Les incidents de sécurité liés aux objets connectés médicaux en hausse

Selon une étude, les incidents de sécurité liés à l’IoT (Internet des objets) du domaine médical vont connaître une augmentation en 2019.

La technologie IoT a été largement adoptée et des millions d’appareils connectés apparaîtront probablement dans des secteurs clés tels que la santé et les soins médicaux. En 2018, les hôpitaux et les cabinets médicaux avaient déjà adopté des projets IoT pour améliorer l’expérience du patient et réduire les tâches manuelles. Par exemple, un hôpital de Los Angeles a aménagé des chambres avec des appareils Alexa pour donner aux patients un sentiment de plus grande indépendance, démontrant que d’innombrables appareils médicaux et dispositifs portables IoT peuvent aider les patients.

Des attaques à grande échelle telles que WannaCry et NotPetya ont déjà affecté des organisations de santé utilisant des logiciels obsolètes, et ce n’est qu’une question de temps avant qu’une autre attaque désastreuse soit révélée. WannaCry, par exemple, a coûté environ 100 millions de livres sterling au service national de la santé du Royaume-Uni après avoir fermé des hôpitaux et annulé 19 000 rendez-vous pour des patients.

Selon l’Enquête HIMSS sur la cybersécurité de 2018, la sécurité des patients reste la priorité numéro un dans le secteur de la santé, ses principales menaces étant les violations ou fuites de données (11,8%), les ransomwares (11,3%) et les logiciels malveillants volant des informations d’identification (11%). Les principaux obstacles à la prévention des incidents sont le manque de personnel qualifié en cybersécurité (52,4%), le manque de ressources financières (46,6%), un grand nombre de vulnérabilités applicatives (28,6%), trop de points finaux (27,5%) et les nombreuses menaces émergentes et nouvelles. (27,0%).

À mesure que le nombre d’organisations de santé déployant des solutions IoT augmente, les incidents de sécurité dus aux innombrables vulnérabilités des appareils connectés augmentent également. Près de 76% des établissements de santé ont subi une cyberattaque au cours de l’année écoulée, notamment des APT (menaces persistantes avancées) et des attaques d’initiés. Près de 30% des attaques étaient liées à des emails de phishing (hameçonnage) et de spear phishing (harponnage) (29,6%), le point de compromission le plus courant.

Bien que leurs efforts soient sur la bonne voie et que la conformité soit une préoccupation majeure, les organisations de soins de santé devraient se concentrer davantage sur la sécurité des dispositifs IoT, les programmes de gestion des menaces internes et les tests d’intrusion afin de corriger les vulnérabilités des infrastructures et d’adopter un cadre sécurisé. Même s’ils souhaitent intégrer une technologie médicale intelligente, 6% ou moins du budget informatique total est consacré à la protection des informations et des actifs.

Les problèmes de sécurité liés aux appareils connectés doivent constituer une préoccupation majeure pour les administrateurs de services de santé, car tout dysfonctionnement pourrait mettre les patients en danger. Non seulement pour les patients utilisant des stimulateurs cardiaques intelligents ou des pompes à insuline, mais également pour ceux dont les dossiers médicaux pourraient être vendus sur Internet et manipulés à des fins d’usurpation d’identité et de fraude. On s’attend à ce que les attaques liées aux soins de santé deviennent de plus en plus sophistiquées, car les pirates feront tout ce qui est en leur pouvoir pour mettre la main sur des informations personnelles et compromettre le matériel médical.