Dans les hôpitaux, dans les soins à domicile, de plus en plus d’objets connectés intègrent le quotidien des patients. Les hackers n’hésitent pas à s’y intéresser surtout que selon une étude RBC Capital Markets, d’ici 2025, le tiers des données produites chaque année seront médicales. Le FBI a d’ailleurs publié cette semaine une alerte sur l’état catastrophique des appareils connectés à vocation médicale.
En effet, 53% de ces objets présentent jusqu’à 6,2 vulnérabilités critiques, qui peuvent aller jusqu’à la mort du patient, et 40% ne sont jamais mis à jour ou patchés … comme l’évoque le journal PaperJam dans un article cette semaine.
Dans les hôpitaux, il peut y en avoir 10 à 15 par lit. Selon le leader israélien de la cybersécurité , CheckPoint, ils fonctionnent sur des systèmes d’exploitation archaïques et jamais mis à jour. Les données de santé sont les plus lucratives sur le dark web et nécessitent en moyenne 430 dollars par patient pour tenter de les protéger. L’ internet des objets (IoT), par exemple, est facile à hacker (mots de passe faibles...) et difficile à patcher. Pour rappel, le secteur de la santé a subi 830 cyberattaques par semaine en 2021, une augmentation de 71%, au point qu’il est devenu le secteur le plus ciblé par les pirates.
Les pompes à insuline
Le FBI a, d'ailleurs, lancé une nouvelle alerte, sur les pompes à insuline de MedTronic (MiniMed 600). «Il existe un problème potentiel associé au protocole de communication du système de pompe qui pourrait permettre un accès non autorisé au système de pompe. En cas d’accès non autorisé, le protocole de communication de la pompe peut être compromis, ce qui peut amener la pompe à administrer trop ou trop peu d’insuline.»
L’Europe a renforcé la responsabilité des fabricants et des vendeurs. Ils seront obligés de fournir une assistance en matière de sécurité et des mises à jour logicielles pour remédier aux vulnérabilités recensées, et aussi de mieux informer les consommateurs.
Aujourd'hui, le coût annuel des violations de données est estimé à au moins 10 milliards d’euros et celui des tentatives malveillantes visant à perturber le trafic sur l’internet à au moins 65 milliards d’euros.