La cybersécurité des dispositifs médicaux : recommandations pour mettre le système des soins de santé canadien à l'abri des cyberattaques

- Boucherville, Québec

Cybersecurity

Le nombre de dispositifs se connectant à Internet ou à d'autres réseaux croît de manière exponentielle, ce qui a entraîné une augmentation des dispositifs médicaux connectés avec de plus en plus de personnes recevant ces appareils à domicile, comme les appareils de mesure de la pression artérielle ou de la glycémie. Même les données d'un pèse-personne peuvent désormais être transférées au nuage et interprétées par un clinicien à distance.

Avec le développement et l'évolution rapides des dispositifs médicaux ont surgi de nouveaux défis pour les patients, les professionnels de la santé et ceux qui fabriquent de tels appareils. Comme tout autre dispositif connecté, les dispositifs médicaux sont vulnérables aux cybermenaces et les enjeux sont importants. Par exemple : une faille pourrait compromettre les données des patients et affecter les performances des dispositifs vitaux, exposant les patients à des problèmes de sécurité.

Dans ce contexte, l'expertise des chercheurs du Centre de recherche sur les dispositifs médicaux du Conseil national de recherches du Canada (CNRC) a été mise à profit pour publier, en 2019, un rapport technique intitulé « Cybersecurity for medical devices: recommended best practices during design, development and deployment » [Cybersécurité des dispositifs médicaux : meilleures pratiques recommandées lors de leur conception, leur développement et leur déploiement]. Le rapport a été rédigé en collaboration avec Santé Canada, l'organisme gouvernemental responsable de la réglementation des dispositifs médicaux, et le Centre canadien pour la cybersécurité, qui conseille les industries, les entreprises et les citoyens canadiens sur la manière de se protéger en ligne. Grâce à sa compréhension des besoins de l'industrie en matière de rythme d'innovation rapide, ainsi que des besoins du gouvernement en matière de maximisation de la sécurité publique, les chercheurs ont pu combler le fossé entre les parties prenantes impliquées dans le rapport.

Pratiques exemplaires à l'intention des entreprises qui fabriquent des dispositifs médicaux

Le rapport décrit les meilleures pratiques en matière de cybersécurité que les entreprises de dispositifs médicaux doivent prendre en compte lors des phases de conception et de développement préalables à la mise sur le marché.

« On croit souvent que ces dispositifs sont fabriqués par de grandes multinationales qui disposent d'une formidable équipe en cybersécurité pour s'occuper de ces choses, mais ce n'est pas vraiment le cas. Je dirais qu'une entreprise spécialisée dans le domaine, au Canada, compte en moyenne moins de 25 employés », explique Richard Bernhardt, agent du CNRC, lorsqu'il évoque les motifs à l'origine du rapport.

Le rapport examine également une plateforme de recherche pour la télésurveillance des malades baptisée bConnected que perfectionne l'équipe en simulation et en santé numérique du Centre de recherche sur les dispositifs médicaux. Richard Bernhardt et les 2 autres chercheurs du CNRC qui ont signé le rapport, Di Jiang, agent de recherches au Centre de recherche sur les dispositifs médicaux, et Danny D'Amours, directeur des opérations au Centre de recherche sur les technologies numériques, s'en sont d'ailleurs servis pour montrer à chacun les pratiques exemplaires en la matière.

Recommandations et conseils

Lors d'un séjour dans un environnement de type hospitalier, il serait souhaitable que les patients soient conscients de la facilité avec laquelle les appareils peuvent être trafiqués. « Les dispositifs médicaux sont déployés dans les espaces publics, dans les hôpitaux, où leur accès est facile. Une fois qu'une personne mal intentionnée est capable d'entrer dans ces dispositifs, avec les conséquences dramatiques que l'on imagine », prévient M. Bernhardt.

À ce jour, aucun incident de cyberintrusion ayant entraîné des dommages physiques aux patients n'a été recensé. Le rapport contribue à sensibiliser à ces cyberdangers et, en fin de compte, à guider les administrateurs d'hôpitaux, les fournisseurs de soins de santé et les concepteurs de dispositifs médicaux afin de mieux protéger les dispositifs connectés contre les cyberattaques.

Contactez-nous

Priyum Koonjul-Myburgh, Directrice, Développement des affaires
Courriel : Priyum.Koonjul@cnrc-nrc.gc.ca

Liens connexes