« La numérisation des équipements biomédicaux est une avancée », a reconnu Sandrine Roussel, ingénieure biomédicale au CHU de Besançon, lors de la présentation, le 15 décembre, des travaux menés par l’AFIB sur la cybersécurité, « mais comme tout progrès, elle comporte sa part de risques ». Les chiffres sont là pour le prouver : tous les trois jours une cyberattaque est enregistrée dans le monde contre des établissements de santé. « Et dans les hôpitaux, les équipements biomédicaux sont souvent pointés du doigt comme étant des failles importantes ».
Ne pas travailler dans son coin
Constitué en 2019, un groupe de travail, composé de 6 personnes, a planché sur les mesures destinées à renforcer la sécurité numérique des DM. Premier conseil : les services biomédicaux ne doivent pas agir dans leur coin. « La gestion de la cybersécurité, en termes de stratégie, de moyens, de solutions techniques et fonctionnelles doit être collégiale et interdisciplinaire au sein des établissements de santé et des GHT », a prévenu Sandrine Roussel.
Cependant, les équipements biomédicaux ont des particularités qu’il ne s’agit pas d’oublier comme leur nombre (22 000 par exemple à Besançon), la diversité des modèles et leur ouverture sur l’extérieur (télémaintenance, bases de données dans le cloud). Leur durée d’utilisation, en moyenne dix ans, implique quasi-mécaniquement l’obsolescence de leur système d’exploitation.
Un questionnaire destiné aux fournisseurs
Ingénieur biomédical au CHU de Grenoble, David Laurent a détaillé les différentes suggestions du « think tank ». D’abord introduire la sécurité numérique dans les procédures d’achat. Pour ce faire, l’AFIB a élaboré un questionnaire standardisé à intégrer aux consultations afin d’interroger les fournisseurs sur le sujet. Le document sera bientôt disponible en libre accès.
Ensuite établir clairement le rôle de chaque acteur, via trois actions : la cartographie des équipements concernés, la formalisation d’un contrat de service – revu régulièrement – avec la DSI, et la mise au point d’une politique de sécurité numérique spécifique aux équipements biomédicaux, en lien avec celle de l’établissement.
Criticité et vulnérabilité
Le groupe de travail préconise également de bien définir deux notions, celle de criticité, concept déjà utilisé pour la maintenance, mais comprise différemment chez les informaticiens (disponibilité du service) et chez les biomédicaux (risque patient), et celle de vulnérabilité, autrement dit la capacité de l’équipement d’incarner une porte d’entrée pour les hackers. Dix critères ont été déterminés par le groupe de travail afin de pouvoir conférer un score de vulnérabilité à chaque matériel.
