Les dispositifs médicaux peu sécurisés représentent-ils une porte dérobée pour les pirates ?

0
145

William CULBERT Director of Solutions Engineering ,EMEA Bomgar Corporation
William CULBERT Director of Solutions Engineering ,EMEA Bomgar Corporation

Le recours de plus en plus important aux dispositifs connectés dans les services médicaux et les processus rationalisent et améliorent la façon dont les médicaments sont suivis, développés, prescrits et distribués. Les personnels médicaux de garde/hors site peuvent en outre accéder aux informations et obtenir des médicaments sur site, ce qui permet d’améliorer les niveaux de service et la productivité. Mais il faut réaliser qu’outre les avantages exponentiels des appareils connectés, leur irruption dans ce secteur peut créer des points de vulnérabilité dans l’infrastructure informatique d’un établissement de santé.
Pour un établissement, la plus grande menace concerne l’identification des utilisateurs pouvant véritablement accéder aux informations et des niveaux d’accès au réseau dont ils bénéficient. Avec l’Internet des objets, l’accès peut revêtir de nombreuses formes différentes : du médecin qui se connecte à distance aux antécédents médicaux et aux prescriptions jusqu’aux équipes des urgences et aux ambulanciers qui renseignent les dossiers des nouveaux cas rencontrés.
Pour entourer ces points d’accès des niveaux de sécurité adéquats, les établissements médicaux/de santé doivent s’attacher en priorité à la gestion et au contrôle des comptes utilisateurs et des accès à partir des différents terminaux. La grande variété des fonctions exigeant un accès aux différents types d’informations et de systèmes médicaux obligera également à définir plusieurs niveaux d’accès. Par exemple, un médecin de garde devra pouvoir accéder à l’ensemble des antécédents médicaux et à l’historique des prescriptions, tandis que le personnel soignant de garde peut ne pas être qualifié pour accéder aux prescriptions ni en délivrer et n’avoir besoin de consulter que les antécédents médicaux.
Par conséquent, il est impératif de veiller à ce que la bonne personne ait accès au réseau IT ou au terminal avec le niveau d’autorisation qui lui a été attribué. L’identification des accès individuels ne suffit pourtant pas toujours à dissiper totalement les craintes liées à la sécurité et à la sûreté. Même lorsque la bonne personne accède au réseau depuis un appareil spécifique en utilisant les bons identifiants, rien ne garantit qu’une personne malveillante n’a pas usurpé la connexion pour profiter des mêmes droits et niveaux d’accès que l’utilisateur légitime.
En se faisant passer pour un salarié, les pirates peuvent profiter de la connexion établie entre l’appareil et le réseau pour s’infiltrer en ayant le même niveau d’accès que le membre du personnel. Les pirates ont ainsi intérêt à prendre pour cible les dispositifs de passerelle tels que les outils servant à la fourniture de soins médicaux. Dans ce cas de figure, le dispositif ne détient aucune information sensible, mais il peut faire office de passerelle vers le réseau.
Des solutions de gestion et de protection des accès doivent alors être envisagées pour permettre un contrôle, une gestion et une surveillance granulaires des demandes et des conditions d’accès aux réseaux informatiques, de façon à empêcher les pirates d’y accéder via des dispositifs médicaux et à protéger la confidentialité des informations médicales et des données personnelles.

Laisser un commentaire