Internet of Thingssecurite informatiqueSecurity Policies

Médecine connectée : un diagnostic

Dans les institutions médicales, les données des patients migrent, doucement, mais sûrement, des dossiers sur papier vers une infrastructure « numérique ». De nos jours, ces données sont « éparpillées » dans des bases de données, des portails, des dispositifs médicaux, etc. Dans certains cas, la sécurité du réseau de ces organisations ne reçoit pas l’attention qu’elle mérite et les ressources qui traitent les données médicales sont accessibles depuis l’extérieur.

Les résultats obtenus suite à l’étude que nous avions évoquée dans un article antérieur ont justifié la réalisation d’une analyse plus poussée de la problématique de la sécurité, mais cette fois-ci, depuis l’intérieur des institutions médicales (bien entendu, avec l’accord des responsables) afin de pouvoir « travailler sur les erreurs » et émettre une série de recommandations aux experts de la sécurité de l’information qui travaillent dans ces institutions médicales.

Erreur de diagnostic, premier pas vers l’issue fatale

Garantir la sécurité des données dans le milieu médical est un défi bien plus grand qu’il ne semble à première vue. Le premier scénario qui vient à l’esprit, à savoir un vol de données revendues ensuite sur le marché noir, est moins effrayant que la possibilité, pour des individus malintentionnés, de modifier les données d’un diagnostic. Quels que soient les objectifs poursuivis par les criminels (extorsion des propriétaires des cliniques ou attaque ciblée contre certains patients), les conséquences pour les patients sont fâcheuses : un médecin qui reçoit des données erronées peut prescrire un traitement incorrect. Même si la substitution de données est découverte à temps, les opérations normales de l’institution médicale peuvent être suspendues en raison de la nécessité de vérifier à nouveau toutes les informations stockées sur le matériel compromis.

Un rapport du Centers for Disease Control and Prevention (CDC) nous apprend que les erreurs médicales sont la troisième cause de décès aux Etats-Unis. La qualité de tout diagnostic dépend non seulement des qualifications du médecin, mais également de l’exactitude des données envoyées par les dispositifs médicaux et stockés sur les serveurs médicaux. Et cela signifie que ces ressources de la médecine connectée intéressent vraiment les individus malintentionnés.

Qu’entend-on par « médecine connectée » ?

Ce terme désigne la multitude de postes de travail, de serveurs et de dispositifs médicaux spécialisés connectés au réseau d’une institution médicale (cf. l’illustration ci-dessous pour un modèle simplifié).

Topologie d’un réseau de la « médecine connectée »

Les dispositifs de diagnostic modernes peuvent se connecter au réseau local d’une organisation ou peuvent être connectés à des postes de travail à l’aide, par exemple, d’une connexion USB. Bien souvent, un dispositif médical traite les données (par exemple, des radiographies de patient) au format DICOM qui est un standard du secteur pour les images et les documents. Les systèmes PACS (Picture Archiving and Communication System) sont utilisés pour conserver les données et offrir un accès depuis l’extérieur et ils peuvent intéresser les individus malintentionnés.

Recommandations n°1 : supprimer l’accès public aux nœuds qui traitent des données médicales

C’est une évidence : les informations médicales doivent se trouver exclusivement dans les limites du réseau local de l’institution. Toutefois, il existe actuellement plus de 1 000 dispositifs DICOM en accès public, comme le montrent les statistiques obtenues à l’aide du moteur de recherche Shodan.

Répartition géographique des dispositifs DICOM (données tirées du moteur de recherche Shodan)

En règle générale, les systèmes PACS les plus divers qui hébergent des informations précieuses (pour les individus malintentionnés) sont en « libre accès ». Ces systèmes PACS doivent absolument être installés à l’intérieur du périmètre de l’entreprise, à l’abri de toute utilisation non autorisée par un tiers. De plus, il convient de réaliser des sauvegardes régulières du contenu.

style= »margin-bottom:0!important »>

Recommandations n°2 : éviter de donner des noms trop descriptif aux ressources

Dès la phase de reconnaissance, un attaquant peut obtenir des informations importantes pour l’attaque. Ainsi, lors de l’inventaire des ressources accessibles, il peut obtenir le nom des ressources internes (serveurs et postes de travail) et déterminer ainsi les nœuds du réseau qui représentent un intérêt.

Données relatives aux ressources du réseau local d’une organisation obtenues à l’aide de sources ouvertes

À titre d’exemple de ressources « intéressantes », citons les serveurs de bases de données et d’autres « points de collecte » d’informations médicales. De plus, l’attaquant peut utiliser les noms descriptifs de ressources pour identifier les postes de travail auxquels des dispositifs médicaux sont connectés.

Exemple de mauvais choix de noms pour les ressources internes dans le réseau local d’une institution médicale qui permettent à l’attaquant de deviner où se trouvent les données importantes

Pour compliquer la vie des individus malintentionnés, il faut absolument adopter des noms neutres. Il existe des recommandations pour la définition des noms des postes de travail et des serveurs qui ont été rédigées par des organisations qui font autorité. Nous vous invitons à en prendre connaissance.

Recommandations n°3 : mettre à jour régulièrement les applications installées et supprimer les applications inutiles

Lorsque l’individu malintentionné analyse l’application installée sur les nœuds du réseau qui traitent les données importantes, il peut trouver de nombreux points d’accès potentiels. Dans l’exemple ci-après, le poste de travail est doté de nombreuses applications qui n’ont rien à voir avec la médecine (le ver W32.Mydoom et le serveur de jeux Half-Life Engine). Cette liste contient également plusieurs applications dotées de vulnérabilités critiques pour lesquelles il existe des codes d’exploitation.

Exemple d’application installée sur un poste de travail avec un dispositif médical connecté

Voici un autre exemple de démarche irresponsable : l’installation d’un logiciel tiers sur un serveur responsable du portail qui offre aux médecins et aux patients un accès à distance aux données.

Logiciel tiers installé sur un serveur doté d’un dispositif de consultation des images DICOM

Pour éviter tout accès aux données via un logiciel tiers, il faut réaliser à intervalle régulier un inventaire des applications installées et les mettre à jour. Il ne peut y avoir aucune application superflue sur les postes de travail auxquels est connecté un dispositif médical.

Exemple de portail médical contenant des vulnérabilités critiques qui donnent accès aux données médicales

Recommandations n°4 : éviter de connecter du matériel cher au réseau local principal de l’organisation

Les dispositifs médicaux utilisés pour poser un diagnostic ou réaliser une intervention chirurgicale coûtent en général énormément d’argent et leur maintenance (par exemple, l’étalonnage) requiert d’importants investissements financiers de la part du propriétaire.

Un individu malintentionné qui aurait obtenu l’accès à un tel dispositif ou à un poste de travail connecté à ce dispositif pourrait :

style= »margin-bottom:0!important »>

  • extraire des données médicales directement depuis le dispositif ;
  • substituer les données de diagnostic ;
  • modifier la configuration du dispositif, ce qui donnerait des résultats incorrects et pourrait le mettre temporairement hors service.

Pour accéder aux données en provenance du dispositif, l’individu malintentionné doit uniquement trouver l’application spécifique.

Dans la liste des applications installées sur le poste de travail, l’individu malintentionné peut choisir les applications médicales et modifier les paramètres de fonctionnement du dispositif

Pour empêcher l’accès non autorisé au dispositif, il faut isoler tous les dispositifs médicaux et les postes de travail connectés dans un segment distinct du réseau local et être très attentif aux événements qui se produisent dans ce segment (cf. également la Recommandation n°5).

Recommandations n°5 : garantir la détection en temps utile de toute activité malveillante dans le réseau local

S’il n’est pas possible d’installer une solution de protection directement sur le dispositif (parfois, la garantie du fabricant interdit toute manipulation au niveau du système d’exploitation), il faut trouver des alternatives pour détecter les individus malveillants ou les tromper. Nous en avons évoqué une dans notre article intitulé « Tromper pour détecter ».

L’institution peut mettre en place une série de pièges spécialisés, à savoir des nœuds dans le réseau local qui imitent un dispositif médical. Tout accès non autorisé à celui-ci peut signaler la compromission du réseau, ce qui oblige le service informatique de l’institution médicale à prendre les mesures requises.

Il existe plusieurs méthodes de détection des activités malveillantes et simplement les citer dans le cadre d’une recommandation n’a pas beaucoup de sens : chaque service informatique doit choisir les technologies, les produits et les stratégies de sécurité de l’information sur la base de plusieurs facteurs dont la taille du réseau, le caractère critique des ressources, le budget, etc. Toutefois, il ne faut pas oublier le point suivant : l’absence de protection de l’infrastructure médicale pourrait coûter la vie aux patients.