Les industriels de la santé ne garantissent pas une sécurité à 100% pour leurs appareils médicaux connectés aux patients, et insistent sur un bénéfice supérieur au risque. La course aux armements entre hackers et fabricants de pacemaker et autres pompes à insuline semble infinie.
Abbott a rapidement réagi, proposant des mises à jour de logiciel aux États-Unis. L'industriel médical a également pris des mesures en France. Il a annoncé la mise à jour des logiciels de plusieurs marques de pacemakers (40.000 patients sont concernés, selon Le Monde), a annoncé l'ANSM (Agence du médicament), lundi 4 septembre. Le processus sera effectué par des médecins, épaulés et conseillés par la société américaine.
Les sociétés reconnaissent que le risque zéro n'existe pas
Ces dernières mises à jour garantissent-elles une sécurité totale pour les patients ? Pas à 100% disent les industriels eux-mêmes, à demi-mot. Dans son annonce transmise l'ANSM, Abbott évoque une procédure qui "réduit encore le risque de réussite d'une attaque de cybersécurité". Interrogée par La Tribune sur ce point, la société insiste sur un "faible risque" d'attaque. "Compromettre la sécurité de ces appareils nécessiterait un ensemble de circonstances très complexe",dit-elle en s'appuyant sur les déclarations récentes rassurantes du département de la Sécurité intérieure des États-Unis. Autre argument du fabricant d'appareils médicaux: il n'a relevé "aucune atteinte, liée à la vulnérabilité de la cybersécurité, des dispositifs concernés n'a été relevé".
Du côté de l'autre géant des pacemakers, Medtronic,on est confiant. Le numéro 1 mondial des dispositifs médicaux assure que le risque de piratage est "très faible" pour ses produits. "Si une personne essayait de manipuler un dispositif sans fil (wireless), celle-ci devrait être très proche physiquement du patient et serait par conséquent vue par celui-ci ou par le personnel soignant". Et d'ajouter que ses dispositifs cardiaques implantables ne sont jamais directement connectés à Internet, il communiquent "avec des outils dits « périphériques »qui disposent de systèmes de sécurité avancés".
Newsletter
Industrie et service
Chaque jour à 13h, l’essentiel de l’actualité industrielle.
En 2014, la société avait annoncé des changements sur ses appareils, sans dévoiler de détails, année où le département de la Sécurité intérieure des États-Unis enquêtait sur une douzaine de cas de suspicion de problème de cybersécurité sur une douzaine de dispositifs médicaux. Mais actuellement, le numéro 1 des dispositifs médicaux n'a "pas d'action de prévue ou en cours" de mise à jour des logiciels à l'instar d'Abbott, explique-t-il à la Tribune, tout en se disant prêt "à réagir" en cas de besoin.
À l'instar des laboratoires pour leurs nouveaux médicaments contre les maladies graves, les industriels comme Medtronic, mettent en avant des bénéfices plus fort que les risques de leurs appareils. "Le très faible risque d'attaque malveillante doit être mis en regard des nombreux bénéfices", justifie ainsi ce dernier. Comme une façon de prévenir les autorités de santé que les industries ne pourront pas garantir toutes seules un risque zéro...
Aucun dispositif médical porté n'est protégé à 100%
David Luponis, spécialiste en cybersécurité pour le cabinet de conseil Mazars, juge que l'attention des sociétés "portée sur la sécurité des systèmes d'information s'est accrue récemment". Mais il confirme qu'"en termes de sécurité, personne n'ose s'engager à long terme". Car c'est l'éternelle course aux armements entre hackers et industriel.
"Demain quelqu'un trouvera toujours une nouvelle faille. Le pacemaker est connu par les spécialistes, mais aussi par les hackers. Chaque fois qu'un objet électronique ou informatique sort, il est mis à l'épreuve par des hackers pour savoir comment contourner ses systèmes de sécurité",explique-t-il à La Tribune.
Et quid des risques planant sur les objets connectés de santé en général ? Pour l'analyste, il y a peu de différences entre un pacemaker, un parsec ou une pompe à insuline -de plus en plus connectée avec l'arrivée d'une nouvelle génération d'appareils-", et plus généralement entre tous les "objets électroniques ou informatiques".
"Des démonstrations fortes de piratage ces dernières années montrent que tous les objets informatiques ou électroniques peuvent être soumis à des attaques," avance-t-il.
"Il existe des cyberattaques contre les bracelets connectés dédiés au calcul le nombre de kilomètres de marche par exemple, et utilisés par les Assurances santé aux États-Unis pour récompenser les assurés faisant des efforts physiques", rappelle David Luponis.
Si les grands fabricants ont en général réglé ce problème, "les bracelets connectés de petites séries ont ces problèmes régulièrement aujourd'hui, car ils utilisent une connexion Bluetooth non sécurisée", relève-t-il. Le risque pour les utilisateurs est financier. Ils peuvent subir un piratage visant par exemple à diminuer leur nombre de pas enregistrés, et donc leur récompense.