Brève

La FDA alerte sur les risques de vulnérabilités numériques chez GE Healthcare

Publié le 06/02/2020

FDA

La Food and Drug Administration (FDA) américaine publie une information de sécurité informant les prestataires de soins de santé, les établissements et les patients des vulnérabilités en matière de cybersécurité identifiées pour certaines stations centrales d'information clinique et serveurs de télémétrie de GE Healthcare. Ces dispositifs sont principalement utilisés dans les établissements de soins de santé pour afficher des informations sur les patients, telles que l'état physiologique (c'est-à-dire la température, le rythme cardiaque, la pression sanguine, etc.) d'un patient, et pour surveiller l'état du patient à partir d'un point central dans un établissement, comme le poste de soins infirmiers. Les failles de cybersécurité identifiées pourraient permettre à un attaquant de prendre le contrôle du dispositif à distance pour faire taire les alarmes, générer de fausses alarmes ou interférer avec le fonctionnement des moniteurs de surveillance des patients connectés à ces dispositifs. Par exemple, un attaquant pourrait potentiellement faire taire une alarme destinée à communiquer des informations vitales sur un patient au personnel de santé, comme l'état cardiaque d'un patient. Ces failles de cybersécurité ont été identifiées par une entreprise de sécurité tierce. À ce jour, l'agence n'a reçu aucun rapport d'événement indésirable, y compris des rapports sur les préjudices subis par les patients ou le dysfonctionnement des appareils, associés à ces vulnérabilités.

« Les dispositifs médicaux connectés à un réseau de communication peuvent offrir de nombreux avantages par rapport aux dispositifs non connectés, tels que l'accès à des soins de santé plus pratiques ou plus rapides. Toutefois, lorsqu'un dispositif médical est connecté à un réseau de communication, il y a un risque que les vulnérabilités de la cybersécurité soient exploitées par un attaquant, ce qui pourrait causer des dommages aux patients », a déclaré Suzanne Schwartz, M.D., MBA, directrice du Bureau des partenariats stratégiques et de l'innovation technologique au Centre des dispositifs et de la santé radiologique de la FDA. « L'agence indique que la cybersécurité est une responsabilité partagée avec l'industrie des dispositifs médicaux, les organismes de prestation de soins de santé, les patients, les chercheurs en sécurité et d'autres organismes gouvernementaux. L'alerte d'aujourd'hui concernant les vulnérabilités de la cybersécurité dans certaines stations et serveurs de GE Healthcare est un exemple clé de l'engagement de la FDA à travailler avec toutes les parties prenantes pour traiter les problèmes de cybersécurité qui affectent les dispositifs médicaux afin d'assurer la sécurité des patients ».

Les vulnérabilités de stations centrales d'information clinique et de serveurs de télémétrie de GE Healthcare sont telles qu'une attaque pourrait se produire sans être détectée et sans interaction de la part de l'utilisateur. Comme une attaque peut être interprétée par le dispositif concerné comme des communications réseau normales ou de routine, elle peut rester invisible pour les mesures de sécurité existantes. Étant donné le risque de préjudice pour les patients, GE Healthcare a contacté les prestataires de soins et les établissements de santé qui disposent de ces dispositifs et a fourni des informations sur la vulnérabilité, ainsi que des instructions pour atténuer les risques et où trouver les mises à jour ou les correctifs logiciels lorsqu'ils seront disponibles. La communication de sécurité de la FDA publiée aujourd'hui alerte les prestataires de soins et les établissements de santé du risque que présentent ces vulnérabilités et fournit des recommandations sur les mesures qui peuvent être prises pour atténuer les risques. Ces recommandations consistent notamment à conseiller aux établissements de soins de santé de séparer le réseau reliant les moniteurs des patients aux stations centrales d'information clinique et aux serveurs de télémétrie de GE Healthcare concernés du reste du réseau hospitalier, et d'utiliser des pares-feux, des réseaux séparés, des réseaux privés virtuels, des moniteurs de réseau ou d'autres technologies qui minimisent le risque d'attaques de réseaux locaux ou distants.

L'agence s'est engagée à communiquer au public les vulnérabilités de la cybersécurité et a publié neuf communications de sécurité pour les vulnérabilités de la cybersécurité des appareils médicaux depuis 2013. La FDA prend très au sérieux les rapports sur les vulnérabilités des dispositifs médicaux et la communication de sécurité d'aujourd'hui comprend des recommandations aux fournisseurs et aux établissements de soins de santé pour la surveillance continue, la notification et la correction des vulnérabilités de cybersécurité des dispositifs médicaux.

La FDA poursuivra son travail avec les fabricants et les organismes de prestation de soins de santé - ainsi qu'avec les chercheurs en sécurité et d'autres organismes gouvernementaux - pour aider à résoudre les problèmes de cybersécurité tout au long du cycle de vie total d'un dispositif. Elle évalue en permanence les nouvelles informations concernant les vulnérabilités en matière de cybersécurité des dispositifs médicaux et tiendra le public informé si de nouvelles informations importantes deviennent disponibles.

La FDA, une agence du ministère américain de la santé et des services sociaux, protège la santé publique en assurant la sûreté, l'efficacité et la sécurité des médicaments humains et vétérinaires, des vaccins et autres produits biologiques à usage humain, ainsi que des dispositifs médicaux. L'agence est également responsable de la sûreté et de la sécurité de l'approvisionnement alimentaire de notre pays, des cosmétiques, des compléments alimentaires, des produits qui émettent des radiations électroniques et de la réglementation des produits du tabac.

Jean-Pierre Blum