Réunion annuelle Réseau Pompe Diabète Provence 2018 - Les nouveaux dispositifs liés à la prise en charge du diabète présentent ils toutes les conditions de sécurité?
3. Types de menaces
Perturbation des soins / services (y compris le risque de décès d’un patient)
Fraudes pour induire le personnel soignant en erreur avec des emails trompeurs (spoof email) ou faux sites web afin
d’obtenir des informations d’identification de connexion ou installer des logiciels malveillants (malware)
Menaces internes (insider threat) intentionnelle ou non intentionnelle, qui peuvent constituer un danger significatif en raison
de la position de confiance au sein d’une organisation
Perte de données sur les patients - en particulier les données électroniques de santé protégées (electronic Protected Health
Information - ePHI)
Violation de données, exfiltration d’information et perte d’actifs
Chantage, extorsion et contrainte par l’exploitation de données sensibles exfiltrées
Vol de propriété intellectuelle (Intellectual Property - IP)
Dr Arnaud Depil Duval - Urgences Evreux Vernon
4. Qui sont les criminels?
Hackers
Opérateurs de
réseau de robot
Groupes criminels
Agences de
renseignement
étrangères
Initiés
Hameçonneurs
(Phishers)
Spammeurs
Auteurs de logiciels
espions /
malveillants
(spyware/malware)
Terroristes
Espions industriels Spéculateurs
Dr Arnaud Depil Duval - Urgences Evreux Vernon
5. Agents vulnérants
• Malware (logiciel malveillant) :
• Virus : replication et propagation en se
cachant dans un programme
• Ver : envoi d’une copie vers une autre machine
• Cheval de Troie
• Spyware (logiciel espion)
6. Agents vulnérants (2)
• Ransomware (rançongiciel) :
• Cryptage des données
• Chantage
• Demande de rançon
• Wannacry, Winlock, etc.
• 120000 logiciels référencés en 2012
7. Dr Arnaud Depil Duval - Urgences Evreux Vernon
Mythe ou réalité?
8. Une menace bien réelle
• Anatomy of an Attack – Medical Device Hijack 2
• USA depuis 2009, 1286 incidents pour 28
milliards €
• Hôpitaux : 6% du budget consacré à la
cybersécurité (industrie : 16%)
Dr Arnaud Depil Duval - Urgences Evreux Vernon
9. Cyber attaque
NHS
• Rançongiciel Wannacry
• 300$ en bitcoin (non traçable) pour déverrouiller
• 24 heures de black out
Dr Arnaud Depil Duval - Urgences Evreux Vernon
10. Multiples attaques
• Ransonware Samsam : 44.000$
• 300% de Ransomware depuis 2012
• Et les dispositifs médicaux?
Dr Arnaud Depil Duval - Urgences Evreux Vernon
12. Spéculateurs
• Medsec dénonce les failles des
pacemakers St Jude
• Les actions St Jude chutent
• Medsec achète les actions St
Jude…
Dr Arnaud Depil Duval - Urgences Evreux Vernon
13. Cyber attaque et santé
Dr Arnaud Depil Duval - Urgences Evreux Vernon
14. Pourquoi attaquer la santé?
Peu protégée
Coordonnées
bancaire et
sécurité sociale
Rançon
Dr Arnaud Depil Duval - Urgences Evreux Vernon
17. Hacker Halted
2011
Antenne radio (100$)
Récupération données
Modification des
informations transmises
par la sonde en vue
d’administrer une
surdose
Envoi de commandes
radio directement à la
pompe pour modifier les
doses injectées sans
passer par les capteurs
Dr Arnaud Depil Duval - Urgences Evreux Vernon
19. Un risque non négligeable…
Dr Arnaud Depil Duval - Urgences Evreux Vernon
20. Faille de sécurités
2016
• Johnson & Johnson pompes One Touch Ping
• Injection d’une dose sans contrôle
• Redémarrage de 14.000 appareils
Dr Arnaud Depil Duval - Urgences Evreux Vernon
21. Pourquoi attaquer les dispositifs médicaux?
Dr Arnaud Depil Duval - Urgences Evreux Vernon
22. Failles de sécurité
• Systèmes d’exploitation anciens
• Protection faible
• Pas de mise à jour vis-à-vis des nouvelles
menaces
Dr Arnaud Depil Duval - Urgences Evreux Vernon
23. Des dispositifs
fragiles
• Limitation des évolution de
sécurité du fait des autorisations
• Peu d’évolution après vente
• Matériel à cycle de vie long
• Pas de moyen de détection /
réparation
Dr Arnaud Depil Duval - Urgences Evreux Vernon
25. Le smartphone un dispositif
médical?
• Utilisation du smartphone
comme interface
• Pilote
• Calculateur
• Non soumis à la norme
dispositif medical
• Failles de sécurité
Dr Arnaud Depil Duval - Urgences Evreux Vernon
26. Bluetoodeath
• Accès de proximité
• Objets connectés peu sécurisés
• Passerelle vers la pompe ou le
lecteur
Dr Arnaud Depil Duval - Urgences Evreux Vernon
27. Se protéger contre les
cyberattaques
Dr Arnaud Depil Duval - Urgences Evreux Vernon
28. Quelques règles
• Préférer les modèles avec télécommande
dédiée
• Eviter l’accès internet
• Eviter le Bluetooth
• Préférer l’accès filaire
Dr Arnaud Depil Duval - Urgences Evreux Vernon
29. Industrie
Une prise de conscience nécessaire
Dr Arnaud Depil Duval - Urgences Evreux Vernon
30. Cybersécurité
• Pas de prise de conscience
• Politique de l’autruche ; Medtronics
« Le très faible risque d'attaque
malveillante doit être mis en regard
des nombreux bénéfices »
• Défaut d’anticipation
Dr Arnaud Depil Duval - Urgences Evreux Vernon
32. FDA
• Cybersecurity for Networked
Medical Devices Containing
Off-The Shelf (OTS) Software
• Responsabilité du fabricant
• Norme UL-2900 :
• Norme pour la cybersécurité
logicielle des dispositifs
connectables à un réseau
• Exigences particulières pour les
systèmes de santé
Dr Arnaud Depil Duval - Urgences Evreux Vernon
33. Lutter
• Renforcer l’authentification
mutuelle des sondes de
glycémie et des pompes à
insuline
• Chiffrer les signaux échangés
afin de les rendre illisibles en cas
d’interception
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Hackers – recherche de sensations fortes, le défi ou pour atteindre un objectif précis. Outils plus sophistiqués, plus faciles à utiliser et disponibles librement.
Opérateurs de réseau de robot – prennent le contrôle de plusieurs systèmes pour effectuer des attaques et distribuer des schémas de hameçonnage (phishing), des logiciels malveillants et du pourriel (spam). Les prestations peuvent être vendues pour des attaques par déni de service ou pour relayer des attaques de spam et de phishing.
Groupes criminels – attaque des systèmes à des fins monétaires, notamment via le spam, les programmes de phishing, les attaques par des logiciels espions et de logiciels malveillants pour commettre des vols d’identité et des fraudes en ligne. Espionnage industriel, les rançongiciels (ransomware) et l’extorsion avec menace de cyberattaque. Accès aux systèmes en réseau en tant que service pouvant être vendu à des tiers criminels.
Agences de renseignement étrangères – utilisent des outils cybernétiques pour le renseignement, l’espionnage et pour créer divers effets, y compris le sabotage. Ils peuvent chercher à utiliser les systèmes de santé pour obtenir des renseignements personnels et leurs activités peuvent même nuire aux patients.
Initiés – employés et fournisseurs mécontents qui ont un accès complet ou peu restreint aux systèmes et peuvent volontairement ou involontairement introduire des logiciels malveillants ou des changements indésirables.
Hameçonneurs (Phishers) – individus ou groupes qui effectuent des opérations de hameçonnage (phishing) afin de voler des identités et des informations à des fins monétaires.
Spammeurs – qui envoient des courriels non sollicités, contenant éventuellement des informations cachées ou fausses, exécutant des schémas de hameçonnage (phishing) et des attaques par déni de service.
Auteurs de logiciels espions / malveillants (spyware/malware) –qui produisent et distribuent des logiciels espions à des fins malveillantes, souvent pour des gains monétaires.
Terroristes – qui cherchent à perturber, à détruire ou à exploiter des infrastructures essentielles pour menacer la sécurité nationale. Les terroristes peuvent utiliser des logiciels espions / malveillants et des systèmes de hameçonnage (phishing) pour financer leurs activités.
Espions industriels – qui cherchent à acquérir la propriété intellectuelle et connaissances en utilisant des méthodes clandestines. Il est largement rapporté que certains pays et leurs mandataires sont très actifs.
Barnaby Jack et l’antenne
Jay Radcliff et dispositif breches Medtronics
14000 patients ont dû éteindre leur appareil
Réservoir jusqu’à 300 unités