Quelles bonnes pratiques adopter en cas d'utilisation de dispositifs médicaux connectés ?

Le développement de dispositifs médicaux au sein des établissements de santé a connu ces dernières années une croissance rapide. Cette nouvelle visibilité sur l'état santé des patients s’est, par ailleurs, accompagnée de nouvelles problématiques en lien avec la sécurité des données. Aux enjeux liés à leur intégrité et confidentialité, s’ajoutent également un objectif de protection de la vie des patients.

Sur le plan de la sécurité informatique, cette multiplication de dispositifs médicaux connectés provoque également un risque exponentiel, dans laquelle un seul appareil compromis peut engendrer une atteinte majeure aux données à caractère personnel de santé. Le risque augmente également lorsque la gestion de ces périphériques est faite par différents prestataires externes disposant de leurs propres infrastructure matérielle ou logicielle. Ces infrastructures amènent de potentielles vulnérabilités qui pourront potentiellement faire l’objet d’une exploitation isolée par différents acteurs non identifiés.

Certaines bonnes pratiques permettent d'atténuer en partie les risques associés à l'utilisation de ces dispositifs. Définie de manière graduelle, elles limitent chacune le risque associé à leur usage.

Ces bonnes pratiques figurent dans l'onglet "Recommandations".

Recommandations
+
  1. Une isolation au sein du réseau de l’établissement

Dans la mesure où certains appareils ne font plus l’objet de mises à jour ou de support technique (voir une illustration ici), un isolement du dispositif médical permet de limiter drastiquement la portée du risque associée à une utilisation illicite.

  1. La mise en place d’un suivi des dispositifs médicaux

Pour chacun des dispositifs utilisés au sein de l’établissement, l’équipe informatique doit pouvoir identifier les caractéristiques techniques des appareils, en répertoriant notamment les numéros de série, location physique et état des versions logicielles installées.

  1. Le suivi des normes de sécurité et la mise à jour des procédures planifiée dans le temps

Lorsqu'un dispositif médical se connecte à un réseau hospitalier, il peut introduire de nouveaux risques dans l'environnement si l'équipe ne vérifie ou n'évalue pas correctement l'efficacité des procédures en œuvre. En raison de potentielles vulnérabilités cachées, l'équipe informatique doit ainsi pouvoir contrôler les normes et passer en revue la sécurité et la configuration d'un nouvel appareil de façon régulière.

  1. La mise en œuvre d’outils de surveillance réseau

Concernant les appareils exposés sur Internet des SI de l’établissement de santé (ou en interne et contrôlé à distance), l'équipe informatique doit pouvoir disposer d’outils de surveillance du trafic réseau. Seront ainsi contrôlés : la gestion et le contrôle des accès du personnel habilité à utiliser ces appareils, ou encore la pertinence des requêtes.