Une cyber-attaque de pompes à morphine redoutée par les Etats-Unis
Les autorités américaines annoncent le retrait de pompes à morphine jugées vulnérables aux cyber attaques. Une information qui rappelle qu’à l’heure de la santé connectée, la question de la protection des données et des équipements est loin d’être résolue.
Prendre le contrôle à distance d’un patient en modifiant les paramètres de sa pompe à morphine. L’idée peut paraitre saugrenue mais elle suscite une réelle inquiétude de la part de l’Agence américaine de sécurité des médicaments, la FDA, qui publiait le 31 juillet dernier une mise en garde à ce sujet relayée par le site medscape.
L’agence y fait état de plusieurs attaques contre les pompes à morphine de modèle Symbiq infusion System, produites par le laboratoire Hospira. Ces pompes utilisées à l’hôpital ou à domicile servent à administrer des analgésiques en continu aux patients souffrant de douleurs chroniques, essentiellement cancéreuses. Celles-ci peuvent être reliées par système sans fil aux systèmes informatiques des hôpitaux afin de transmettre des données sur les patients et adapter les protocoles de soins.
Scénario catastrophe
Selon les pires scénarios de l’ ICS-CERT, le département de sécurité industrielle américaine, la vulnérabilité de ce dispositif médical laisse craindre qu’un utilisateur non autorisé à contrôler l'appareil puisse modifier la posologie de la pompe ce qui conduirait à un sur dosage ou un sous dosage d’analgésiques critique pour le patient.
D’autres modèles de pompes du même fabricant (modèles Plum A et Plum A+), destinés à délivrer différents médicaments par voie intraveineuse et notamment commercialisés en France, avaient déjà fait l’objet de piratages au cours des derniers mois.
La FDA précise qu’à ce jour aucun cas d’attaque n’a été rapporté en utilisation thérapeutique aux Etats-Unis mais conseille toutefois aux professionnels et aux établissements de santé de ne plus utiliser ces différents dispositifs.
Hospira, qui devrait bientôt faire l’objet d’un rachat par le géant pharmaceutique Pfizer, a annoncé l’arrêt de la production des pompes en question.
La santé, cible favorite des hackers
Selon un rapport de l’IDC (Institut privé de recherche sur les technologies de l’information) rendu public en novembre 2014, les cyber-attaques contre les établissements de santé devraient augmenter en nombre et en sophistication dans les deux ans à venir. Cette hausse de la criminalité informatique serait liée d’une part au fait que les données de santé prennent de la valeur et d’autre part au fait que les autres cibles des pirates, comme les services financiers, ont déjà renforcé leur sécurité.
Selon Lynne Dunbrack, responsable de l’étude: « pour les organisations du monde de la santé […] la question n'est pas de savoir si elles vont subir une cyberattaque, mais quand".
