Cybersécurité hospitalière
Cybersécurité hospitalière : quand nos dispositifs médicaux passent l’épreuve du Test de pénétration (PenTest).
Face à la montée des cyberattaques visant les hôpitaux, la sécurité des dispositifs médicaux n’a jamais été aussi stratégique. C’est dans ce contexte que les Hospices Civils de Lyon, sélectionnés dans le cadre d’un appel à projets de l’ANSSI (Agence nationale de la sécurité des systèmes d'information), ont choisi de soumettre leurs solutions de monitorage à un test d’intrusion complet, appelé « Test de pénétration ». L’objectif de cette initiative nationale : bâtir une checklist permettant d’évaluer la cybersécurité de tout équipement médical connecté. Pour mener cet exercice, les équipes de sécurité des HCL se sont appuyés sur le matériel et l’expertise de Philips. Pour permettre un audit fidèle au terrain, Philips a mis à disposition un environnement complet – moniteurs, centrale, infrastructure réseau, une configuration validée par les équipes cybersécurité et R&D. Pendant cinq jours, la société spécialisée Yogosha et son équipe de hackers éthiques ont testé différentes procédures de cyberattaques - architecture logicielle - flux réseau - mécanismes de protection - scénarios d’accès non autorisés Leur approche, structurée autour d’un “arbre d’attaque”, visait à reproduire un enchaînement réaliste d’actions malveillantes, depuis l’élévation de privilèges jusqu’à l’impact potentiel sur la continuité de service. Les moniteurs de surveillance se sont révélés particulièrement robustes : aucune exploitation n’a pu être menée sur ces équipements, réputés difficiles à compromettre. Au total, sept vulnérabilités ont été identifiées sur l’infrastructure logicielle et réseau. Notamment lié à un accès physique à la machine, validant les restrictions d’accès recommandées par Philips et les établissements hospitaliers. Dès la clôture du test, un plan d’action a été engagé. Les correctifs critiques ont été intégrés rapidement dans les versions logicielles en cours de déploiement. D’autres évolutions, jugées mineures, seront intégrées dans les prochaines releases. Au-delà des corrections, cet exercice a également permis à Philips d’alimenter ses propres pratiques d’audit interne, en cohérence avec son approche “security by design” et ses politiques de mises à jour continues. Pour les équipes des Hospices Civils de Lyon, l’initiative apporte une visibilité objective sur la résistance d’un équipement clé du parcours patient. Et pour Philips, elle illustre une démarche assumée : accepter l’examen externe, transparent et exigeant, afin de renforcer durablement la sécurité des dispositifs médicaux dans un contexte où les environnements hospitaliers sont devenus des cibles de choix pour les cybercriminels.
Actualités en monitorage
Vous souhaitez recevoir, par e-mail, nos dernières actualités ?
Inscrivez-vous pour recevoir, par e-mail, nos dernières actualités
Le capteur BX100 est un dispositif médical de classe IIa fabriqué par Philips et dont l'évaluation de la conformité a été réalisée par l'organisme notifié TUV SUD CE0123. Il est destiné à la surveillance continue des paramètres physiologiques. Cette surveillance est prise en charge par les organismes d’assurance maladie dans certaines situations. Lisez attentivement la notice d’utilisation. Novembre 2020.
La solution Philips GuardianSoftware est un dispositif médical de classe IIb fabriqué par Philips et dont l'évaluation de la conformité a été réalisée par l'organisme notifié TUV SUD CE0123. Elle est destinée à la surveillance des paramètres physiologiques. Cette surveillance est prise en charge par les organismes d’assurance maladie dans certaines situations. Lisez attentivement la notice d’utilisation. Novembre 2020.
