[États-Unis] Le FBI lance une alerte sur les équipements médicaux vulnérables

Le 12 septembre 2022, la division cyber du FBI a publié une note d’alerte concernant le nombre croissant de dispositifs médicaux sujets à des vulnérabilités non corrigées.

Dans cette note, le FBI rappelle la criticité de ces équipements et les menaces que leurs vulnérabilités font peser sur les établissements de santé et leurs patients.

Le FBI souligne que les établissements de santé sont contraints de déployer sur leur système d’information un grand nombre d’équipements médicaux variés, connectés à des réseaux souffrants parfois de l’absence de dispositifs de sécurité suffisants. Du fait de leur durée de vie importante et de l’absence de mise à jour (totale ou régulière), des acteurs malveillants disposent ainsi de tout le temps nécessaire afin de trouver et exploiter d’éventuelles vulnérabilités. Celles-ci peuvent être également dues à une conception des équipements ayant fait l’impasse sur la cybersécurité ou à une configuration par défaut insuffisamment sécurisée.

Afin de remédier à cette menace croissante, le FBI recommande, dans la mesure du possible, d’appliquer les mesures suivantes :

  • Déployer des outils de détection et réponse à incidents (EDR & XDR) sur les réseaux ainsi qu’un antivirus sur les machines hôtes ;
  • Chiffrer les données de santé ;
  • Assurer une politique de sécurité visant au renouvellement des accès et mots de passe ;
  • Maintenir un système de gestion des dispositifs médicaux et logiciels déployés. Utiliser cet inventaire pour identifier les dispositifs médicaux critiques et les délais d'entretien ;
  • Envisager des options de remplacement pour les dispositifs médicaux concernés par des vulnérabilités qui n’ont pas pu être corrigées. Prendre des mesures de réduction des risques de leur exploitation si l’équipement ne peut être remplacé ;
  • Surveiller et analyser les vulnérabilités des dispositifs médicaux publiées par les fournisseurs ;
  • Mettre en œuvre une analyse de vulnérabilité systématique avant d'installer tout nouveau dispositif médical dans le système d’information ;