sécurité et mise à jour des appareils médicaux

L’an dernier j’ai été très surpris en découvrant dans un hôpital un appareil médical dont le PC de commande était  « motorisé » par un système d’exploitation obsolète. Malheureusement cette situation ne semble pas exceptionnelle. La raison est simple : certains appareils médicaux sont construits pour durer plus longtemps que les OS des PCs qui les pilotent ! Ce décalage flagrant entraine des risques concernant la mise à jour des patchs de sécurité et la vulnérabilité des PCs si l’OS n’est plus supporté par l’éditeur. La fin de Windows XP en est un exemple qui va devenir critique prochainement.

mise à jour de l’OS et vulnérabilité

Sans vouloir généraliser prenons un exemple un appareil est livré avec un logiciel prévu pour un OS spécifique. L’appareil médical n’est supporté par le constructeur que si l’appareil n’est pas modifié - c’est une évidence -, y compris au niveau de l’OS- ce qui l’est moins ! Donc en cas de mise à jour majeure de l’OS (ou son remplacement) l’hôpital ou l’opérateur de l’appareil peut se trouver confronté au dilemme suivant :

  • mettre à jour l’OS supportant son appareil et ne plus avoir le support du fabricant,
  • bénéficier du support du fabricant mais risquer de voir le PC commandant l’appareil être victime d’une vulnérabilité connue qui aurait pu être aisément corrigée….

Dilemme cornélien vous en conviendrez !

Dans un monde idéal une mise à jour de l’OS de l’appareil ne devrait pas impacter les fonctions médicales ! Cela parait évident mais qu’en est-il réellement ?

mener une analyse de risque

Pour pouvoir mettre à jour son appareil l’utilisateur de l’appareil médical devrait identifier les composants de l’OS qui vont réellement impacter le programme médical nécessaire au bon fonctionnement de l’appareil. Et ensuite de mener une analyse de risque pertinente : est-il plus risqué de patcher ou de ne pas patcher ? Mais est ce que les utilisateurs de tels appareils (médecins, opérateurs etc) en sont capables ? J’en doute fort.

Dans une vidéo déjà citée dans cet article Jay Radcliffe propose donc une classification de bon sens en 3 types de librairies pour mener une analyse de risque :

  • Les librairies provenant du fournisseur de l’OS mais n’étant pas  utilisées à un stade ou un autre du fonctionnement de l’appareil médical.
  • Les librairies qui sont utilisées uniquement pour faire fonctionner ou commander  la partie médicale de l’appareil et qui sont du seul ressort du vendeur de l’appareil médical.
  • Les librairies provenant du fournisseur de l’OS mais qui sont utilisées directement à un stade ou un autre du fonctionnement de l’appareil médical.

Pour les premières librairies disons qu’elles relèvent de la mise à jour classique d’un OS et ne devraient pas poser de problème puisqu’elles n’impactent pas le fonctionnement de la partie médicale de l’appareil. L’analyse de risque devient très simple.

Même cas pour le second  type de librairies si le constructeur propose une mise à jour du logiciel de commande et que l’hôpital souhaite la mettre en œuvre cela ne devrait pas poser de problème. Seule la compatibilité de l’OS devrait être examinée.

le cas délicat

Il concerne donc le dernier type de librairies. En cas de mise à jour des librairies de l’OS utilisées par les appareils médicaux le client devrait pouvoir se retourner vers le fabricant pour faire valider que la mise à jour proposée par l’éditeur de l’OS est sans risque pour la partie médicale. Pas facile mais jouable. Malheureusement nous n’en sommes pas encore là ! Selon mes connaissances chaque constructeur a sa politique de mise à jour et ses propres pratiques.

Et dans la pratique je ne sais pas si ces updates sont réellement suivis et par qui, le personnel médical, les personnes en charge de l’IT, d’autres personnes…. Mystère !

quelles questions poser avant d’investir ?

Mais cela donne à réfléchir quand il s’agit d’investir dans un équipement médical qui durera sans doute plus longtemps que l’OS qui le pilote. Voici quelques-unes des questions de bon sens que je me poserais avant d’acheter :

  • Y-a-t-il un process de mise à jour du logiciel médical et si oui comment est faite la mise à jour
  • Comment se fait la dépendance entre le logiciel médical et l’OS ?
  • Y-a-t-il un process d’upgrade de l’OS prévu et validé par le fabricant ?
  • Y-a-t-il un process de changement d’OS prévu si celui-ci n’est plus supporté ?

Donc selon moi de nombreuses questions et pas encore beaucoup de réponses et à ma connaissance pas encore de guide de bonnes pratiques généralisé en ce domaine. Je crois cependant savoir que la FDA (l’administration américaine en charge de donner son agrément aux appareils médicaux) commence à intégrer les aspects de cyber-sécurité dans ses critères d’évaluation.

Même s’il s’agit encore d’un draft je suis certain que ce n’est qu’un début et que ce sujet qui va devenir de plus en plus important dans les années à venir.

Philippe

Crédit photo : © sudok1 - Fotolia.com

Philippe Macia

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.