{"id":176733,"date":"2022-12-05T06:16:30","date_gmt":"2022-12-05T14:16:30","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=176733"},"modified":"2022-12-08T14:49:58","modified_gmt":"2022-12-08T22:49:58","slug":"iot-medical-quand-la-securite-iot-devient-un-enjeu-vital","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2022\/12\/iot-medical-quand-la-securite-iot-devient-un-enjeu-vital\/?lang=fr","title":{"rendered":"IoT m\u00e9dical\u00a0: quand la s\u00e9curit\u00e9 IoT devient un enjeu vital"},"content":{"rendered":"<p><strong>Medical\u00a0IoT\u00a0Security\u00a0: le Zero\u00a0Trust au service de la protection des appareils m\u00e9dicaux connect\u00e9s<\/strong><\/p>\n<p>Les appareils\u00a0IoT m\u00e9dicaux r\u00e9volutionnent le secteur de la sant\u00e9. Diagnostics plus rapides et plus pr\u00e9cis, r\u00e9duction des co\u00fbts op\u00e9rationnels, optimisation de l\u2019efficacit\u00e9 gr\u00e2ce \u00e0 l\u2019automatisation, am\u00e9lioration de l\u2019\u00e9tat de sant\u00e9 des patients\u2026 l\u2019IoT m\u00e9dicale et op\u00e9rationnelle facilite chaque aspect du parcours de soin, du suivi du patient jusqu\u2019aux syst\u00e8mes bureautiques. Le revers de la m\u00e9daille\u00a0? Leur multiplication \u00e9largit la surface d\u2019attaque des \u00e9tablissements de sant\u00e9, au point de devenir le maillon faible des r\u00e9seaux hospitaliers et la proie privil\u00e9gi\u00e9e des acteurs malveillants.<\/p>\n<p>En effet, depuis 12\u00a0ans (2010-2022), la sant\u00e9 reste <a href=\"https:\/\/www.ic3.gov\/\" rel=\"nofollow,noopener\" >l\u2019un des secteurs les plus vis\u00e9s par ces attaques<\/a>, mais aussi celui o\u00f9 <a href=\"https:\/\/www.scmagazine.com\/analysis\/breach\/healthcare-data-breaches-cost-an-average-of-10-1m-more-than-any-other-industry\" rel=\"nofollow,noopener\" >les compromissions co\u00fbtent en moyenne le plus cher<\/a>. Si ces \u00e9quipements repr\u00e9sentent une cible si lucrative pour les acteurs malveillants, c\u2019est non seulement parce qu\u2019ils h\u00e9bergent des dossiers m\u00e9dicaux \u00e9lectroniques \u00e0 caract\u00e8re hautement sensible, mais aussi parce que les vies humaines qui sont en jeu les rendent particuli\u00e8rement attractifs aux yeux des gangs de ransomware.<\/p>\n<p>Malgr\u00e9 cette importance litt\u00e9ralement vitale, les \u00e9tudes de l\u2019\u00e9quipe <a href=\"https:\/\/unit42.paloaltonetworks.com\/infusion-pump-vulnerabilities\/\">Unit\u00a042<\/a> de Palo\u00a0Alto\u00a0Networks r\u00e9v\u00e8lent que les appareils\u00a0IoT sont cribl\u00e9s de vuln\u00e9rabilit\u00e9s critiques qui affaiblissent les d\u00e9fenses des r\u00e9seaux hospitaliers\u00a0:<\/p>\n<ul>\n<li>75\u00a0% des pompes \u00e0 perfusion examin\u00e9es lors de l\u2019\u00e9tude pr\u00e9sentaient au minimum une vuln\u00e9rabilit\u00e9, ou ont d\u00e9clench\u00e9 au moins une alerte de s\u00e9curit\u00e9.<\/li>\n<li>Les appareils d\u2019imagerie m\u00e9dicale (appareils de radiologie, IRM et scanners) sont particuli\u00e8rement vuln\u00e9rables aux attaques\u00a0: 51\u00a0% des machines \u00e0 rayons X \u00e9taient expos\u00e9es \u00e0 une CVE (Common Vulnerabilities and Exposures) d\u2019un niveau de s\u00e9v\u00e9rit\u00e9 \u00e9lev\u00e9 (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-11687\" rel=\"nofollow,noopener\" >CVE-2019-11687<\/a>).<\/li>\n<li>20\u00a0% des appareils d\u2019imagerie courants fonctionnaient sous une version de Windows en fin de support.<\/li>\n<li>44\u00a0% des scanners et 31\u00a0% des machines\u00a0IRM \u00e9taient expos\u00e9s \u00e0 une CVE d\u2019un niveau de s\u00e9v\u00e9rit\u00e9 \u00e9lev\u00e9.<\/li>\n<\/ul>\n<p>Mais la multiplication des appareils m\u00e9dicaux connect\u00e9s et leurs vuln\u00e9rabilit\u00e9s ne repr\u00e9sentent que la partie \u00e9merg\u00e9e de l\u2019iceberg. Prot\u00e9ger ces appareils est un v\u00e9ritable d\u00e9fi. En t\u00e9moigne les cyberattaques r\u00e9centes qui ont touch\u00e9 le Centre hospitalier sud-francilien de Corbeil, le syst\u00e8me de sant\u00e9 am\u00e9ricain CommonSpirit, l\u2019\u00e9tablissement CHI St. Joseph Hospital dans le Kentucky, l\u2019institut m\u00e9dical AIIMS-Delhi (Inde) et bien d\u2019autres encore. En octobre\u00a02022, aux \u00c9tats-Unis, la <a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-294a\" rel=\"nofollow,noopener\" >CISA (Cybersecurity and Infrastructure Security Agency) a d\u2019ailleurs mis en garde<\/a> les prestataires de sant\u00e9 contre les agissements d\u2019un groupe de ransomware et d\u2019extorsion de donn\u00e9es ciblant tant les h\u00f4pitaux priv\u00e9s que publics. Son modus operandi\u00a0? La compromission de bases de donn\u00e9es, d\u2019appareils d\u2019imagerie m\u00e9dicale et de syst\u00e8mes de diagnostic.<\/p>\n<p>Ces appareils m\u00e9dicaux, pourtant modernes, sont difficiles \u00e0 s\u00e9curiser pour de multiples raisons\u00a0:<\/p>\n<ul>\n<li>Le manque de visibilit\u00e9 sur les appareils\u00a0IoT m\u00e9dicaux non g\u00e9r\u00e9s emp\u00eache les \u00e9quipes de s\u00e9curit\u00e9 de cerner toute l\u2019\u00e9tendue de la surface d\u2019attaque.<\/li>\n<li>L\u2019absence de donn\u00e9es contextuelles sur les appareils permet \u00e0 certaines vuln\u00e9rabilit\u00e9s de passer sous les radars et expose les h\u00f4pitaux \u00e0 des menaces inconnues.<\/li>\n<li>Les architectures de s\u00e9curit\u00e9 d\u2019ancienne g\u00e9n\u00e9ration, avec leurs r\u00e9seaux \u00ab\u00a0\u00e0 plat\u00a0\u00bb et leurs processus manuels sujets aux erreurs, freinent la conformit\u00e9 aux exigences r\u00e8glementaires (par exemple, le RGPD en Europe et l\u2019HIPAA aux \u00c9tats-Unis).<\/li>\n<li>La prolif\u00e9ration de solutions de s\u00e9curit\u00e9 sp\u00e9cialis\u00e9es et non int\u00e9gr\u00e9es engendre de la complexit\u00e9 et cr\u00e9e des failles dans les syst\u00e8mes de d\u00e9fense<\/li>\n<\/ul>\n<p>Les \u00e9tablissements de sant\u00e9 doivent pouvoir compter sur une solution de cybers\u00e9curit\u00e9 Zero\u00a0Trust capable d\u2019accompagner leur transformation num\u00e9rique et d\u2019am\u00e9liorer la qualit\u00e9 des soins aux patients, tout en garantissant la confidentialit\u00e9 de leurs donn\u00e9es et la conformit\u00e9 aux r\u00e9glementations en vigueur. L\u2019approche Zero\u00a0Trust \u00e9limine la confiance implicite en validant chaque \u00e9tape d\u2019une interaction. Le mot d\u2019ordre\u00a0: \u00ab\u00a0ne jamais faire confiance, toujours v\u00e9rifier\u00a0\u00bb. Le Zero Trust associe des contr\u00f4les et des politiques d\u2019acc\u00e8s bas\u00e9s sur le principe du moindre privil\u00e8ge, une v\u00e9rification continue des niveaux de confiance et le suivi du comportement des appareils m\u00e9dicaux pour prot\u00e9ger les environnements num\u00e9riques des \u00e9tablissements de sant\u00e9 contre les menaces en g\u00e9n\u00e9ral et les attaques zero-day en particulier.<\/p>\n<p><strong>Palo\u00a0Alto\u00a0Networks vous offre la solution de s\u00e9curit\u00e9 Zero\u00a0Trust la plus rapide et la plus compl\u00e8te du march\u00e9. Vous pouvez ainsi vous concentrer sur l\u2019essentiel\u00a0: le bien-\u00eatre de vos patients.<\/strong><\/p>\n<p>Palo\u00a0Alto\u00a0Networks s\u2019est appuy\u00e9 sur sa technologie de s\u00e9curit\u00e9\u00a0IoT \u00e9prouv\u00e9e, coupl\u00e9e \u00e0 l\u2019efficacit\u00e9 de son approche Zero\u00a0Trust, pour cr\u00e9er <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/medical-device-security\">Medical IoT Security<\/a>, une solution con\u00e7ue sp\u00e9cifiquement pour la protection des appareils m\u00e9dicaux. Gr\u00e2ce \u00e0 la puissance du machine\u00a0learning\u00a0(ML), Medical\u00a0IoT\u00a0Security permet aux prestataires de sant\u00e9 d\u2019identifier et d\u2019\u00e9valuer rapidement chaque appareil, puis de segmenter leur r\u00e9seau en toute simplicit\u00e9 pour mieux appliquer le principe du moindre privil\u00e8ge. Le but\u00a0? Prot\u00e9ger leur environnement contre les menaces connues et inconnues tout en r\u00e9duisant la complexit\u00e9. Mais ce n\u2019est pas tout. La solution Palo\u00a0Alto\u00a0Networks leur offre \u00e9galement bien d\u2019autres avantages pour renforcer leurs d\u00e9fenses et corriger leurs vuln\u00e9rabilit\u00e9s\u00a0:<\/p>\n<ul>\n<li><strong>V\u00e9rification de la segmentation r\u00e9seau\u00a0\u2013<\/strong> Medical\u00a0IoT\u00a0Security \u00e9tablit la cartographie compl\u00e8te des appareils connect\u00e9s pour v\u00e9rifier que chaque \u00e9quipement se situe dans le segment appropri\u00e9. Une segmentation r\u00e9seau bien construite permet de s\u2019assurer que les appareils communiquent uniquement avec les syst\u00e8mes autoris\u00e9s.<\/li>\n<li><strong>S\u00e9curit\u00e9 automatis\u00e9e des appareils\u00a0\u2013 <\/strong>Les politiques cr\u00e9\u00e9es permettent d\u2019identifier tout comportement inhabituel au niveau des appareils et de d\u00e9clencher automatiquement les m\u00e9canismes de r\u00e9ponse appropri\u00e9s. Par exemple, si un appareil m\u00e9dical transmettant habituellement de faibles volumes de donn\u00e9es pendant la nuit se met \u00e0 consommer \u00e9norm\u00e9ment de bande passante, la r\u00e8gle pr\u00e9d\u00e9finie coupe automatiquement son acc\u00e8s \u00e0 Internet et alerte les \u00e9quipes de s\u00e9curit\u00e9.<\/li>\n<li><strong>Automatisation des politiques et de l\u2019application du Zero Trust\u00a0\u2013<\/strong> Appliquez en un clic des politiques d\u2019acc\u00e8s bas\u00e9es sur le principe de moindre privil\u00e8ge \u00e0 tous les appareils \u00e9quip\u00e9s des technologies compatibles. Plus besoin de cr\u00e9er manuellement un nombre incalculable de r\u00e8gles. Medical\u00a0IoT\u00a0Security d\u00e9ploie automatiquement vos politiques \u00e0 tous les \u00e9quipements pr\u00e9sentant le m\u00eame profil, r\u00e9duisant par l\u00e0 m\u00eame le risque d\u2019erreur.<\/li>\n<li><strong>Visibilit\u00e9 sur les vuln\u00e9rabilit\u00e9s et la posture de risque des appareils\u00a0\u2013 <\/strong>La solution Palo\u00a0Alto\u00a0Networks transmet imm\u00e9diatement de pr\u00e9cieuses informations sur la posture de s\u00e9curit\u00e9 de chaque appareil\u00a0: fin de vie utile, notification de rappel de produit par la FDA, alerte en cas d\u2019utilisation du mot de passe par d\u00e9faut, communication non autoris\u00e9e avec un site Internet, MDS2, CVE, comportements inhabituels, recherche sur les menaces d\u2019Unit\u00a042, etc. Medical\u00a0IoT\u00a0Security permet d\u2019acc\u00e9der \u00e0 la nomenclature\u00a0(SBOM) de chaque appareil m\u00e9dical pour \u00e9tablir un parall\u00e8le avec les CVE les plus r\u00e9centes. Il s\u2019agit ici d\u2019identifier les biblioth\u00e8ques logicielles utilis\u00e9es, ainsi que les \u00e9ventuelles vuln\u00e9rabilit\u00e9s associ\u00e9es.<\/li>\n<li><strong>Renforcement de la conformit\u00e9\u00a0\u2013<\/strong> Obtenez en quelques clics des informations sur les vuln\u00e9rabilit\u00e9s des appareils m\u00e9dicaux, l\u2019\u00e9tat des correctifs et les param\u00e8tres de s\u00e9curit\u00e9, assorties de recommandations de mise en conformit\u00e9 aux r\u00e8gles et directives applicables, comme le RGPD (R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es) en Europe, la loi\u00a0HIPAA (Health Insurance Portability and Accountability Act) aux \u00c9tats-Unis ou tout autre texte \u00e9quivalent.<\/li>\n<li><strong>Simplification des op\u00e9rations\u00a0\u2013<\/strong> Les \u00e9quipes\u00a0IT et les ing\u00e9nieurs biom\u00e9dicaux acc\u00e8dent \u00e0 toutes les donn\u00e9es dont ils ont besoin sur deux consoles distinctes. Quant \u00e0 l\u2019int\u00e9gration aux syst\u00e8mes de gestion des informations de sant\u00e9 (AIMS, Epic\u00a0Systems, etc.), elle facilite l\u2019automatisation des workflows.<\/li>\n<li><strong>Conformit\u00e9 aux exigences de r\u00e9sidence des donn\u00e9es\u00a0\u2013 <\/strong>L\u2019h\u00e9bergement de Medical\u00a0IoT\u00a0Security sur un cloud local facilite le d\u00e9ploiement de la s\u00e9curit\u00e9\u00a0IoT pour nos clients aux \u00c9tats-Unis, en Allemagne, \u00e0 Singapour, au Japon et en Australie. Nos services Medical\u00a0IoT\u00a0Security r\u00e9gionaux garantissent le respect des exigences locales en mati\u00e8re de r\u00e9sidence et de localisation des donn\u00e9es, notamment celles pr\u00e9vues par le RGPD.<\/li>\n<\/ul>\n<p><strong>Des recommandations actionnables<\/strong><\/p>\n<p>Le nombre d\u2019appareils m\u00e9dicaux connect\u00e9s ne cesse de cro\u00eetre pour accompagner la transformation du secteur vers des exp\u00e9riences patients de meilleure qualit\u00e9. Bas\u00e9 sur un framework Zero\u00a0Trust robuste, Medical\u00a0IoT\u00a0Security permet aux \u00e9tablissements de sant\u00e9 d\u2019exploiter l\u2019intelligence de ces appareils en toute s\u00e9curit\u00e9 gr\u00e2ce \u00e0 des recommandations actionnables tout au long de leur cycle de vie. Visibilit\u00e9, action, gestion des risques\u2026 les acteurs de la sant\u00e9 ont toutes les cartes en main pour d\u00e9ployer le Zero\u00a0Trust sur l\u2019ensemble de leurs applications et \u00e9quipements\u00a0IoT m\u00e9dicaux.<\/p>\n<p>Pour en savoir plus sur Medical IoT Security, lisez notre livre blanc intitul\u00e9 <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/whitepapers\/right-approach-zero-trust-medical-iot\">\"The Right Approach to Zero Trust for Medical IoT Devices<\/a>\".<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Medical\u00a0IoT\u00a0Security\u00a0: le Zero\u00a0Trust au service de la protection des appareils m\u00e9dicaux connect\u00e9s Les appareils\u00a0IoT m\u00e9dicaux r\u00e9volutionnent le secteur de la sant\u00e9. Diagnostics plus rapides et plus pr\u00e9cis, r\u00e9duction des co\u00fbts op\u00e9rationnels, optimisation &hellip;<\/p>\n","protected":false},"author":723,"featured_media":176459,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3546],"tags":[],"coauthors":[7704],"class_list":["post-176733","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2022\/12\/Hospital-Worker.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/176733","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/723"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=176733"}],"version-history":[{"count":4,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/176733\/revisions"}],"predecessor-version":[{"id":176950,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/176733\/revisions\/176950"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/176459"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=176733"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=176733"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=176733"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=176733"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}