Cybersécutiré dans l'industrie de la santé

L’industrie de la santé est devenue le secteur le plus ciblé par des cyberattaques. Selon l’équipe de recherche en sécurité internet de Fortinet, plus de 32’000 intrusions attaques par jour / organisation ont été constatées en 2017 dans la santé, un chiffre à comparer aux 14’300 des autres secteurs de l’économie. La situation est donc sérieuse.

Comme nous l’explique Pierre-Jean Wipff conseiller en innovation pour Innovaud, cet état de fait s’explique en partie par la valeur de revente des données médicales, supérieure sur « le dark web » à celle des cartes bancaires ou d’autres données personnelles. Elle s’explique aussi par la position délicate des hôpitaux qui ne peuvent se permettre de faire face à une paralysie des équipements et la possible mise en danger de la vie de leurs patients. Résultat: 70% des entités attaquées par ransomware payent la rançon demandée. Le dernier facteur aggravant est la vulnérabilité des infrastructures informatiques devenues obsolètes, toujours plus connectées mais mal protégées des cybercriminels.

Pour les acteurs de la santé, de nombreuses questions se posent aujourd’hui. Aux défis de la transformation digitale s’ajoutent ceux de la cybersécurité. Qu’est-ce qui est concrètement en jeu pour les hôpitaux? Comment peuvent-ils se protéger? Comment vont évoluer les règlementations en réponse à cette nouvelle donne? Comment peut-on aujourd’hui concevoir des dispositifs médicaux connectés sécurisés?

C’est pour répondre à ces questions et bien d’autres qu’Innovaud a organisé un Connect traitant de la Cybersécurité dans le domaine de la santé. L’événement qui s’est tenu le 13 mars au Biopôle d’Epalinges a réuni une cinquantaine de participants issus des domaines de la santé du Canton de Vaud et de Suisse romande.

Des enjeux majeurs pour les hôpitaux

Après une brève introduction de Pierre-Jean Wipff d’Innovaud, le Dr. Michel Buri, Chef-adjoint Service Informatique Médicale du Réseau Santé Valais, a décrit les enjeux auxquels sont exposés aujourd’hui les hôpitaux suisses avec la cybercriminalité.

Côté constructeurs de dispositifs médicaux, le Dr Buri constate qu’un travail considérable serait nécessaire pour les adapter et maintenir la confiance des professionnels de la santé. Côté régulateurs, la fourniture de mises à jour de sécurité de logiciels devraient être rendues obligatoires. Paradoxalement et en raison de leur âge, certaines ne sont déjà plus disponibles, rendant l’exploitation risquée et les dispositifs vulnérables.

Dans un contexte de digitalisation de la santé et d’interconnexion des dispositifs médicaux, les enjeux sont à trois niveaux pour le Dr. Buri: la sécurité des patients, la sauvegarde de la confidentialité des données et la capacité à pouvoir poursuivre l’exploitation. Pour le professionnel valaisan de la santé, la réponse va devoir passer par une approche holistique de la prévention, un partage des responsabilités.

Une réglementation pour mieux protéger le patient

Que prévoit la règlementation des futurs dispositifs médicaux pour protéger les patients et sécuriser les systèmes? Pour notre deuxième intervenant de la soirée, Kim Rochat, Senior Partenaire à Medidee, les dispositifs médicaux permettent aujourd’hui de traiter des patients tout au long de leur vie. Dans ce contexte, les logiciels sont amenés à jouer un rôle toujours plus grand avec les défis que cela comporte pour les constructeurs. On pense ici à leur validation, mise à jour, mais aussi leurs différents tests. Kim Rochat est clair : « Tous ces défis vont impacter le prochain cadre régulatoire européen. »

Au terme de cette présentation, l’expert basé au Biopôle recommande aux entreprises de revoir leurs analyses de risques en intégrant la cybersécurité, d’implémenter des mesures spécifiques rapidement dans leurs produits et processus, de définir comment tester les dispositifs et de prévoir la maintenance. Il deviendra impératif de préciser comment les questions liées à la sécurité seront traitées et communiquées à l’avenir.

Des compétences MIoT de pointe dans le Canton

Toute aussi passionnante, la partie suivante a permis de découvrir la Fondation NeuroTech (Epalinges) présentée par le Professeurs Philippe Ryvlin (Chef du Département des Neurosciences Cliniques DNC). Cette plateforme de recherche clinique pionnière en son genre est dédiée à l’évaluation de l’impact médico-social et économique de technologies innovantes dans les domaines de la santé (mHealth) et des neurosciences cliniques.

Un des aspects critiques de l’évaluation comprend la dimension de cybersécurité. Ainsi, Prof. Ryvlin s’est associé au Prof. David Atienza Alonso (Chef du Laboratoire de Systèmes embarqués de l’EPFL) pour développer des systèmes de sécurité innovants et répondant au 3 difficultés principales de l’IoT médical (MIoT) : précision médicale, sécurisation des données et utilisabilité pour les patients. Prof. Atienza, 3ème orateur de la soirée a présenté l’état de l’art et les derniers développements en cours dans le domaine du MIoT. Des solutions « off the shelf » existent pour maintenir une cybersécurité optimale, mais elles restent encore trop encombrantes et onéreuses pour être massivement intégrées dans des MioT. Des technologies prometteuses alliant précision, sécurité et praticité sont en cours de développement dans le laboratoire du Prof. Atienza ; elles seront un des piliers de la santé personnalisée du futur.

Cybersécurité: Debiotech montre la voie

Des exemples de mise en œuvre de la cybersécurité dans des dispositifs médicaux ont été illustrés avec Laurent-Dominique Piveteau. Pour le CEO de Debiotech SA, la cybersécurité a complètement changé la donne dans le développement de dispositifs médicaux. On est passé de risques potentiels à caractère aléatoire à des attaques de nature malveillante, préméditée et dynamique. Un changement de paradigme qui doit être pris en considération par les développeurs et les constructeurs de dispositifs médicaux.

Depuis sa création en 1990, l'objectif de Debiotech est de concevoir et développer des dispositifs médicaux hautement innovants, améliorant le résultat thérapeutique et la qualité de vie pour le plus grand nombre possible de patients. Lors de son intervention, Laurent-Dominique Piveteau a notamment expliqué comment son entreprise a intégré les questions de cybersecurité dans le développement de sa pompe à insuline connectée JewelPUMP. Plus petite, plus mince et plus légère que les modèles actuellement disponibles, cette micropompe à insuline de l’entreprise lausannoise est pilotée par smartphone.

Il est temps d’agir

Si les conséquences économiques et financières des cyberattaques pour les hôpitaux sont loin d’être négligeables, elles mettent en jeu des vies humaines. Une situation inacceptable à laquelle il est impératif de se préparer dans les meilleurs délais.

Au terme de cet Innovaud Connect particulièrement intéressant, on constate que les acteurs de la santé de notre canton peuvent bénéficier de l’expertise acquise dans la lutte contre la cybercriminalité à l’EPFL et la HEIG-VD. Ils peuvent aussi s’appuyer sur l’expérience d’experts pour développer des projets ambitieux tels que celui de Debiotech.

Rédigé par Eugène Schön