Madame la Ministre,

Vivre avec un appareil médical, tel qu'un pacemaker pour contrôler le rythme cardiaque déficient, connecté à l'internet est la réalité quotidienne d'un nombre croissant de patients.

Lors de la conférence annuelle rassemblant plusieurs centaines de spécialistes en sécurité informatique à Luxembourg, une chercheuse a dénoncé la vulnérabilité des appareils médicaux connectés. En effet, après avoir réalisé une série d'essais en laboratoire tout en étudiant les spécifications techniques des appareils, elle estime la situation inquiétante.  Certains modèles disposent d'une interface sans fil permettant un monitoring à distance, ce qui offre une surface d'attaque non négligeable.

Les risques liés aux connexions sans fil sont nombreux. Une faille de sécurité dans certains modèles de pacemakers permettrait à un pirate de s'emparer des données personnelles du patient, comme son nom ou celui de son médecin traitant. Mais pire encore, il peut également éteindre l'appareil.

De plus, la situation est assez similaire pour les équipements hospitaliers puisque ceux-ci fonctionnent avec le système d'exploitation Windows de Microsoft.

Madame la Ministre,

§  Avez-vous conscience de ce problème et si oui, quelle est votre position à ce sujet?

 

§  Qu'en est-il de la situation pour la Belgique? La sécurité des appareils médicaux est-elle assurée?

 

§  Quelles sont les mesures mises en oeuvre afin d'éloigner au maximum le risque de vulnérabilité? Et quelles sont celles encore à prendre?

 

§  Avez-vous des contacts avec les fabricants d'équipements médicaux à ce sujet? Si oui, qu'en ressort-il?

 

Réponse à la question parlementaire n° K571 du 26/11/2015 de madame Cassart-Mailleux

 

L’Honorable Membre trouvera ci-après la réponse à sa question.

 

1) Nous sommes effectivement  au courant des risques de cyberattaque concernant les dispositifs médicaux connectés. Ces risques sont  de plus en plus présents suite au développement de la connectivité des différents dispositifs médicaux utilisés aussi bien en milieu hospitalier qu’à la maison. La transmission d’information par des connexions sans fil ou via internet est un outil facilitant le travail du personnel soignant mais aussi la vie des patients. En effet, la transmission des données relevées par le dispositif directement vers le médecin peut permettre un suivi beaucoup plus régulier des patients et de les rappeler plus rapidement en cas de problème constaté. La récolte des données voire le contrôle de certains dispositifs peut également être réalisé par des applications mobiles.

Bien qu’offrant de nombreux avantages, la connectivité des dispositifs médicaux les expose aux cyberattaques. Le piratage informatique est un risque existant pour tout appareil connecté que ce soit à un réseau ou en connexion sans fil.

Le risque de piratage doit donc être pris en compte par les fabricants de ces dispositifs médicaux lors de leur conception mais aussi tout au long de leur utilisation. Une des exigences essentielles auxquelles les dispositifs médicaux doivent répondre concerne spécifiquement les dispositifs incorporant des logiciels ou étant eux-mêmes des logiciels. Les logiciels doivent être validés sur base de l’état de l’art, en tenant compte des principes du cycle de développement ainsi que de la gestion des risques, de validation et de vérification.

Il incombe donc aux fabricants d’identifier les risques spécifiques liés aux logiciels et de prendre les mesures nécessaires pour les minimiser au maximum. Le risque de piratage est un risque évident concernant les logiciels et tout appareil en renfermant.

Pour les dispositifs médicaux actifs implantables comme les pacemakers, les exigences essentielles indiquent que le fabricant doit tenir particulièrement compte de la qualité des connexions et en particulier au plan de la  sécurité.

La sécurité informatique ne dépend cependant pas que des sécurités apportées au niveau du dispositif médical. Il faut aussi que les réseaux qui permettent de dialoguer avec les dispositifs soient sécurisés correctement et disposent de pare-feu à jour et à niveau. Les informations permettant de se connecter à distance sur ces dispositifs doivent également être gardées en toute sécurité par les utilisateurs et les fabricants. 

 

2) et 3) Aucun signalement de piratage  d’un dispositif médical en utilisation n’a été rapporté à l’agence fédérale des médicaments et des produits de santé (afmps).

Une action correctrice a d’ailleurs été entreprise cette année sur des pompes à perfusion suite à l’identification de failles de sécurité par une société spécialisée dans la recherche de ces failles sans qu’aucune attaque réelle n’ait été identifiée. Pour atteindre la pompe à perfusion, il fallait d’ailleurs que le pare-feu du réseau sur lesquels elles se trouvaient soit inefficace.

 

4) Nous pourrions, pour clarifier nos attentes vis-à-vis des fabricants, envisager, à un  niveau européen,  de publier des lignes directrices comme celles de la FDA sur la sécurité informatique des dispositifs médicaux. En effet, les dispositifs médicaux circulant librement entre les Etats membres, il nous semble plus pertinent et efficace d’encourager la prise de mesure au niveau européen.