Madame la Ministre,
Vivre avec un
appareil médical, tel qu'un pacemaker pour contrôler le rythme cardiaque
déficient, connecté à l'internet est la réalité quotidienne d'un nombre
croissant de patients.
Lors de la
conférence annuelle rassemblant plusieurs centaines de spécialistes en sécurité
informatique à Luxembourg, une chercheuse a dénoncé la vulnérabilité des
appareils médicaux connectés. En effet, après avoir réalisé une série d'essais
en laboratoire tout en étudiant les spécifications techniques des appareils,
elle estime la situation inquiétante.
Certains modèles disposent d'une interface sans fil permettant un
monitoring à distance, ce qui offre une surface d'attaque non négligeable.
Les risques liés
aux connexions sans fil sont nombreux. Une faille de sécurité dans certains
modèles de pacemakers permettrait à un pirate de s'emparer des données
personnelles du patient, comme son nom ou celui de son médecin traitant. Mais
pire encore, il peut également éteindre l'appareil.
De plus, la
situation est assez similaire pour les équipements hospitaliers puisque ceux-ci
fonctionnent avec le système d'exploitation Windows de Microsoft.
Madame la Ministre,
§ Avez-vous conscience de ce problème et si oui, quelle est votre
position à ce sujet?
§ Qu'en est-il de la situation pour la Belgique? La sécurité des
appareils médicaux est-elle assurée?
§ Quelles sont les mesures mises en oeuvre afin d'éloigner au maximum le
risque de vulnérabilité? Et quelles sont celles encore à prendre?
§ Avez-vous des contacts avec les fabricants d'équipements médicaux à ce
sujet? Si oui, qu'en ressort-il?
Réponse à la question parlementaire n° K571 du
26/11/2015 de madame Cassart-Mailleux
L’Honorable Membre trouvera ci-après la réponse à sa question.
1) Nous sommes effectivement au
courant des risques de cyberattaque concernant les dispositifs médicaux
connectés. Ces risques sont de plus en
plus présents suite au développement de la connectivité des différents
dispositifs médicaux utilisés aussi bien en milieu hospitalier qu’à la maison.
La transmission d’information par des connexions sans fil ou via internet est
un outil facilitant le travail du personnel soignant mais aussi la vie des
patients. En effet, la transmission des données relevées par le dispositif
directement vers le médecin peut permettre un suivi beaucoup plus régulier des
patients et de les rappeler plus rapidement en cas de problème constaté. La
récolte des données voire le contrôle de certains dispositifs peut également
être réalisé par des applications mobiles.
Bien qu’offrant de nombreux avantages, la connectivité des dispositifs
médicaux les expose aux cyberattaques. Le piratage informatique est un risque
existant pour tout appareil connecté que ce soit à un réseau ou en connexion
sans fil.
Le risque de piratage doit donc être pris en compte par les fabricants de
ces dispositifs médicaux lors de leur conception mais aussi tout au long de
leur utilisation. Une des exigences essentielles auxquelles les dispositifs
médicaux doivent répondre concerne spécifiquement les dispositifs incorporant
des logiciels ou étant eux-mêmes des logiciels. Les logiciels doivent être
validés sur base de l’état de l’art, en tenant compte des principes du cycle de
développement ainsi que de la gestion des risques, de validation et de
vérification.
Il incombe donc aux fabricants d’identifier les risques spécifiques liés
aux logiciels et de prendre les mesures nécessaires pour les minimiser au
maximum. Le risque de piratage est un risque évident concernant les logiciels
et tout appareil en renfermant.
Pour les dispositifs médicaux actifs implantables comme les pacemakers, les
exigences essentielles indiquent que le fabricant doit tenir particulièrement
compte de la qualité des connexions et en particulier au plan de la sécurité.
La sécurité informatique ne dépend cependant pas que des sécurités
apportées au niveau du dispositif médical. Il faut aussi que les réseaux qui
permettent de dialoguer avec les dispositifs soient sécurisés correctement et
disposent de pare-feu à jour et à niveau. Les informations permettant de se
connecter à distance sur ces dispositifs doivent également être gardées en
toute sécurité par les utilisateurs et les fabricants.
2) et 3) Aucun signalement de piratage
d’un dispositif médical en utilisation n’a été rapporté à l’agence
fédérale des médicaments et des produits de santé (afmps).
Une action correctrice a d’ailleurs été entreprise cette année sur des
pompes à perfusion suite à l’identification de failles de sécurité par une
société spécialisée dans la recherche de ces failles sans qu’aucune attaque
réelle n’ait été identifiée. Pour atteindre la pompe à perfusion, il fallait
d’ailleurs que le pare-feu du réseau sur lesquels elles se trouvaient soit
inefficace.
4) Nous pourrions, pour clarifier nos attentes vis-à-vis des fabricants,
envisager, à un niveau européen, de publier des lignes directrices comme
celles de la FDA sur la sécurité informatique des dispositifs médicaux. En
effet, les dispositifs médicaux circulant librement entre les Etats membres, il
nous semble plus pertinent et efficace d’encourager la prise de mesure au
niveau européen.
Caroline-Cassart.be @ Toute reproduction partielle ou totale est strictement interdite | Propulsé par PSI-WEB