Sécurité informatique dans le secteur des soins de santé : une réglementation qui se fait attendre

Les soins de santé et de nombreux processus médicaux ne sont plus possibles de manière efficace sans les technologies de l'information, comme en témoignent des termes tels que tomographie par ordinateur ou dossier électronique du patient. De plus en plus, les dispositifs informatiques soutiennent ou prennent en charge les processus médicaux : Dans le cabinet médical, les échographes ou les tensiomètres servent de base à la prise de décision du personnel ; les technologies de pointe utilisent également le Big Data : les appareils d'échographie de pointe, par exemple, peuvent directement mettre en évidence les zones remarquables de l'image d'un point de vue médical. L'intelligence artificielle reconnaît des modèles et fournit des aides à la décision, mais elle est encore loin de pouvoir prescrire elle-même des décisions. Au final, le professionnel de la santé doit avoir les compétences nécessaires pour interpréter correctement les résultats et tirer des conclusions. D'autre part, il existe déjà des machines automatiques qui fonctionnent de manière autonome : Par exemple, les appareils de perfusion qui délivrent une certaine quantité de médicaments sur une certaine période de temps, ou les machines de laboratoire qui mesurent et traitent les résultats.

Les interfaces et les systèmes obsolètes comme risques pour la sécurité

Contrairement à ce qui se passait il y a quelques décennies, les dispositifs médicaux tels que les stimulateurs cardiaques disposent aujourd'hui d'interfaces permettant de lire les données et d'ajuster les paramètres. Dans l'environnement stationnaire, ces interfaces sont courantes et nécessaires pour la maintenance et la configuration. Cependant, cela ouvre des possibilités d'utilisation abusive si elles ne sont pas protégées contre les accès non autorisés. La question se pose de savoir avec quelle facilité on peut accéder à une interface et à partir de quel environnement. Les composants sont-ils contrôlables par radio ou par Internet ? Les probabilités de telles attaques n'ont pas été précisées de manière concluante, mais des manipulations externes sont envisageables, ce qui est particulièrement délicat pour les technologies de l'information telles que les stimulateurs cardiaques, qui touchent directement les personnes.

En général, la manipulation et la modification par des personnes non autorisées de données qui aident le médecin à prendre une décision sont critiques - qu'il s'agisse d'une intervention chirurgicale sur la mauvaise jambe ou de valeurs de laboratoire erronées. Les composants manipulés peuvent également être dangereux dans la production de médicaments, lorsque les systèmes informatiques prennent en charge le dosage des rapports de mélange.

Une autre difficulté pour assurer la sécurité informatique est que, en raison de leurs coûts élevés, les dispositifs et équipements médicaux sont utilisés sur une longue période : Les investissements dans les procédés d'imagerie (par exemple les tomographes informatisés) doivent être amortis et les machines restent en service pendant une durée correspondante, d'autant plus qu'elles imposent des exigences élevées aux fabricants et à l'homologation. En conséquence, on continue à utiliser des équipements qui, d'un point de vue informatique, ne sont plus à la pointe de la technologie, car ils fonctionnent avec de vieux systèmes d'exploitation et des composants sans protection contre les virus, mais qui, d'un point de vue médical, remplissent toujours leur fonction. Dans chaque cas individuel, l'opérateur doit évaluer les risques liés à la technologie informatique obsolète, déterminer s'ils sont acceptables ou non et quelles mesures doivent être prises pour réduire ou éliminer complètement les risques. Ce n'est pas toujours possible : si une génération de stimulateurs cardiaques présente une faille de sécurité, tous ne peuvent pas nécessairement être remplacés, car il peut y avoir des patients pour lesquels la procédure représente un risque médical inacceptable.

Dans le secteur des soins de santé, il y a toujours un conflit d'intérêts : le personnel pense à ses besoins afin de remplir les processus opérationnels, la direction de l'hôpital pense aux indicateurs clés de performance économiques et, en raison d'une pénurie de personnel qualifié et de la pression des coûts, les experts en sécurité informatique ne sont pas présents dans tous les hôpitaux. Il faut des compétences pour gérer l'infrastructure informatique en toute sécurité et les efforts ne sont pas à la hauteur des exigences. Les travailleurs qualifiés sont chers et les hôpitaux sont en concurrence avec les industries qui peuvent offrir de meilleures conditions aux travailleurs qualifiés. Ce cadre détermine le niveau de sécurité. En cas d'attaque, il ne suffit pas de rejeter la faute sur l'hôpital. Les attaques contre les hôpitaux à l'aide de chevaux de Troie cryptographiques, en particulier, ont augmenté ces dernières années, mais la situation en matière de menaces est variable : certains secteurs disposent du savoir-faire nécessaire et sont conscients des menaces, d'autres non. Malheureusement, il n'existe pas de solutions simples pour des scénarios (de menaces) complexes.

La sécurité informatique empêche les manipulations et les accès non autorisés

Globalement, l'informatique est considérée comme sûre lorsque les personnes non autorisées ne peuvent pas nuire aux patients et que toute manipulation est également impossible. Cela inclut également l'utilisation incorrecte, lorsque le personnel qualifié appuie accidentellement sur un mauvais bouton, l'informatique reconnaît l'erreur et y donne suite. L'approche "secure by design" peut y parvenir : les dispositifs sont intrinsèquement sûrs et ne deviennent vulnérables que lorsqu'ils sont délibérément ouverts ou modifiés, ce qui peut être réduit grâce à des environnements de déploiement définis. Un autre principe de la sécurité informatique est la segmentation. Si les réseaux fonctionnels sont séparés - la zone d'administration des processus commerciaux, l'administration du domaine médical - les pirates informatiques, par exemple, ont moins de facilité et les logiciels malveillants ne se propagent pas facilement, car des obstacles supplémentaires à la sécurité doivent être surmontés au sein de l'informatique.

La régulation ciblée fait défaut

L'un des principaux problèmes de l'informatique dans le secteur des soins de santé réside dans le manque de réglementation et l'absence de spécifications concrètes en matière de sécurité informatique. Le sujet est en pleine évolution depuis environ deux ou trois ans et fait de plus en plus l'objet d'une attention réglementaire.

La réglementation doit se concentrer sur les produits qui entrent en contact direct avec l'homme et dont la mauvaise utilisation peut lui nuire. Les systèmes d'information hospitaliers, en tant qu'outil central, ont également des interfaces avec des dispositifs médicaux et doivent être sûrs. Toutefois, la réglementation doit être menée avec un sens de la mesure : L'informatique ne doit pas décider pour le médecin, qui peut même compenser les erreurs de la technologie par ses connaissances. Une évaluation des risques doit donc être effectuée.

Afin de créer un niveau de protection élevé et uniforme en matière de sécurité informatique, il convient de créer des conditions de concurrence équitables pour tous les fabricants et participants. Cela peut être réalisé grâce à des spécifications et des objectifs concrets définis par les autorités réglementaires. Ce faisant, il est nécessaire de concilier des intérêts différents. Si un produit ne peut être utilisé rapidement en raison de ses procédures d'authentification et de sécurité, cela peut nuire au patient tout autant qu'un manque de sécurité informatique : Les défibrillateurs - qui contiennent beaucoup d'informatique via leurs capteurs - ne nécessitent pas d'authentification, par exemple, car cela prendrait trop de temps en cas d'urgence.

Conclusion

Il faut s'assurer que les personnes non autorisées ne peuvent pas utiliser les TI dans les dispositifs et systèmes médicaux contre le patient et que les composants et systèmes ne sont ouverts qu'aux personnes autorisées. Les entreprises spécialisées dans la sécurité informatique, telles que SRC Security Research & Consulting GmbH de Bonn, peuvent vous aider dans ce domaine. La réglementation est nécessaire pour créer des normes de sécurité - bien qu'un sens de la mesure soit ici nécessaire. Parce que la surrégulation peut aussi causer des dommages.