Pour gérer vos consentements :

La FDA veut protéger les stimulateurs cardiaques du piratage

La FDA, agence du Département américain de la Santé en charge des denrées alimentaires et des médicaments, a publié un guide sur la cybersécurité des dispositifs médicaux. Dans la version de ce document datée du 28 décembre dernier, la FDA (Food and Drug Administration) réaffirme l’importance d’une maintenance et de mises à jour régulières pour réduire le risque de cyberattaques et de vol de données. En impliquant davantage les fabricants.

L’agence américaine met également l’accent sur l’analyse du risque et les mécanismes destinés à atténuer ce risque (paramétrer les contrôles de sécurité du dispositif). Pour renforcer son propos, la FDA décrit un scénario possible, mais pas enviable, auquel ferait face un fabricant.  Dans cet exemple, le fabricant est alerté d’une vulnérabilité présente dans ses stimulateurs cardiaques et ses défibrillateurs implantables. Or, une telle vulnérabilité si elle est exploitée peut impacter négativement la santé des patients, voire menacer leur vie. Un tiers non autorisé ayant la possibilité d’accéder aux dispostifs du fabricant et en modifier l’action, théoriquement…

Des pompes à insuline vulnérables

Pour définir une stratégie visant à limiter le risque, informer ses clients et revendeurs de l’existence d’une faille, corriger la vulnérabilité et, enfin, distribuer le correctif à l’attention des utilisateurs de ses produits, le fabricant aurait eu besoin de deux mois, selon le scénario proposé par la FDA.  Ce temps de réponse est long, surtout lorsque des vies sont en jeu.  Malheureusement, le secteur de la santé n’est pas le mieux préparé en matière de cybersécurité. Des évènements récents en témoignent.

L’automne dernier, une faille a bel et bien été détectée dans des pompes à insuline d’une filiale du groupe Jonhson & Johnson. L’entreprise nord-américaine jugeait alors le risque d’un piratage « extrêmement faible ». Mais elle a tout de même recommandé aux patients diabétiques de désactiver le lecteur distant de leur machine, pour éviter qu’un tiers n’obtienne un accès non autorisé à la pompe… La mutiplication des objets connectés (IoT) impose d’affûter les politiques de cybersécurité.

Par ailleurs, selon Département américain de la Santé et des Services sociaux, depuis 2009, plus de 1700 violations de données majeures, touchant chacune 500 personnes ou plus, ont été signalées. Selon Techcrunch, le nombre de violations non signalées est probablement plus élevé.

Lire aussi :

Des pompes à insuline de Johnson & Johnson trop facilement vulnérables
Sécurité : Conficker revient infecter l’IoT médical
Ransomware, haro sur le monde hospitalier

crédit photo © Epstock-Shutterstock

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

14 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

14 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

18 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

21 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

23 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago