Article
Selon un rapport publié ce mois-ci par ForeScout, une entreprise spécialisée dans la sécurité des appareils numériques, il faut parfois moins de trois minutes pour pirater des objets connectés communs. Voilà de quoi préoccuper les médecins, de plus en plus exposés à l’internet des objets.
Pansements connectés, tensiomètres connectés, glucomètres connectés… Bien qu’encore rares, les objets connectés sont déjà présents dans notre système de santé. Ils s’insinuent partout, mais sont-ils fiables ? Pas le moins du monde, estime ForeScout, une entreprise américaine de sécurité numérique, qui vient de publier un rapport sur la question : il suffit parfois même de trois minutes pour prendre le contrôle de dispositifs communs, comme des téléphones VoIP ou des imprimantes ! De quoi inquiéter les médecins, de plus en plus conduits à prescrire des objets de santé connectés.
« Ce qu’on ne réalise pas, c’est que sous les dispositifs médicaux connectés se cachent des mini-ordinateurs avec beaucoup de capacités », explique au site HealthCare IT News Pedro Abreu, directeur de la stratégie chez ForeScout. « Les organismes de santé se sont focalisés sur la protection des technologies traditionnelles aux dépens de celle de l’internet des objets », ajoute-t-il.
Une sécurité non rentable
Pour comprendre comment ce défaut de sécurité peut conduire à une catastrophe, il faut en effet prendre conscience de ce qu’est réellement un objet connecté. « Celui-ci réalise une mesure et la transmet à une application mobile dont les données sont stockées sur des serveurs hébergés chez les fabricants ou chez des fournisseurs cloud », explique Thierry Gatineau, responsable du laboratoire d’innovation technologique chez Harmonie Mutuelle. « Il suffit au hackeur d’utiliser le flux de communication non protégé entre l’objet connecté et son récepteur pour demander à l’objet de réaliser certaines actions comme, par exemple, accéder à internet en permanence et réaliser une cyber-attaque ».
Il est donc impératif de privilégier des appareils connectés qui utilisent un flux de communication chiffré avec leur récepteur. « Le problème, c'est que sécuriser un appareil représente un important coût dans la conception », explique Thierry Gatineau. « De quoi refroidir certains fabricants. ». Autre frein pour certains constructeurs : l’autonomie. Chiffrer les flux de communication nécessite de l’énergie, ce qui obligera l'utilisateur à recharger son objet connecté plus souvent.
Des solutions sont possibles
Pour aider le grand public (et les médecins) à y voir plus clair, Harmonie Mutuelle a mis en place un protocole d’évaluation des objets connectés. Les résultats sont disponibles sous la forme d'un guide, disponible sur internet, référençant un certain nombre de dispositifs médicaux selon différents critères : fiabilité, respect de la vie privée et engagement fabricant. « Nous avons demandé aux concepteurs s’ils chiffraient les communications de leur appareils », affirme Thierry Gatineau. « Pour ceux qui nous ont répondu “oui”, des preuves ont été exigées. »
De son côté, la Haute autorité de santé a publié récemment un référentiel de bonnes pratiques sur les applications et objets connectés en santé. Une démarche similaire mise en place par mHealth Quality, premier label européen participatif en santé mobile et connectée, qui se focalise pour sa part sur les applis.