« Nous sommes allés au-delà de la protection du périmètre pour utiliser plusieurs outils et technologies sur notre réseau », explique Pearson, notamment une solution de contrôle d'accès au réseau pour gérer les points de terminaison ainsi que l'accès des utilisateurs et des appareils aux ressources du réseau.
« Cette solution permet de prendre les empreintes digitales des appareils IoT. Elle nous aide à identifier et à mieux comprendre quels appareils se trouvent sur notre réseau et à quelles ressources ils peuvent accéder, et nous permet de limiter de manière proactive le trafic réseau pour les appareils non autorisés et inconnus », explique-t-elle.
VA utilise également une stratégie de protection des données qui repose sur le chiffrement au repos et en transit, ajoute-t-elle. Ces données, à leur tour, prennent en charge d'autres outils de défense.
« Nous cherchons à intégrer les données des appareils IoT aux évaluations de vulnérabilité, à la sécurité des terminaux et à la conformité des appareils, ainsi qu'aux politiques organisationnelles » pour non seulement identifier les vulnérabilités, mais également comprendre ce qui peut être détecté, explique Pearson.
Faire évoluer la sécurité en mélangeant les technologies
Les grandes organisations de soins de santé ont généralement recours à une gamme de technologies disponibles pour sécuriser les appareils médicaux connectés. Par exemple, la solution Medical IoT Security de Palo Alto Networks est spécialement conçue pour protéger les appareils médicaux connectés critiques, tandis que l'intégration avec les pare-feu de nouvelle génération de Palo Alto Networks et Prisma Access offre une application très granulaire des politiques. Cisco propose plusieurs solutions permettant de sécuriser les appareils médicaux en identifiant tous les appareils entrant dans un réseau, puis en segmentant le réseau pour protéger ces appareils (et les dossiers médicaux) contre les menaces. Le contrôle d'accès au réseau médical de Cisco aide les hôpitaux à détecter les menaces grâce à la surveillance des comportements.
VA s’appuie sur un large éventail de technologies et d’approches évolutives en matière de sécurité, tout en s’appuyant sur des protections éprouvées telles que des pare-feu de nouvelle génération et des courtiers en sécurité d’accès au cloud, « des éléments qui aident à s’aligner sur le zero trust et des contrôles d’accès plus précis », explique Pearson. « Lorsque nous fournissons cet accès sécurisé à des applications spécifiques, nous en tirons parti à un niveau granulaire pour l’authentification et l’autorisation des appareils. Cela nous permet de minimiser le rayon d’action de nos appareils fragiles. »
La modélisation des menaces permet d'identifier les objectifs de sécurité
La FDA encourage une approche globale de la sécurité des dispositifs médicaux.
« L’environnement des soins de santé est complexe et les fabricants, les hôpitaux et les établissements doivent travailler ensemble pour gérer les risques de cybersécurité », explique Wilkerson.
Les fabricants devraient établir un modèle de menace qui identifie les objectifs de sécurité, les risques et les vulnérabilités de l’ensemble du système de dispositifs médicaux avant de définir des contre-mesures pour prévenir, atténuer, surveiller ou répondre aux effets des menaces sur le système de dispositifs médicaux, dit-elle.
La FDA a pris des mesures réglementaires pour clarifier le rôle des fabricants de dispositifs médicaux. Au printemps 2024, l'agence a proposé des mises à jour de ses directives aux fabricants de dispositifs médicaux, en partie pour fournir les recommandations et les interprétations de la FDA de l'autorité réglementaire récente et explicite en matière de cybersécurité que l'agence a reçue.
En attendant, les prestataires de soins de santé peuvent prendre leurs propres mesures pour créer un environnement IoT plus sécurisé, en commençant par explorer les solutions commerciales disponibles, explique Ruggero Contu, directeur de recherche senior chez Gartner. « Il existe un marché bien établi de solutions de sécurité des dispositifs médicaux qui sont spécifiquement conçues pour améliorer cette visibilité grâce à la découverte des actifs et à la surveillance des réseaux de soins de santé pour détecter ces dispositifs », explique-t-il.
Sur la base des données sur les actifs découvertes, les systèmes de santé peuvent évaluer tous les risques avant de déterminer la meilleure façon de les sécuriser ; par exemple, par la ségrégation ou des améliorations de configuration, explique Contu.