le­ment à cette majo­ri­té des avis. 

    Il est à noter que les per­sonnes ayant répon­du que leurs outils sont suf­fi­sants sont des pro­fes­sion­nels du ser­vice bio­mé­di­cal qui délèguent une grande par­tie de la ges­tion de la cyber­sé­cu­ri­té à la DSI. Cer­tains entre­tiens mettent en évi­dence l’hétérogénéité des com­pé­tences infor­ma­tiques dans les ser­vices bio­mé­di­caux en fonc­tion des éta­blis­se­ments. Cer­tains ser­vices bio­mé­di­caux ayant des com­pé­tences suf­fi­santes par­ti­cipent aux mis­sions de cyber­sé­cu­ri­té alors que d’autres délèguent cette par­tie à la DSI.  

    Mais les craintes des  per­son­nels bio­mé­di­caux per­sistent. Il a par exemple été men­tion­né que tous les éta­blis­se­ments hos­pi­ta­liers de France et d’ailleurs sont atta­qués tous les jours. Un inter­lo­cu­teur a même cité un dys­fonc­tion­ne­ment total de leur super­vi­sion sur leur ser­vice de sté­ri­li­sa­tion peu de temps avant le rem­plis­sage du ques­tion­naire. Près de 67% des répon­dants estiment que leurs outils ne sont pas suf­fi­sants pour pré­ve­nir les cybe­rat­taques : Un anti-virus ne peut pas tout blo­quer, cer­tains répon­dants signalent le peu de mise à jour des logi­ciels et des Sys­tèmes d’Exploitation (OS) ain­si qu’un manque de sen­si­bi­li­sa­tion de tous les pro­fes­sion­nels de san­té aux risques liés aux DM spé­ci­fi­que­ment.

    Un autre constat est que l’utilisation des VLAN est de plus en plus com­plexe du fait de l'interconnexion des DM avec d’autres logi­ciels et notam­ment du fait des flux de don­nées vers le Dos­sier Patient Infor­ma­ti­sé (DPI). Pou­voir iso­ler l’environnement infor­ma­tique du ser­vice de soins est une solu­tion seule­ment si celui-ci n’a pas l’utilité de com­mu­ni­quer avec l'extérieur.

    Le ser­vice bio­mé­di­cal gagne­rait à mon­ter en com­pé­tences en infor­ma­tique géné­rale et le ser­vice infor­ma­tique en ges­tion des risques cyber intrin­sèques aux DM. Il s’agit effec­ti­ve­ment d’une pro­blé­ma­tique majeure au vu des réponses qui font part de cybe­rat­taques récentes et au fait que 83% des par­ti­ci­pants disent réa­li­ser des réunions au sein de leur ser­vice à pro­pos des pro­blé­ma­tiques de cybersécurité.

    Les échanges avec les pro­fes­sion­nels de san­té font émer­ger le manque de solu­tions concrètes et de sup­ports liés aux risques cyber à des­ti­na­tion des ingé­nieurs bio­mé­di­caux qui croulent sous le tra­vail. Les pro­blèmes majeurs semblent être la dif­fi­cul­té de la col­la­bo­ra­tion entre ser­vice bio­mé­di­cal et infor­ma­tique lors de l’achat d’un dis­po­si­tif médi­cal ain­si que le manque de pro­cé­dures dégra­dées du fait d’un manque d’analyse des risques des dis­po­si­tifs médi­caux. Les recom­man­da­tions pro­po­sées par l’AFIB cor­res­pondent aux attentes ter­rains dans leur for­mu­la­tion mais les solu­tions pro­po­sées ne sont pas sous la forme d’outils exploi­tables. Dans le cadre de ce pro­jet, il a donc été déci­dé que des outils concrets et adap­tés aux besoins des ingé­nieurs bio­mé­di­caux devraient être pro­po­sés. Dans cha­cune des sous-par­ties les attentes des répon­dants seront détaillées.

    II.2. Introduire la sécurité numérique dans les procédures d’achats

    Les pro­cé­dures d’achats sont cen­trales dans les mis­sions de l’ingénieur bio­mé­di­cal mais aucun réfé­ren­tiel n’est adop­té par tous les éta­blis­se­ments de san­té comme en témoignent les dif­fé­rents entre­tiens. Face à ce manque d’harmonisation, la cyber­sé­cu­ri­té n’est pas plus que ça prise en compte dans le pro­ces­sus d’achat par l’ingénieur bio­mé­di­cal ce qui com­plique éga­le­ment la tâche pour les four­nis­seurs de DM qui ne com­prennent pas néces­sai­re­ment les attentes des éta­blis­se­ments de san­té en termes de cyber­sé­cu­ri­té. Il s’agit donc de four­nir un outil simple d’utilisation regrou­pant les dif­fé­rentes ques­tions en lien avec la sécu­ri­té numé­rique vali­dées par des experts en cyber­sé­cu­ri­té. Il y a de nom­breuses attentes pour que cet outil soit uti­li­sable à la fois par les four­nis­seurs, les ser­vices bio­mé­di­cal et informatique.

    Dans ce sens, l’AFIB a pro­po­sé un ques­tion­naire stan­dar­di­sé por­tant sur les ques­tions d’informatique et de sécu­ri­té numé­rique des DM et qui a pour objec­tif de mieux prendre en compte la cyber­sé­cu­ri­té dans les choix d’achats. Les objec­tifs visés par l’AFIB sont de géné­ra­li­ser un même ques­tion­naire afin de sen­si­bi­li­ser tous les acteurs à la sécu­ri­té infor­ma­tique et faci­li­ter le tra­vail lors des pro­cé­dures d’achats. Ce ques­tion­naire stan­dar­di­sé vise à aider les pro­fes­sion­nels de san­té dans la ges­tion du risque cyber tout au long du cycle d’achat des équi­pe­ments bio­mé­di­caux (Figure 21).

    Figure 21 : Schématisation de l'utilisation du questionnaire standardisé de l'AFIB dans le cycle d'achat des équipements biomédicaux (Source : Auteurs)

    Il est cepen­dant impor­tant de prendre en compte que l’utilisation de ce ques­tion­naire implique une col­la­bo­ra­tion étroite entre le ser­vice bio­mé­di­cal, le ser­vice infor­ma­tique (RSSI notam­ment) et les uti­li­sa­teurs pour défi­nir les besoins. En effet, d’après l’AFIB : “cer­taines contraintes doivent être prises en compte en amont de l’achat de tout dis­po­si­tif médi­cal pour pré­ve­nir le manque de sécu­ri­té infor­ma­tique”[31]. Les contraintes majeures sont donc les suivantes : 

    • Choi­sir entre les ordi­na­teurs et les ser­veurs four­nis par les four­nis­seurs ou ceux gérés par le ser­vice informatique.
    • Indi­quer com­ment les don­nées doivent cir­cu­ler entre l'équipement et d'autres logi­ciels de l'établissement.
    • Défi­nir les règles internes pour l'accès aux ordi­na­teurs lors de la main­te­nance à distance.
    • Éta­blir les règles de l'établissement pour gérer les accès de tous les utilisateurs

    La prise en compte des réponses au ques­tion­naire infor­ma­tique doit influen­cer l'évaluation, la sélec­tion de l'équipement et son ins­tal­la­tion, mais elle n'est pas un cri­tère de blo­cage. Il est recom­man­dé d'inclure le ser­vice infor­ma­tique dans le pro­ces­sus d'analyse pour éva­luer la fai­sa­bi­li­té. Cela leur per­met de pla­ni­fier en amont les res­sources tech­niques et finan­cières néces­saires à l'installation.

    Ce ques­tion­naire per­met donc de prendre en compte les enjeux cybers dès l’achat et de faci­li­ter la col­la­bo­ra­tion entre ser­vice bio­mé­di­cal et infor­ma­tique pour leur faire gagner du temps à tra­vers une com­mu­ni­ca­tion faci­li­tée par le biais de ques­tions pré­cises. Cepen­dant, les pre­miers retours ter­rains pour ce pro­jet ont mis en lumière que ce ques­tion­naire n’est pas tou­jours connu et qu’il est dif­fi­cile d’évoluer dans les cen­taines de ques­tions qu’il com­prend. Un outil inter­ac­tif pour navi­guer entre les dif­fé­rentes ques­tions a été éla­bo­ré. Des logi­grammes ont été réa­li­sés pour aider l’homme du métier à pro­duire un ques­tion­naire spé­ci­fi­que­ment des­ti­né aux four­nis­seurs (Figure 22). 

    Figure 22 : Comparaison entre les présentations du questionnaire : en haut extraction d'une partie d'une page du questionnaire de la publication de l'AFIB, en bas extraction d'un des logigrammes réalisés pour ce projet (Source : Auteurs)

    Le logi­gramme reprend l'enchaînement de toutes les ques­tions du ques­tion­naire AFIB regrou­pées en quatre par­ties, cha­cune ciblant une carac­té­ris­tique par­ti­cu­lière du dispositif : 

    • Sa des­crip­tion générale ;
    • La des­crip­tion du ou des serveur(s) et une des­crip­tion géné­rique du ou des logiciel(s) ;
    • La des­crip­tion du ou des logiciel(s) et leur inté­gra­tion dans la struc­ture de l’établissement ;
    • La des­crip­tion de la main­te­nance et de la sécu­ri­té du ou des logiciel(s).

    Pour cha­cune d’entre elles, une cou­leur a été assi­gnée pour faci­li­ter le repé­rage dans la car­to­gra­phie inter­ac­tive (Figure 23).

    Figure 23 : Les quatre parties de notre questionnaire

    Le logi­gramme affiche les ques­tions sous forme de blocs. En cli­quant sur ces blocs, l’utilisateur peut aller direc­te­ment aux ques­tions concer­nées par l’intitulé du bloc, ce qui faci­lite la lec­ture du ques­tion­naire ain­si que la navi­ga­tion entre les dif­fé­rentes ques­tions. Pour chaque bloc, les ques­tions sont lis­tées et un logo indique le type de réponse atten­du. Des infor­ma­tions com­plé­men­taires pour gui­der le rem­plis­sage et sen­si­bi­li­ser les équipes aux risques cyber sont éga­le­ment don­nées dans les enca­drés avec le logo infor­ma­tion (Figure 24).

    Figure 24 : Présentation d'une partie du logigramme et de la page de question associée à l'interlocuteur chargé du projet d'installation (Source : Auteurs)

    II.3. Définir la collaboration dans les établissements de santé

    Les retours ter­rains ont mon­tré que le manque de col­la­bo­ra­tion entre les ser­vices bio­mé­di­cal et infor­ma­tique freine le déploie­ment de mesures de pré­ven­tion des cybe­rat­taques. La dif­fi­cul­té de col­la­bo­ra­tion s’explique par la répar­ti­tion des com­pé­tences inégale au niveau des logi­ciels et des postes de tra­vail, le nombre impor­tant d’interlocuteurs concer­nés et l’éventail des diverses exper­tises requises. En outre, les per­son­nels des ser­vices infor­ma­tique et bio­mé­di­caux ont leurs propres mis­sions, bud­gets et contraintes fai­sant que­la col­la­bo­ra­tion est sou­vent per­çue comme une sur­charge de tra­vail des deux côtés. 

    A l’heure où les DM sont de plus en plus connec­tés, les com­pé­tences infor­ma­tiques sont deve­nues obli­ga­toires dans le monde bio­mé­di­cal. Les per­son­nels de tous les éta­blis­se­ments ne sont pas encore par­fai­te­ment for­més aux pro­blé­ma­tiques de réseau et de cyber­sé­cu­ri­té en géné­ral. C’est pour cela que la col­la­bo­ra­tion, sou­hai­table et sou­hai­tée par les per­sonnes inter­ro­gées, est cru­ciale dans les éta­blis­se­ments de san­té et néces­site d’être accompagnée.

    Ain­si, la deuxième recom­man­da­tion de l’AFIB pro­pose un fonc­tion­ne­ment et un par­tage des com­pé­tences et des acti­vi­tés entre per­son­nels bio­mé­di­caux et infor­ma­ti­ciens basés sur les retours d’expérience de dif­fé­rents éta­blis­se­ments. Il s'agit de grandes lignes de conduite favo­ri­sant l’instauration du dia­logue à adap­ter au fonc­tion­ne­ment de chaque établissement. 

    En outre, l’AFIB pré­co­nise la pré­pa­ra­tion anti­ci­pée d'une stra­té­gie de sécu­ri­té numé­rique spé­ci­fique pour les équi­pe­ments bio­mé­di­caux, éla­bo­rée en col­la­bo­ra­tion avec le RSSI et le ser­vice bio­mé­di­cal [28]. La pre­mière démarche consiste ain­si à éta­blir un accord de ser­vice entre les ser­vices infor­ma­tique et bio­mé­di­cal, afin de for­ma­li­ser les attentes mutuelles. Cet accord per­met­tra de défi­nir clai­re­ment les attentes et les objec­tifs de cha­cun des ser­vices impli­qués. L’AFIB pro­pose trois axes majeurs de tra­vail pour éta­blir cet accord de service :

    • Défi­nir le péri­mètre : Il est essen­tiel dans un pre­mier temps de déter­mi­ner de manière expli­cite, par­mi les logi­ciels et les postes infor­ma­tiques, ceux rele­vant de la com­pé­tence et de la res­pon­sa­bi­li­té du ser­vice bio­mé­di­cal. Cette éva­lua­tion mérite une révi­sion annuelle pour exa­mi­ner ce qui a bien fonc­tion­né et ce qui n'a pas fonc­tion­né, per­met­tant ain­si d'ajuster les res­pon­sa­bi­li­tés en conséquence.
    • Défi­nir les moda­li­tés de la col­la­bo­ra­tion : Il s’agit de répar­tir clai­re­ment les tâches entre le ser­vice bio­mé­di­cal et le ser­vice infor­ma­tique afin de ne pas perdre de temps et de mieux anti­ci­per les risques de sécu­ri­té numérique.
    • Iden­ti­fier et suivre les logi­ciels : Chaque appli­ca­tion doit faire l’objet d’une fiche d’identification de l’application. Cette fiche doit être conser­vée par le ser­vice concer­né afin de gérer l’obsolescence des sys­tèmes d’exploitation et de mieux répar­tir le sui­vi et les actions entre ser­vices bio­mé­di­cal et informatique.

    Les retours ter­rains indiquent que les per­son­nels des ser­vices bio­mé­di­caux ne peuvent pas inves­tir le temps néces­saire à la lec­ture de l’intégralité des recom­man­da­tions de l’AFIB. Une affiche syn­thé­tique en deux pages qui rap­pelle d’abord pour­quoi la col­la­bo­ra­tion est cru­ciale puis com­ment pro­cé­der a donc été pro­po­sée. Ce for­mat affi­chette, dont le conte­nu concerne à la fois le ser­vice bio­mé­di­cal et infor­ma­tique et liste des solu­tions concrètes com­bi­nant les deux points de vue,est plus facile d’accès et s’affiche aisé­ment pour aider les pro­fes­sion­nels au quotidien.

    La pre­mière page de l’affiche repose le contexte de la cyber­sé­cu­ri­té dans les hôpi­taux, et s’axe plus par­ti­cu­liè­re­ment sur les DM. A l’aide des recom­man­da­tions de l’AFIB et des retours ter­rain, les dif­fé­rents risques cyber majeurs liés aux DM ont été recen­sés. En effet, les risques géné­raux liés à la bureau­tique sont sou­vent défi­nis dans les docu­ments mais ceux spé­ci­fiques aux DM ne sont pas ceux les plus mis en avant. En paral­lèle, le recen­se­ment des mau­vaises pra­tiques, qui consti­tuent des risques majeurs pour les cybe­rat­taques, a été effec­tué. En plus de l’exposition des risques et des mau­vaises pra­tiques, un sché­ma glo­bal d’une cybe­rat­taque typique a été réa­li­sé à par­tir de don­nées biblio­gra­phiques et de retours ter­rain. Le but recher­ché n’était pas seule­ment de for­ma­li­ser une attaque typique mais éga­le­ment de mon­trer avec un exemple concret les mau­vaises pra­tiques et erreurs fré­quentes et des pro­po­si­tions d’actions à mettre en place pour évi­ter que la cybe­rat­taque atteigne sa cible. L’objectif de cette affiche est donc de mon­trer que les ser­vices bio­mé­di­caux et infor­ma­tiques, en col­la­bo­rant, peuvent per­mettre de réduire les risques cyber et donc de moti­ver les par­ties pre­nantes à réa­li­ser l’accord de service.

    La deuxième page de l’affiche se concentre sur les trois axes de tra­vail majeurs pour une col­la­bo­ra­tion entre ser­vices infor­ma­tique et bio­mé­di­cal défi­nis par l’AFIB plus haut. Il s’agit d’expliciter de façon syn­thé­tique l’essentiel de la démarche pour don­ner des pistes d’actions et de répar­ti­tion des tâches entre les ser­vices. L’objectif est donc de ser­vir à la fois de mémo mais éga­le­ment de cata­ly­seur à une meilleure répar­ti­tion des tâches en don­nant à la fois des exemples concrets et des actions adap­tées au milieu hospitalier.

    II.4. Assurer la sécurité autour des équipements biomédicaux

    La troi­sième recom­man­da­tion de l’AFIB concerne la sécu­ri­té des équi­pe­ments bio­mé­di­caux. Ain­si, dans ses recom­man­da­tions, l’AFIB pro­pose 4 axes de tra­vail [31]

    • L’ingénieur bio­mé­di­cal est le garant de la sécu­ri­té des équi­pe­ments bio­mé­di­caux : L’ingénieur est en effet res­pon­sable de la défi­ni­tion des règles de sécu­ri­té spé­ci­fiques aux équi­pe­ments bio­mé­di­caux, la confor­mi­té au mar­quage CE, le main­tien de la conti­nui­té des soins, le signa­le­ment des inci­dents et la réa­li­sa­tion d’audits de sécu­ri­té en col­la­bo­ra­tion avec le RSSI.
    • Seules les per­sonnes auto­ri­sées peuvent uti­li­ser un équi­pe­ment bio­mé­di­cal : L’ingénieur bio­mé­di­cal gère les droits d’accès, la sécu­ri­sa­tion des codes d’accès et le contrôle des accès phy­siques aux locaux.
    • L’intégrité des équi­pe­ments bio­mé­di­caux doit être res­pec­tée : L’ingénieur bio­mé­di­cal se doit de gérer le sui­vi des acces­soires et élé­ments ins­tal­lés, la docu­men­ta­tion des chan­ge­ments et la pro­tec­tion des don­nées sen­sibles liées à l’installation.
    • Les connexions et trans­ferts de don­nées doivent être sécu­ri­sées : Par­mi ses mis­sions, l’ingénieur bio­mé­di­cal gère le blo­cage des ports d’entrées non uti­li­sés, la res­tric­tion des sup­ports mobiles USB, la docu­men­ta­tion des inter­faces de com­mu­ni­ca­tion, et la seg­men­ta­tion des réseaux d’équipements.

    L’ingénieur bio­mé­di­cal a donc de mul­tiples mis­sions, ce qui implique un rôle de sen­si­bi­li­sa­tion des uti­li­sa­teurs pour garan­tir la sécu­ri­té des DM à l’échelle de tout l’établissement de san­té. Cepen­dant, d’après les retours ter­rains, le ser­vice bio­mé­di­cal n’est pas très pré­sent dans la réa­li­sa­tion de cette tâche étant don­né que d’autres mis­sions appa­raissent comme plus prio­ri­taires et c’est bien sou­vent le ser­vice infor­ma­tique qui s’occupe de la pré­ven­tion auprès des uti­li­sa­teurs. Cela semble notam­ment lié à un manque de temps pour cher­cher et pré­pa­rer des res­sources concer­nant spé­ci­fi­que­ment les risques cyber liés aux DM. Il y a en effet de nom­breuses res­sources concer­nant les dan­gers des mails étant don­né que c’est la pre­mière cause d’intrusion [38]. Or, le phi­shing ne concerne pas direc­te­ment les DM mais plu­tôt toutes les suites bureau­tiques qui sont sous la res­pon­sa­bi­li­té du ser­vice infor­ma­tique. cyber

    Les péri­phé­riques USB sont sou­vent direc­te­ment connec­tés aux DM pour des mises à jour, des trans­ferts de don­nées ou d'autres opé­ra­tions [39]. Une infec­tion par un mal­ware pro­ve­nant d'un péri­phé­rique USB peut direc­te­ment com­pro­mettre la sécu­ri­té du DM et des infor­ma­tions médi­cales. Ensuite, dans les éta­blis­se­ments de san­té, les péri­phé­riques USB sont sou­vent uti­li­sés fré­quem­ment, et il peut être dif­fi­cile de contrô­ler leur uti­li­sa­tion. Par consé­quent, il existe une pro­ba­bi­li­té plus éle­vée que des logi­ciels mal­veillants soient intro­duits par des péri­phé­riques USB infec­tés. Les péri­phé­riques USB sont de plus en plus blo­qués dans les hôpi­taux mais ce n’est pas le cas par­tout. Les retours ter­rains de quelques soi­gnants ont mon­tré que de nom­breux pra­ti­ciens uti­lisent tout de même des péri­phé­riques USB et qu’ils ne sont pas aus­si sen­si­bi­li­sés aux risques des clés USB com­pa­rés aux mails. Il est pos­sible d’émettre l’hypothèse que les poli­tiques de sécu­ri­té peuvent être plus dif­fi­ciles à appli­quer sur les péri­phé­riques USB et que moins d’outils de sen­si­bi­li­sa­tion ont été réa­li­sés que pour les risques liés aux mails. Les employés pour­raient être moins conscients des risques asso­ciés à leur uti­li­sa­tion, aug­men­tant les chances d'introduire des logi­ciels malveillants.

    Une vidéo de moins de 4 minutes a donc été réa­li­sée se concen­trant spé­ci­fi­que­ment sur la pro­blé­ma­tique des DM dans l’objectif de four­nir un outil rapide aux ingé­nieurs bio­mé­di­caux à dif­fu­ser à tous les pro­fes­sion­nels de san­té. La vidéo se veut la plus simple et ergo­no­mique pos­sible avec de nom­breuses images, des expli­ca­tions assez brèves et des exemples spé­ci­fiques au milieu hos­pi­ta­lier. Les infor­ma­tions uti­li­sées pro­viennent prin­ci­pa­le­ment de docu­ments pro­duits par l’Etat, des retours ter­rains et d’expériences pro­fes­sion­nelles en tant que sta­giaires [40]. Le ser­vice bio­mé­di­cal est invi­té à com­plé­ter cette vidéo d’explications plus détaillées concer­nant leur struc­ture de san­té pour maxi­mi­ser les mes­sages de prévention.

    II.5. Définir la criticité des équipements biomédicaux

    La qua­trième recom­man­da­tion de l’AFIB concerne la défi­ni­tion de la cri­ti­ci­té des équi­pe­ments bio­mé­di­caux. Afin de défi­nir cette cri­ti­ci­té et d’identifier des actions à mettre en place pour les réduire, l’AFIB rap­pelle qu’il est néces­saire d'évaluer la vul­né­ra­bi­li­té des DM indi­vi­duel­le­ment en uti­li­sant une ou plu­sieurs échelle(s) de nota­tion. Ain­si l’association recom­mande de com­bi­ner une échelle de cri­ti­ci­té et une échelle de vul­né­ra­bi­li­té pour déter­mi­ner avec le plus de pré­ci­sion pos­sible la gra­vi­té du risque asso­cié à l’équipement bio­mé­di­cal [28].

    La cri­ti­ci­té est défi­nie selon la norme ISO 60812 comme “la com­bi­nai­son de la sévé­ri­té d’un effet et de la fré­quence de son appa­ri­tion, ou d’autres attri­buts d’une défaillance comme une mesure de la néces­si­té d’un trai­te­ment ou d’une atté­nua­tion” [32].

    La vul­né­ra­bi­li­té d’un réseau ou d’un sys­tème d’information est défi­ni par l’ANSSI comme : “une faute, par mal­veillance ou mal­adresse, dans les spé­ci­fi­ca­tions, la concep­tion, la réa­li­sa­tion, l’installation ou la confi­gu­ra­tion d’un sys­tème, ou dans la façon de l’utiliser” [33].

    Les ingé­nieurs bio­mé­di­caux ne réa­lisent pas de cota­tion nor­mée des risques de chaque équi­pe­ment bio­mé­di­cal. Ils réa­lisent la plu­part du temps des ana­lyses pour inté­grer les DM en limi­tant les risques cyber et l’introduction de nou­velles menaces dans le réseau. Mais ces ana­lyses des risques sont res­treintes dans la mesure où elles n’ont lieu uni­que­ment lors de l’installation d’un nou­veau DM dont le cycle de vie n’est pas tou­jours pris en compte. Les ingé­nieurs bio­mé­di­caux manquent donc d’un outil syn­thé­tique qui pro­pose une cota­tion nor­mée des risques avec des cri­tères d’évaluation spé­ci­fiques aux risques cyber pertinents

    Pour ce faire deux échelles de nota­tions ont été retenues : 

    • Concer­nant la cri­ti­ci­té des équi­pe­ments médi­caux, le choix s’est por­té sur la Méthode d’Analyse de la Cri­ti­ci­té des DM en Exploi­ta­tion (MACE) [41]. La méthode MACE est consi­dé­rée comme l'une des plus per­ti­nentes pour défi­nir la cri­ti­ci­té des équi­pe­ments bio­mé­di­caux pour plu­sieurs rai­sons. Tout d’abord, cette méthode est spé­cia­le­ment conçue pour les DM et donc prend en compte les carac­té­ris­tiques uniques de ces équi­pe­ments, y com­pris leur impact sur la sécu­ri­té des patients et la qua­li­té des soins de san­té. De plus, la méthode MACE éva­lue la cri­ti­ci­té en pre­nant en consi­dé­ra­tion divers aspects, tels que la sécu­ri­té des patients, l'impact sur les soins, la dis­po­ni­bi­li­té de l'équipement, l’usage fait de l’équipement et la main­te­nance notam­ment. Enfin, les cri­tères étant orien­tés spé­ci­fi­que­ment sur les DM, la méthode MACE aide les éta­blis­se­ments de san­té à hié­rar­chi­ser leurs efforts en matière de main­te­nance, de ges­tion des risques et d'investissements en équipements.
    • En ce qui concerne la vul­né­ra­bi­li­té, le choix s’est por­té sur les 10 cri­tères de vul­né­ra­bi­li­tés numé­riques des équi­pe­ments bio­mé­di­caux du groupe de tra­vail de l’AFIB 2019-2020 [31]. En effet, l’échelle de cota­tion per­met de poin­ter les carac­té­ris­tiques liées au sys­tème infor­ma­tique des DM qui consti­tuent une porte d’entrée per­met­tant l’accès aux don­nées per­son­nelles du patient, la modi­fi­ca­tion de ces don­nées, inter­fé­rer sur le fonc­tion­ne­ment du dis­po­si­tif médi­cal et/ou de consti­tuer un point d’entrée vers d’autres équi­pe­ments. Cette notion de vul­né­ra­bi­li­té est assez peu abor­dée dans la lit­té­ra­ture et lorsque c’est le cas, les ques­tion­naires ne portent pas spé­ci­fi­que­ment sur la thé­ma­tique du numé­rique. Ce ques­tion­naire est donc par­ti­cu­liè­re­ment per­ti­nent pour cet outil d’analyse des risques.

    L’outil vise donc à réa­li­ser une car­to­gra­phie des risques en com­bi­nant les méthodes MACE et les 10 points de vul­né­ra­bi­li­té afin de déter­mi­ner un score qui per­met­tra de se pla­cer dans une matrice plus globale.

    Ces trois matrices sont inté­grées dans une car­to­gra­phie inter­ac­tive. En effet, le but n'est pas seule­ment de four­nir les ques­tions et un score de risque mais éga­le­ment d'expliquer l’intérêt de cha­cune des ques­tions et de four­nir quelques infor­ma­tions com­plé­men­taires afin d'aider au rem­plis­sage. Enfin, une fois le risque déter­mi­né, pour cha­cun des 3 niveaux défi­nis (accep­table, modé­ré, fort), plu­sieurs solu­tions sont pro­po­sées aux uti­li­sa­teurs. Ces solu­tions sont répar­ties en 9 catégories : 

    • Réfé­ren­cez-vous suf­fi­sam­ment votre parc informatique ?
    • Effec­tuez-vous des sau­ve­gardes régulièrement ?
    • Appli­quez-vous régu­liè­re­ment des mises à jour ?
    • Uti­li­sez-vous des dis­po­si­tifs infor­ma­tiques afin de sécu­ri­ser vos données ?
    • Avez-vous implé­men­té une poli­tique d’usage des mots de passe robustes ?
    • Avez-vous une uti­li­sa­tion sûre des outils numériques
    • Maî­tri­sez-vous le risque numé­rique lié au noma­disme des professionnels ?
    • Gérez-vous cor­rec­te­ment les rela­tions avec vos col­la­bo­ra­teurs et tiers-personnes ?
    • Quelles actions met­tez-vous en place pour réagir en cas de cyberattaques ?

    Ces ques­tions ont été ins­pi­rées par le docu­ment La cyber­sé­cu­ri­té pour le social et le médi­co-social en 13 ques­tions pro­duit par l’Agence du Numé­rique en San­té (ANS) [42]. Les réponses appor­tées sont issues de ce docu­ment, des autres lec­tures citées dans la biblio­gra­phie [12, 30, 31, 34], de retours ter­rains et de retours d’expérience en tant que sta­giaires. Les dif­fé­rentes per­sonnes inter­ro­gées ont par­ta­gé les dif­fé­rents points d’attention dans leur quo­ti­dien. On retrouve notam­ment l’utilisation d’antivirus, de VLAN, une bonne com­pré­hen­sion de l’architecture réseau de l’établissement ou faire atten­tion aux ver­sions d’OS. Cha­cune des caté­go­ries est donc enri­chie de ces recommandations. 

    L’utilisation de cet outil d’analyse des risques fonc­tionne donc selon un pro­ces­sus en 4 étapes (Figure 25). Pour réa­li­ser une ana­lyse des risques com­plète pour une caté­go­rie de DM, il faut comp­ter entre 5 et 10 minutes.

    Figure 25 : Schématisation du processus de notre outil (Source : Auteurs)

    Un exemple est éga­le­ment don­né à pro­pos d’un moni­teur para­mé­trique (résul­tat en figure 26) pour expli­ci­ter la mise en œuvre du pro­ces­sus en 4 étapes.La pre­mière étape est donc de cal­cu­ler un score de cri­ti­ci­té en uti­li­sant la méthode MACE qui est ici de 22/36 et donc une cri­ti­ci­té modé­rée. Puis il faut rem­plir le ques­tion­naire de vul­né­ra­bi­li­té qui donne ici un score de 5/10, don­nant une vul­né­ra­bi­li­té modé­rée. En pla­çant les résul­tats dans la matrice, le risque est éva­lué comme modé­ré ce qui donne accès à 9 cri­tères pour éla­bo­rer des plans afin de réduire les risques asso­ciés à ce DM.

    Figure 26 : Matrice du niveau de risque cyber associé à un dispositif médical, prenant en compte la vulnérabilité et la criticité de celui-ci (Source : Auteurs)

    Cet outil n’est pas uti­li­sable pour chaque équi­pe­ment déjà pré­sent sur le parc hos­pi­ta­lier par manque de temps et de moyens humains. Il semble donc pré­fé­rable de réa­li­ser cette ana­lyse dans les cas suivants : 

    • A l’achat d’une nou­velle caté­go­rie de DM
    • Par code CNEH (Centre Natio­nal de l’Expertise Hospitalière)
    • Par code EMDN (Nomen­cla­ture euro­péenne des dis­po­si­tifs médicaux)

    Ain­si uti­li­sé, l’outil per­met d’établir une car­to­gra­phie des risques des DM et de les clas­ser par ordre de prio­ri­té en ce qui concerne les actions de cyber­sé­cu­ri­té à mettre en place. Les plans d’actions devront donc être réa­li­sés en s'inspirant des 9 caté­go­ries pro­po­sées plus haut dans ce mémoire.

    III. Retours terrain et analyse approfondie des outils de cybersécurité

    III.1. Présentation des modalités de recueil des avis sur les 4 outils de cybersécurité

    Afin d’améliorer les outils pré­sen­tés dans le cha­pitre II et de les rendre  per­ti­nents pour la com­mu­nau­té bio­mé­di­cale, il était néces­saire de sou­mettre les pre­mières ver­sions aux uti­li­sa­teurs cibles. La par­tie III de ce mémoire s’attachera à pré­sen­ter les dif­fé­rents retours obtenus. 

    Pour cela, deux ques­tion­naires ont donc été réa­li­sés (Figure 27) : 

    • Le pre­mier ques­tion­naire était construit en trois par­ties dis­tinctes comme expli­qué pré­cé­dem­ment. Les deuxième et troi­sième par­ties se concentrent sur les opi­nions et retours sur le ques­tion­naire d’introduction de la sécu­ri­té numé­rique dans les achats et sur l’analyse des risques.
    • Le deuxième for­mu­laire visait à recueillir les avis des pro­fes­sion­nels sur la vidéo de sen­si­bi­li­sa­tion et sur la fiche de faci­li­ta­tion de la collaboration.
    Figure 27 : Tableau récapitulatif de la nature et du type de données recueillies dans les 2 questionnaires (Source : Auteurs)

    III.2. Introduire la sécurité numérique dans les procédures d’achats

    La majo­ri­té des répon­dants ont recon­nu ne pas connaître le ques­tion­naire stan­dar­di­sé pro­po­sé par l’AFIB. Les répon­dants au fait de l’existence du ques­tion­naire indiquent pour la plu­part ne pas l’utiliser dans leurs pro­cé­dures d’achat. Ce ques­tion­naire, pour­tant consi­dé­ré comme inté­res­sant par la plu­part des pro­fes­sion­nels, manque donc de visi­bi­li­té. Les entre­tiens avec un Tech­ni­cien bio­mé­di­cal de l’AP-HP et un Cor­res­pon­dant Sécu­ri­té du Sys­tème d’information pour le Bio­mé­di­cal au sein d’un CHU montrent cepen­dant que des réflexions sont en cours sur l’intégration de ce ques­tion­naire dans les cen­trales d’achats et qu’il y a une prise de conscience du fait que la cyber­sé­cu­ri­té doit être incluse tout au long des pro­ces­sus d’achats. L’outil créé dans le cadre de ce pro­jet pour­ra donc per­mettre une plus large dif­fu­sion de ce ques­tion­naire et, tout du moins une prise de conscience du fait que des solu­tions existent et sont déjà utiles et utilisables.

    Concer­nant l’évaluation par les pre­miers uti­li­sa­teurs de la car­to­gra­phie pro­po­sée pour navi­guer dans le ques­tion­naire stan­dar­di­sé de l’AFIB, tous les répon­dants estiment que l’outil est de prise en main aisée et qu’il est agréable au niveau de sa navi­ga­tion et de son desi­gn. Ain­si, la moi­tié des par­ti­ci­pants estiment que cet outil est facile d’utilisation et l’autre moi­tié qu’il est clair. Près de 16% des par­ti­ci­pants estiment que l’outil est uti­li­sable en l’état et 84% comptent uti­li­ser cet outil sous réserve d’une appro­pria­tion interne et après per­son­na­li­sa­tion à la poli­tique de leur éta­blis­se­ment. Ces résul­tats démontrent l l'intérêt des pro­fes­sion­nels bio­mé­di­caux pour cette car­to­gra­phie inter­ac­tive, le carac­tère utile et uti­li­sable de cet outil qui sera vrai­sem­bla­ble­ment uti­li­sé : plu­sieurs répon­dants nous ont indi­qué pen­ser à l’intégrer doré­na­vant dans l’évaluation des achats sous réserve que leur ser­vice infor­ma­tique le apporte son point de vue sur l’outil et le valide. 

    Une des prin­ci­pales limi­ta­tions remon­tées est la néces­si­té que les socié­tés pos­tu­lant aux appels d’offres répondent de façon expli­cite à toutes les ques­tions et qu’elles soient satis­fai­santes et prou­vées par le ser­vice infor­ma­tique de l’établissement. L’utilisation de ce ques­tion­naire néces­site donc une pleine col­la­bo­ra­tion entre ser­vice bio­mé­di­cal et informatique.

    Il pour­rait donc être inté­res­sant de sou­mettre ce ques­tion­naire  aux pro­fes­sion­nels des ser­vices infor­ma­tiques hos­pi­ta­liers. Cela amé­lio­re­ra le conte­nu du ques­tion­naire et faci­li­te­ra sa diffusion.

    III.3. Définir la collaboration dans les établissements de santé

    Tous les entre­tiens montrent que la col­la­bo­ra­tion entre ser­vice bio­mé­di­cal et ser­vice infor­ma­tique est d’une impor­tance majeure dans la ges­tion des risques cyber. Cepen­dant, cette col­la­bo­ra­tion est loin d’être opti­male dans tous les ser­vices. Dans cer­tains ser­vices, les ingé­nieurs bio­mé­di­caux doivent com­mu­ni­quer avec un nombre impor­tant d’interlocuteurs du ser­vice infor­ma­tique. Par exemple un inter­lo­cu­teur pour la connec­ti­vi­té, un spé­cia­li­sé dans l’applicatif, et un autre ayant des com­pé­tences dans la sécu­ri­té pour mettre en place les accès à dis­tance pour les four­nis­seurs. Cette diver­si­té d’interlocuteurs et le manque de réfé­rents du ser­vice infor­ma­tique, dans cer­tains éta­blis­se­ments, pour gérer les pro­jets du bio­mé­di­cal rend la ges­tion de la cyber­sé­cu­ri­té plus com­plexe. La col­la­bo­ra­tion entre les ser­vices inter­vient cepen­dant à toutes les étapes du cycle de vie du dis­po­si­tif médi­cal et mérite d’être améliorée.

    L’outil pro­duit sous forme d’une affiche a été bien accueilli par les ser­vices où la col­la­bo­ra­tion est en train de se mettre en place mais que le bud­get ou les tâches ne sont pas assez bien répar­ties. Cette affiche a été décrite comme résu­mant bien les enjeux de la col­la­bo­ra­tion et 2 des ingé­nieurs inter­ro­gés l’avaient déjà impri­mée lors des entre­tiens et comp­taient l’afficher et la trans­mettre à leurs col­lègues de l’informatique. Le sché­ma sim­pli­fié d’une cybe­rat­taque avec des exemples d’erreurs et de solu­tions semble être la par­tie de l’affiche qui a le plus répon­du aux attentes des ingé­nieurs bio­mé­di­caux. En effet, ils esti­maient que ce sché­ma était très com­plet et résu­mait par­fai­te­ment les besoins et les problèmes.

    III.4. Assurer la sécurité autour des équipements biomédicaux

    Selon les retours du ter­rain, le ser­vice infor­ma­tique semble davan­tage impli­qué dans des ini­tia­tives de sen­si­bi­li­sa­tion par rap­port au ser­vice bio­mé­di­cal, même si ce der­nier est res­pon­sable de l'utilisation appro­priée des DM et de la sécu­ri­té autour des équi­pe­ments bio­mé­di­caux [31]. Les deux ser­vices pré­co­nisent cepen­dant d'éviter l'utilisation des clés USB sur les DM, mais les entre­tiens indiquent qu'il existe peu de solu­tions de rem­pla­ce­ment viables. Ce pro­blème consti­tue une pré­oc­cu­pa­tion majeure, et une sen­si­bi­li­sa­tion accrue pour­rait en effet contri­buer à trou­ver des solu­tions alter­na­tives. Les ques­tion­naires adres­sés aux pro­fes­sion­nels bio­mé­di­caux et de san­té révèlent que la pro­blé­ma­tique des péri­phé­riques USB fait l'objet de moins de sen­si­bi­li­sa­tion que les dan­gers liés aux cour­riels. Par exemple, il est fré­quent que des méde­cins uti­lisent des disques durs per­son­nels dans les blocs opé­ra­toires pour pré­sen­ter des images lors de congrès ou les étu­dier en dehors de l'établissement. Un autre exemple concerne l'utilisation d'une clé USB par un ingé­nieur d'application sur un écho­graphe neuf pour confi­gu­rer dif­fé­rentes options. Il est évident que les ser­vices infor­ma­tiques et bio­mé­di­caux ont des limites quant à leur capa­ci­té à contrô­ler toutes les pra­tiques et à blo­quer toutes les menaces.

    La vidéo a été qua­li­fiée de péda­go­gique et per­met pré­sente un réel poten­tiel de sen­si­bi­li­sa­tion car les soi­gnants n’ont pas for­cé­ment conscience que sur un DM il y a les mêmes risques que chez eux sauf qu’il y a un impact fort sur le patient. 

    III.5. Définir la criticité des équipements biomédicaux

    L'analyse des risques pour l'ensemble des DM dans un éta­blis­se­ment de san­té se révèle être une tâche com­plexe et chro­no­phage pour le ser­vice bio­mé­di­cal. Selon les entre­tiens réa­li­sés dans le cadre du pro­jet, il est noté que cette ana­lyse est sou­vent omise. La majo­ri­té des répon­dants indiquent n'avoir pas effec­tué de car­to­gra­phie des risques infor­ma­tiques liés à leurs DM. Tou­te­fois, tous recon­naissent que l'outil d'analyse des risques des DM pro­po­sé dans le cadre du pro­jet est par­ti­cu­liè­re­ment inté­res­sant pour pré­ve­nir les cybe­rat­taques et éla­bo­rer des plans d'actions. Cer­tains par­ti­ci­pants sou­lignent même que cette approche d'analyse des risques apporte une dimen­sion sup­plé­men­taire dans le pro­ces­sus de sélec­tion des DM lors de leur mise en concurrence.

    Une majo­ri­té des par­ti­ci­pants indique que l’outil est facile à prendre en main et est agréable au niveau de son uti­li­sa­tion glo­bale. Un tiers des par­ti­ci­pants indique vou­loir uti­li­ser cet outil dans leur ser­vice dans l’état actuel, la moi­tié sous réserve d’améliorations dans sa forme (conver­sion au for­mat Excel), ou d’appropriation, c'est-à-dire plus de temps à y consa­crer. Près de 17% des par­ti­ci­pants ne sou­haite pas l’utiliser par manque de temps et de moyens.

    Les prin­ci­pales amé­lio­ra­tions concernent la per­son­na­li­sa­tion à la poli­tique de l’établissement et avoir plus de temps à y consa­crer pour vrai­ment être en mesure de l’utiliser. En effet, d’après les retours, cet outil est rela­ti­ve­ment simple à mettre en place mais il faut prendre le temps d’intégrer ce nou­veau cri­tère de cri­ti­ci­té. L’analyse des risques par l’outil est per­çue comme très poin­tue au point de frei­ner sa mise en œuvre. En effet, l’ingénieur bio­mé­di­cal manque de temps pour trai­ter les sujets en pro­fon­deur mal­gré l’intérêt que pré­sente une telle démarche.

    Une conver­sion de l’outil au for­mat Excel a donc été réa­li­sée pour faci­li­ter sa prise en main, sur la base d’une pré­sen­ta­tion de l’analyse des risques des achats de DM créée au for­mat ppt. La conver­sion per­met de rendre l’analyse des risques plus inter­ac­tive, là où la pré­sen­ta­tion se concentre sur l’exposé de la démarche, des notions et des ques­tions de l’approche par les risques. Ain­si, l’outil pré­sente 3 onglets avec les­quels l’utilisateur peut inter­agir. Le pre­mier onglet pré­sente l’analyse MACE et per­met d’attribuer un score pour chaque cri­tère que l’analyse prend en compte. Le second onglet per­met d’établir un score de vul­né­ra­bi­li­té du DM et de son envi­ron­ne­ment dans le SI. Le der­nier pré­sente la matrice du risque à l’utilisateur pour lui indi­quer son niveau de risque et ensuite le gui­der dans son amé­lio­ra­tion de la dimi­nu­tion du risque lié aux cybe­rat­taques sur ses DM.

    En plus de la déter­mi­na­tion du niveau de risque, l’utilisateur est redi­ri­gé vers un onglet ras­sem­blant des recom­man­da­tions d’actions à mettre en place ou à péren­ni­ser selon le niveau de risque du DM par une série de bou­tons cli­quables pré­sen­tée en figure 28. Les indi­ca­tions pré­sen­tées dans l’outil Excel sont, de fait, celles qui sont pré­sen­tées dans l’outil de pré­sen­ta­tion de l’analyse des risques uti­li­sant la méthode MACE. Il est à noter que l’outil laisse la pos­si­bi­li­té à l’utilisateur de consul­ter les recom­man­da­tions pour chaque type de risque. Il peut ain­si se ren­sei­gner sur d’autres actions qu’il pour­rait mettre en place pour amé­lio­rer sa ges­tion des risques liés à la cybermalveillance.

    Figure 28 : Boutons de renvoi vers le plan de gestion des risques selon le niveau de risque calculé par l’utilisateur (Source : Auteurs)

    Une autre amé­lio­ra­tion pro­po­sée lors des entre­tiens est de pré rem­plir la matrice de risques pour les grandes familles de dis­po­si­tifs, en sui­vant par exemple les codes CNEH ou EMDN. Il s’agirait d’uniformiser les nota­tions entre tous les opé­ra­teurs et tous les ser­vices bio­mé­di­caux et de dis­po­ser d’une base com­mune la plus objec­tive pos­sible, ce qui favo­ri­se­rait la dif­fu­sion de l'outil.

    Des futures amé­lio­ra­tions consistent en l’intégration des résul­tats dans la GMAO afin de cen­tra­li­ser les infor­ma­tions et aider le ser­vice bio­mé­di­cal dans ses prises de décisions.

    III.6. Limitations du projet et ouverture vers de futures améliorations

    Cer­taines limi­ta­tions concer­nant la métho­do­lo­gie de ce pro­jet ont été remon­tées. En effet, dans le recueil des avis de la com­mu­nau­té bio­mé­di­cale, de nom­breux télé­char­ge­ments ont été consta­tés, 28 télé­char­ge­ments sur les 60 mails envoyés mais une faible part de réponses. Cela peut s’expliquer par le fait que tes­ter tous les outils est par­ti­cu­liè­re­ment chro­no­phage or les ingé­nieurs bio­mé­di­caux n’ont que peu de temps pour trai­ter leurs mails. Ces der­niers pré­fèrent par­ta­ger leurs avis via de courts entre­tiens plu­tôt qu’en répon­dant à des ques­tion­naires. Ce constat peut ser­vir aux pro­chains étu­diants qui vont réa­li­ser des pro­jets dans le cadre de ce Master. 

    Ensuite, ce pro­jet, de par son large champ d'étude, a per­mis de pro­po­ser des pre­miers outils à la com­mu­nau­té bio­mé­di­cale. Afin de véri­fier l’utilisation concrète de ces outils sur le ter­rain, un tra­vail de dif­fu­sion ain­si que de recueil des expé­riences d’utilisation devra se pour­suivre par d’autres étu­diants du Mas­ter Ingé­nie­rie de la San­té  de l'Université de Tech­no­lo­gies de Com­piègne pour obte­nir des infor­ma­tions détaillées sur la prise en main de ces outils. Ce tra­vail pour­rait éga­le­ment être réa­li­sé dans le cadre des tra­vaux de l’AFIB.

    Conclusion

    Les cybe­rat­taques dans les éta­blis­se­ments de san­té, d’incidence crois­sante, impactent signi­fi­ca­ti­ve­ment la sécu­ri­té et la conti­nui­té de la prise en charge des patients ain­si que le bud­get des éta­blis­se­ments. L'ingénieur bio­mé­di­cal, à la croi­sée de ces nou­veaux enjeux, doit être accom­pa­gné dans la ges­tion du risque cyber des dis­po­si­tifs médicaux.

    L'Asso­cia­tion Fran­çaise des Ingé­nieurs Bio­mé­di­caux (AFIB) joue un rôle cen­tral en pro­po­sant des recom­man­da­tions spé­ci­fiques pour ren­for­cer la sécu­ri­té numé­rique des équi­pe­ments bio­mé­di­caux. L’approche pro­po­sée par l’AFIB, axée sur l'intégration de la sécu­ri­té numé­rique dans les pro­cé­dures d'achats, la défi­ni­tion de la col­la­bo­ra­tion la plus effi­cace pos­sible entre ser­vices infor­ma­tique et bio­mé­di­cal, l'assurance de la sécu­ri­té des équi­pe­ments, et l'évaluation de la cri­ti­ci­té des dis­po­si­tifs, offre un cadre com­plet pour armer l'ingénieur bio­mé­di­cal face à ces cybermenaces. 

    Pour amé­lio­rer l’appropriation et la mise en œuvre effec­tive de ces recom­man­da­tions, des outils spé­ci­fiques ont été éla­bo­rés avec l’appui de pro­fes­sion­nels du ser­vice bio­mé­di­cal. Ces outils de cyber­sé­cu­ri­té adap­tés aux besoins des DM sont uti­li­sables en l’état et déjà exploi­tés dans cer­tains ser­vices.  Pour répondre davan­tage aux attentes de la com­mu­nau­té bio­mé­di­cale, cer­taines évo­lu­tions ont été pro­po­sées, comme stan­dar­di­ser la matrice de risques par famille de DM et inté­grer les résul­tats de l'analyse de cri­ti­ci­té des DM à la GMAO, qui pour­ront faire l’objet de tra­vaux ulté­rieurs par de futurs étu­diants du Mas­ter Ingé­nie­rie de la San­té de l’Université de Tech­no­lo­gie de Compiègne.

    Bibliographie

    [1] Centre gouvernemental de veille, d'alerte, et de réponse aux attaques informatiques, « À propos du CERT-FR », 2023, [En ligne]. Disponible sur : https://www.cert.ssi.gouv.fr/a-propos/ (consulté le déc. 19, 2023).


    [3] Proofpoint, « Threat reference : répertoire des cybermenaces et attaques internet », mars 2021, [En ligne]. Disponible sur : https://www.proofpoint.com/fr/threat-reference (consulté le déc. 19, 2023).

    [4] Agence de l’Union Européenne pour la Cybersécurité, « À propos de l’ENISA », 2023, [En ligne]. Disponible sur : https://www.enisa.europa.eu/about-enisa/about/fr (consulté le déc. 19, 2023).

    [5] Futura, « Botnet : qu’est-ce que c’est ? » [En ligne]. Disponible sur : https://www.futura-sciences.com/tech/definitions/internet-botnet-4368/ (consulté le déc. 19, 2023).

    [6] Gouvernement, « Cybercriminalité - risques », mai 2022, [En ligne]. Disponible sur : https://www.gouvernement.fr/risques/cyber-criminalite (consulté le déc. 19, 2023).

    [7] Kaspersky, « Que sont le deep web et le dark web ? » août 2023, [En ligne]. Disponible sur : https://www.kaspersky.fr/resource-center/threats/deep-web (consulté le déc. 19, 2023).

    [8] Ministère de la Santé et de la Prévention, « Système de santé, médico-social et social », 2023, [En ligne]. Disponible sur : https://sante.gouv.fr/systeme-de-sante/systeme-de-sante/article/systeme-de-sante-medico-social-et-social (consulté le déc. 19, 2023).


    [10] E. Boussin and J. Schreiber, « Retour sur les grandes cyberattaques en France en 2022 : quelles résolutions pour 2023 ? » Portail de l’Intelligence Economique, janvier 2023, [En ligne]. Disponible sur : https://www.portail-ie.fr/univers/risques-et-gouvernance-cyber/2023/retour-sur-les-grandes-cyberattaques-en-france-en-2022-quelles-resolutions-pour-2023/ (consulté le déc. 19, 2023).

    [11] Y. Forest, F. Gama, S. Rasle, O. Declerck, and N. Amani, Webinaire de sensibilisation à la cybersécurité, avril 2022, [En ligne]. Disponible sur : https://www.auvergne-rhone-alpes.ars.sante.fr/cybersecurite-en-etablissement-de-sante-webinaire-replay (consulté le déc. 19, 2023).




    [15] Assemblée Nationale, Amendement n°470 du 09/11/2022, Texte n°436, adopté par la Commission sur le projet de loi adopté par le Sénat d’orientation et de programmation du Ministère de l’Intérieur (n°343), novembre 2022, [En ligne]. Disponible sur : https://www.assemblee-nationale.fr/dyn/16/amendements/0436/AN/470 (consulté le sept. 20, 2023).

    [16] J. Notin, C. Lemal, and M. Derville, « Retour sur 2021 en infographie », Agence cybermalveillance.gouv, mars 2022, [En ligne]. Disponible sur : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2021 (consulté le nov. 3, 2023).

    [17] J. Notin, M. Derville, C. Lemal, S. Azzoli, and B. Hervieu, « Retour sur 2022 en infographie, Agence cybermalveillance.gouv, mars 2023, [En ligne]. Disponible sur : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2022 (consulté le nov. 3, 2023).

    [18] NDMN, « Cybersécurité en France, 10 statistiques clés à connaître en 2022 ! », juin 2022, [En ligne]. Disponible sur : https://www.ndnm.fr/statistiques-cybersecurite-2022 (consulté le sept. 20, 2023).

    [19] C. Thierache and C. Leroy-Blanvillain, « Cybercriminalité : l’UE présente son projet de règlement « cyber solidarity act » », Alerion Avocats Paris, avril 2023, [En ligne]. Disponible sur : https://www.alerionavocats.com/cybercriminalite-ue-presente-projet-reglement-cyber-solidarity-act/ (consulté le dec. 6, 2023).


    [21] W. Zirar, « Cybersécurité : le cert santé recense 588 déclarations d’incidents en 2022 », février 2022, [En ligne]. Disponible sur : https://www.ticsante.com/story?ID=6572 (consulté le sept. 20, 2023).

    [22] J.-M. Manach, « Cybersécurité : le cert santé relève 5 mises en danger patient avérées en 2021 », Next, mai 2022, [En ligne]. Disponible sur : https://next.ink/1886/cybersecurite-cert-sante-releve-5-mises-en-danger-patient-averees-en-2021/ (consulté le dec. 6, 2023).

    [23] D. Mennecier, « Cyberattaques et hôpital », Médecine de Catastrophe - Urgences Collectives, vol. 4, no. 4, p. 327–330, décembre 2020.

    [24] S. Smith, « Smart hospitals to deploy over 7 million internet of medical things », Juniper Research, janvier 2022, [En ligne]. Disponible sur : https://www.juniperresearch.com/press/smart-hospitals-to-deploy-over-7mn-iomt (consulté le dec. 19, 2023).

    [25] Agence du Numérique en Santé, Guide « La sécurité numérique, socle de la transformation du numérique en santé », 2021, [En ligne]. Disponible sur : https://industriels.esante.gouv.fr/sites/default/files/media/document/cybersecurite_3_volets_a4_210607.pdf (consulté le dec. 3, 2023).

    [26] Relyens, « Etablissement de santé : combien coûte une cyberattaque ? » octobre 2023, [En ligne]. Disponible sur : https://www.relyens.eu/fr/newsroom/blog/cybersecurite-comment-estimer-le-cout-dune-cyberattaque-par-rancongiciel (consulté le dec. 6, 2023).

    [27] Agence du Numérique en Santé, « L’observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social 2022 est en ligne ! », juin 2023, [En ligne]. Disponible sur : https://esante.gouv.fr/espace-presse/lobservatoire-des-incidents-de-securite-des-systemes-dinformation-pour-les-secteurs-sante-et-medico-social-202 (consulté le dec. 19, 2023).

    [28] F. Reynaud and L. Adam, « Cyberattaque contre l’hôpital de Corbeil-Essonnes : ce que l’on sait sur les données diffusées », Le Monde.fr, septembre 2022, [En ligne]. Disponible sur : https://www.lemonde.fr/pixels/article/2022/09/26/apres-la-cyberattaque-contre-l-hopital-de-corbeil-essonnes-ce-que-l-on-sait-sur-les-donnees-diffusees_6143245_4408996.html  (consulté le dec. 6, 2023).

    [29] « L’hôpital de Corbeil-Essonnes veut renforcer sa sécurité informatique », 20MINUTES, janvier 2023, [En ligne]. Disponible sur : https://www.20minutes.fr/societe/4017361-20230104-corbeil-essonnes-cinq-mois-apres-cyberattaque-hopital-renforce-securite-informatique (consulté le sept. 20, 2023).

    [30] S. Nogaret, « Cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie », ANSM, 2022, [En ligne]. Disponible sur : https://ansm.sante.fr/documents/reference/cybersecurite-des-dm-et-dmdiv (consulté le sept. 20, 2023).

    [31] V. Boissart, D. Laurent, L. Monnin, M.-J. Ory, F. Raji, and S. Roussel, « Groupe de travail AFIB 2019–2020 : Sécurité numérique des équipements biomédicaux », IRBM News, vol. 42, no. 1, p. 18, février 2021.

    [32] Agence Régionale de Santé de la Réunion, « Cybersécurité : comment protéger les données de santé des réunionnais ? », mars 2023, [En ligne]. Disponible sur : https://www.lareunion.ars.sante.fr/cybersecurite-comment-proteger-les-donnees-de-sante-des-reunionnais (consulté le dec. 6, 2023).

    [33] C. Duval, « Cyberattaques : scénarios redoutés par les hôpitaux », TGS France, mars 2021, [En ligne]. Disponible sur : https://www.tgs-france.fr/blog/cyberattaques-scenarios-redoutes-par-les-etablissements-hospitaliers-et-medico-sociaux/(consulté le dec. 6, 2023).

    [34] R. Parodi, « Informatique biomédicale exploitation des données biomédicales et organisation des fonctions supports », juin 2023, [En ligne]. Disponible sur : https://travaux.master.utc.fr/formations-master/ingenierie-de-la-sante/ids198 (consulté le sept. 20, 2023).

    [35] B. Benque, « Un accompagnement institutionnel fort pour une intégration DSI », Cadresanté, octobre 2023, [En ligne]. Disponible sur : https://www.cadredesante.com/spip/profession/management/article/un-accompagnement-institutionnel-fort-pour-une-integration-dsi-biomedical-reussie (consulté le dec. 6, 2023).

    [36] Commission Européenne, septembre 2023, « Directive on measures for a high common level of cybersecurity across the union (Directive NIS2) », [En ligne]. Disponible sur : https://digital-strategy.ec.europa.eu/en/policies/nis2-directive (consulté le dec. 19, 2023).

    [37] Vie-Publique, « Projet de loi visant à sécuriser et réguler l’espace numérique », octobre 2023, [En ligne]. Disponible sur : https://www.vie-publique.fr/loi/289345-projet-de-loi-numerique-sren (consulté le dec. 19, 2023).

    [38] Agence nationale de la sécurité des systèmes d’information, « 5 réflexes à avoir lors de la réception d’un courriel », 2023, [En ligne]. Disponible sur : https://www.ssi.gouv.fr/entreprise/precautions-elementaires/5-reflexes-a-avoir-lors-de-la-reception-dun-courriel/ (consulté le nov. 3, 2023).

    [39] C. Blanc-Rolin, « Sécurité, RGPD, code de la santé publique : les ports USB devraient-ils rester fermés ? » février 2019, [En ligne]. Disponible sur : https://www.dsih.fr/article/3233/securite-rgpd-code-de-la-sante-publique-les-ports-usb-devraient-ils-rester-fermes.html (consulté le nov. 3, 2023).

    [40] Agence nationale de la sécurité des systèmes d’information, « Attaques par rançongiciels, tous concernés. comment les anticiper et réagir en cas d’incident ? », août 2020, [En ligne]. Disponible sur : https://www.ssi.gouv.fr/guide/attaques-par-rancongiciels-tous-concernes-comment-les-anticiper-et-reagir-en-cas-dincident/(consulté le nov. 3, 2023).

    [41] J. Lhomme, J. Humbert, and G. Farges, « La criticité des dispositifs médicaux : état de l’art et calcul », IRBM News, vol. 34, no. 5-6, pp. 150–154, octobre 2013.

    [42] Agence du Numérique en Santé, « La cybersécurité pour le social et le médico-social en 13 questions », octobre 2022, [En ligne]. Disponible sur : https://esante.gouv.fr/actualites/un-nouveau-guide-cybersecurite-destination-du-medico-social (consulté le nov. 3, 2023).

    Liste des sigles

    AFIB : Asso­cia­tion Fran­çaise des Ingé­nieurs Biomédicaux

    ANSSI : Agence Natio­nale de la Sécu­ri­té des Sys­tèmes d'information 

    ARS : Agence Régio­nale de Santé

    CERT : Com­pu­ter Emer­gen­cy Res­ponse Team [1]

    CESIN : Club des Experts en Sécu­ri­té de l'Information et du Numé­rique [2]

    DDoS : Dis­tri­bu­ted Denial of Ser­vice [3]

    DM : Dis­po­si­tif Médical

    DPO : Délé­gué à la Pro­tec­tion des Données

    DSI : Direc­tion des Sys­tèmes d’Information

    ENISA : The Euro­pean Union Agen­cy for Cyber­se­cu­ri­ty [4]

    GHT : Grou­pe­ments hos­pi­ta­liers de territoires

    GMAO : Ges­tion de la Main­te­nance Assis­tée par Ordinateur

    MACE : Méthode d’Analyse de la Cri­ti­ci­té des dis­po­si­tifs médi­caux en Exploitation 

    OS : Ope­ra­ting Sys­tem (Sys­tème d’exploitation)

    RGPD : Règle­ment Géné­ral de Pro­tec­tion des Données

    RSSI : Res­pon­sable de la Sécu­ri­té des Sys­tèmes d’Information

    SI : Sys­tème d’InformationVLAN : Vir­tual Local Area Net­work (Réseau Local Virtuel)

    Glossaire

    Bot­nets : Ordi­na­teurs zom­bies inté­grés dans un réseau sans le consen­te­ment de leurs pro­prié­taires. En plus de leur uti­li­sa­tion pour para­ly­ser le tra­fic (dans le cadre d'une attaque par déni de ser­vice) et pro­pa­ger du spam, les bot­nets peuvent éga­le­ment être exploi­tés dans des acti­vi­tés cri­mi­nelles telles que le vol mas­sif de don­nées ban­caires et d'identité [5].

    CESIN (Club des Experts en Sécu­ri­té de l'Information et du Numé­rique) : Com­mu­nau­té regrou­pant des pro­fes­sion­nels de la cyber­sé­cu­ri­té issus de diverses entre­prises et admi­nis­tra­tions. Son prin­ci­pal but est de col­la­bo­rer pour ren­for­cer le niveau de pré­pa­ra­tion des orga­ni­sa­tions en matière de cyber­sé­cu­ri­té [2].

    CERT (Com­pu­ter Emer­gen­cy Res­ponse Team) : Équipe spé­cia­li­sée dans la ges­tion des inci­dents de cyber­sé­cu­ri­té. Son rôle prin­ci­pal est de sur­veiller, détec­ter, ana­ly­ser et répondre aux inci­dents de sécu­ri­té infor­ma­tique, notam­ment les cybe­rat­taques, les vio­la­tions de don­nées et les inci­dents liés à la sécu­ri­té des réseaux et des sys­tèmes [1].

    Cryp­to­ja­cking :  Attaque qui consiste à uti­li­ser les res­sources infor­ma­tiques d'un uti­li­sa­teur ou d'une orga­ni­sa­tion pour miner des cryp­to­mon­naies sans leur consen­te­ment [3].

    Cyber­cri­mi­nels : Ce terme englobe toute per­sonne ou groupe qui com­met des crimes en uti­li­sant des tech­no­lo­gies infor­ma­tiques ou le cybe­res­pace. Cela peut inclure un large éven­tail d'activités, allant du vol d'identité, du phi­shing, du vol de don­nées, du hacking de sys­tèmes, de la dif­fu­sion de logi­ciels mal­veillants (comme des virus ou des ran­som­wares), à d'autres formes de cybe­rat­taques et de fraudes en ligne [6].

    Cybe­res­pion­nage : Consiste en des acti­vi­tés mal­veillantes menées par des gou­ver­ne­ments, des orga­ni­sa­tions ou des indi­vi­dus pour voler des infor­ma­tions sen­sibles, sou­vent à des fins d'espionnage ou de vol de pro­prié­té intel­lec­tuelle [3].

    Cyber­ma­fias : Groupes orga­ni­sés, sou­vent inter­na­tio­naux, qui uti­lisent des tech­niques de cyber­cri­mi­na­li­té pour com­mettre des acti­vi­tés illé­gales à grande échelle. Ils opèrent de manière simi­laire à des orga­ni­sa­tions cri­mi­nelles tra­di­tion­nelles, mais en exploi­tant les failles du cybe­res­pace pour mener des acti­vi­tés illé­gales telles que le vol de don­nées, la fraude, le chan­tage, voire le sabo­tage à des fins lucra­tives [3].

    Dark Web : ensemble caché de sites Inter­net acces­sibles uni­que­ment par un navi­ga­teur spé­cia­le­ment conçu à cet effet. Il est uti­li­sé pour pré­ser­ver l'anonymat et la confi­den­tia­li­té des acti­vi­tés sur Inter­net, ce qui peut être utile aus­si bien pour les appli­ca­tions légales que pour les appli­ca­tions illé­gales [7].

    Data Breach : Une vio­la­tion de don­nées se pro­duit lorsqu'une per­sonne ou une orga­ni­sa­tion non auto­ri­sée accède à des don­nées sen­sibles ou confi­den­tielles, expo­sant ain­si ces infor­ma­tions à un risque de divul­ga­tion ou de vol [3].

    DDoS (Dis­tri­bu­ted Denial of Ser­vice) : Une attaque par déni de ser­vice dis­tri­buée vise à sub­mer­ger un sys­tème, un ser­veur ou un réseau avec un tra­fic exces­sif, ren­dant ain­si les ser­vices indis­po­nibles pour les uti­li­sa­teurs légi­times [3].

    ENISA (The Euro­pean Union Agen­cy for Cyber­se­cu­ri­ty) : Agence de l'Union euro­péenne pour la cyber­sé­cu­ri­té spé­cia­li­sée dans la pro­mo­tion de la cyber­sé­cu­ri­té en Europe. Sa mis­sion prin­ci­pale consiste à ren­for­cer la rési­lience des infra­struc­tures infor­ma­tiques et des sys­tèmes d'information au sein de l'Union euro­péenne [4].

    Groupe de pirates : Il s'agit d'un ensemble de per­sonnes, sou­vent par­ta­geant des com­pé­tences tech­niques en infor­ma­tique et en sécu­ri­té. Ces groupes peuvent être for­més pour des acti­vi­tés éthiques telles que la recherche en sécu­ri­té infor­ma­tique (hackers éthiques), mais peuvent éga­le­ment être des regrou­pe­ments de per­sonnes cher­chant à exploi­ter des vul­né­ra­bi­li­tés pour des rai­sons illé­gales (hackers mal­veillants) [3].

    Iden­ti­ty Theft : Le vol d'identité implique l'usurpation de l'identité d'une per­sonne, sou­vent dans le but de com­mettre des fraudes finan­cières ou d'autres acti­vi­tés cri­mi­nelles [3].

    Infor­ma­tion Lea­kage : La fuite d'informations se pro­duit lorsque des infor­ma­tions confi­den­tielles ou sen­sibles sont invo­lon­tai­re­ment divul­guées, sou­vent en rai­son de vul­né­ra­bi­li­tés de sécu­ri­té ou d'erreurs humaines [3].

    Insi­der Threat : Une menace interne se pro­duit lorsque des indi­vi­dus au sein d'une orga­ni­sa­tion, tels que des employés, abusent de leur accès pri­vi­lé­gié pour cau­ser des dom­mages inten­tion­nels ou invo­lon­taires [3].

    Mal­ware (Logi­ciel mal­veillant) : Mal­ware est un terme géné­rique qui désigne tout logi­ciel conçu dans le but de cau­ser des dom­mages ou de com­pro­mettre un sys­tème infor­ma­tique. Les types cou­rants de mal­ware incluent les virus, les vers, les che­vaux de Troie et les ran­som­wares [3].

    Orga­ni­sa­tions de san­té : Des enti­tés ou struc­tures qui opèrent dans le domaine de la san­té pour four­nir des ser­vices, des soins, des trai­te­ments, et pour gérer les aspects liés à la san­té. Ces orga­ni­sa­tions peuvent prendre diverses formes et tailles, allant des ins­ti­tu­tions publiques aux éta­blis­se­ments pri­vés, des orga­nismes à but non lucra­tif aux entre­prises com­mer­ciales. Leur objec­tif prin­ci­pal est d'améliorer la san­té des indi­vi­dus, des popu­la­tions ou de gérer les sys­tèmes de san­té [8]

    Phi­shing : Tech­nique d'attaque qui implique l'envoi de mes­sages ou de sites Web frau­du­leux pour trom­per les uti­li­sa­teurs et les inci­ter à divul­guer des infor­ma­tions sen­sibles, telles que des iden­ti­fiants de connexion ou des infor­ma­tions de carte de cré­dit [3].

    Phy­si­cal Mani­pu­la­tion, Damage and Theft and Loss (Mani­pu­la­tion phy­sique, Dom­mage, Vol et Perte) : Cela fait réfé­rence aux atteintes à la sécu­ri­té qui impliquent des actions phy­siques sur le maté­riel ou les dis­po­si­tifs infor­ma­tiques, telles que le vol de maté­riel, la des­truc­tion phy­sique ou la perte acci­den­telle [3].

    Ran­som­ware : Type de logi­ciel mal­veillant qui chiffre les fichiers d'un uti­li­sa­teur ou d'une orga­ni­sa­tion, puis demande une ran­çon pour la clé de déchif­fre­ment [3].

    Script kid­dies : des indi­vi­dus peu expé­ri­men­tés en infor­ma­tique qui uti­lisent des outils, des scripts ou des pro­grammes créés par d'autres, sans réel­le­ment com­prendre leur fonc­tion­ne­ment interne pour com­pro­mettre la sécu­ri­té des sys­tèmes infor­ma­tiques de manière oppor­tu­niste [3].

    Spam : Envoi mas­sif de mes­sages élec­tro­niques non sol­li­ci­tés, sou­vent à des fins de mar­ke­ting ou de dif­fu­sion de conte­nu indé­si­rable [3].

    VLAN (Vir­tual Local Area Net­work) : Méthode de seg­men­ta­tion d'un réseau phy­sique en plu­sieurs réseaux logiques, per­met­tant d'isoler et de regrou­per des dis­po­si­tifs appa­ren­tés, indé­pen­dam­ment de leur empla­ce­ment phy­sique, pour amé­lio­rer la ges­tion, la sécu­ri­té et l'efficacité des réseaux infor­ma­tiques [9].

    Web-based Attacks : Les attaques basées sur le Web sont des ten­ta­tives mal­veillantes de com­pro­mettre des sys­tèmes infor­ma­tiques en exploi­tant des vul­né­ra­bi­li­tés spé­ci­fiques liées à des appli­ca­tions Web, des ser­veurs Web ou des navi­ga­teurs Web [3].

    searchhomearrow-circle-left