Zoom sur le projet Cyber Range Santé

Le projet Cyber Range Santé, porté par Amossys, Diateam et l’IRT b<>com, a pour objectif de mettre au point une plateforme de simulation destinée à évaluer la cybersécurité de Dispositifs Médicaux (DM) et logiciels de santé dans un environnement représentatif d’usage. A terme, il s’agit de réduire le risque de survenue des cyberattaques sur les dispositifs médicaux et logiciels de santé par une approche préventive Il a été co-labellisé par les pôles de compétitivités Images & Réseaux et Atlanpole Biothérapies, dans le cadre de l’AAP REGION BRETAGNE FEDER Innovation collaborative au croisement des filières. Un projet financé par la Région Bretagne et Rennes Métropole. 

En quoi consiste le projet Cyber Range Santé ?

“Le projet Cyber Range Santé a pour objectif de mettre au point une plateforme de simulation destinée à évaluer la cybersécurité de Dispositifs Médicaux (DM) et logiciels de santé dans un environnement représentatif d’usage. Sa finalité est de réduire le risque de survenue des cyberattaques sur les dispositifs médicaux et logiciels de santé par une approche préventive ;

Le développement de la médecine personnalisée et des dispositifs médicaux connectés sur des parcours de soins ville hôpital est au bénéfice de la qualité de vie des patients souffrant de pathologies chroniques mais augmente la surface d’attaque des DM ; Un DM victime d’une attaque peut dysfonctionner et conduire à un risque pour le patient.

43 incidents de sécurité ont été recensés dans le secteur de la santé en France entre janvier 2021 et mars 2023 [ENISA Threat Landscape, Health Sector]

Un cyber Range peut contribuer à améliorer la sécurité des DM en permettant d’évaluer et de tester la cybersécurité du DM dans un environnement simulé maitrisé hors production sans risques pour les systèmes d’information en place (hôpital ou interface ville-hôpital).”

©Amossys

Quels sont les verrous que vous avez réussi à lever pendant le projet ?

• Manque d’harmonisation des exigences de cybersécurité européenne pour l’évaluation des DM : Deux règlements européens ont été mis en place en 2017 pour définir le cadre européen de mise sur le marché et renforcer les règles relatives à la sécurité, la qualité et l’efficacité des DM ; ils sont applicables depuis le 26 mai 2021. Mais les normes concernant la cybersécurité des DM ne sont pas encore harmonisées et nécessitent une certaine interprétation.

Nous avons adapté nos méthodologies d’analyse de risques cyber, d’audit de conformité, et nos méthodologies de tests et d’évaluation de la sécurité des technologies de l’information (basées sur les CSPN et les CC [1]) pour :

1. Répondre aux exigences applicables pour constituer le dossier d’enregistrement et le marquage CE européen, au bénéfice des éditeurs de DM.
2. Répondre aux demandes d’expertise et d’évaluation des Organismes Notifiés au sein du Centre d’évaluation de la Sécurité des Technologies de l’Information (CESTI), agréé par l’ANSSI et accrédité ISO 17025 d’Amossys.
3. Répondre aux demandes des Etablissements de santé pour évaluer la sécurité d’un DM avant de le déployer sur un parcours patient hospitalier.

• Par ailleurs, le manque de connaissance de l’écosystème cyber, de maturité en SSI et de ressources et moyens SSI des éditeurs de DM constituent un frein à la mise en relation avec des prestataires de services de confiance et à l’investissement de moyens et ressources pour l’évaluation de la cybersécurité des DM. Les éléments de preuves de la cybersécurité d’un DM connecté à apporter dans le dossier technique d’enregistrement pour le marquage CE, viennent s’ajouter à un dossier de sécurisation technique déjà conséquent ; les attentes de preuves par les Organismes Notifiés ne sont pas harmonisées en Europe et sont évaluées avec des expertises internes variables dans le domaine de la cybersécurité.
• La qualification et l’agrément de prestataires de confiance pour l’évaluation cyber des DM doit être valorisée et reconnue par les Autorités d’évaluation en France (ANSSI, ANS, ANSM) ; L’alliance des Organismes Notifiés Allemands recommandent le recours à des laboratoires d’évaluation accrédités ISO 17025 [Pour en savoir plus].

[1] CSPN : ANSSI-CSPN-CER-P-02_v4.0, 2020, Critères pour l’évaluation en vue d’une certification de sécurité de premier niveau.

CC:  CCMB-2022-11-006, 2022, Common Methodology for Information Technology Security Evaluation.

Quel est le rôle de chaque partenaire ?

Le projet réunit trois partenaires de l’écosystème cyber breton : AMOSSYS et DIATEAM ont ainsi associé leur expertise en matière de Cyber Range, à celle de l’IRT b<>com en matière d’authentification de l’imagerie médicale.

Le projet s’appuie sur deux solutions de Cyber Range ; celle de DIATEAM, pour la sécurisation des logiciels de santé et celle d’AMOSSYS, M&NTIS Platform, utilisée pour tester et évaluer des systèmes et réseaux sur toutes les phases du cycle de vie du DM, depuis la conception jusqu’à la fin de vie.

Pouvez-vous expliquer en quoi votre projet intègre la dimension numérique responsable ? 

Le développement d’une médecine personnalisée avec des dispositifs médicaux connectés permettant le traitement de patients hors hospitalisation contribue à une meilleure qualité de vie au long terme des patients mais augmente la surface d’attaque des DM et le risque de compromission du dispositif avec le vol des données personnelles ou la mise en danger du patient. Le projet répond à l’un des objectifs fondamentaux de la Responsabilité Numérique des Entreprises (RNE) en contribuant aux objectifs de sécurisation des données personnelles et au maintien des fonctions essentielles du DM même en cas de cyberattaque sur le SI connecté ou directement sur le DM.

Par ailleurs, le cyber range santé a également vocation à contribuer un deuxième enjeu du numérique responsable, l’enjeu d’impact social ; il contribue à l’information et à l’éducation des utilisateurs (patients ou personnel soignant) sur les risques liés à l’usage du numérique en santé sur des cas concrets d’usage, permettant, sans risque, de cartographier les menaces et de tester les scenarios d’attaque pour sécuriser le parcours de soins.

Votre projet a été labellisé par les Pôles Images & Réseaux et Atlanpole Biothérapies, quelles sont les valeurs ajoutées d’un Pôle tels que I&R ?

La labellisation dont bénéficie le projet a permis sa valorisation auprès des acteurs et bénéficiaires de l’écosystème régional, notamment auprès des établissements de santé (ES) utilisateurs des solutions de DM et logiciels de santé, mais aussi auprès des Autorités d’évaluation, l’ANSSI, les Organismes Notifiés pour l’évaluation des DM et les éditeurs de DM connectés.

Quelles sont les perspectives au-delà du projet ? Les prochaines étapes ?

Le projet a permis de caractériser la surface d’attaque de DM connectés sur des cas d’usage concrets (Suivi des constantes vitales d’un patient suivi à l’hôpital, via un monitoring patient et des équipements de diagnostic et d’imagerie médicale, télé suivi des patients en cardiologie et parcours d’un patient insulino-dépendant en endocrinologie à l’interface ville-hôpital) en collaboration avec les ES de la région Bretagne.

Il a également permis d’adapter la méthodologie d’évaluation de la cybersécurité des DM aux exigences européennes applicables pour :

• Analyser les risques pour la disponibilité, l’intégrité et la confidentialité des données traitées par le DM,
• Caractériser les menaces sur les composants du DM et ses interfaces de connexion ;
• Identifier, comprendre et traiter les failles de sécurité (documenter la surface d’attaque) ;
• Simuler les scenarios d’attaque (pentest en boite grise) et établir un plan de remédiation en tenant compte de l’architecture du SI d’usage (outils de renforcement de sécurité (maintien des fonctionnalités essentielles des DM, authentification des accès, signature d’images, etc…) ;

Nous souhaitons renforcer nos partenariats avec des partenaires éditeurs et ES afin de :

• Participer à l’effort public pour répondre à l’augmentation de la cybermenace en contribuant au programme de Cybersécurité accélération et Résilience des Etablissements (CaRE) qui vise à sécuriser les systèmes d’information de santé et l’usage de dispositifs médicaux (le projet s’inscrit dans la feuille de route du numérique en santé 2023-2027, dont l’axe 1.5 de prévention prévoit la publication dès 2024 d’une grille d’évaluation des dispositifs médicaux numériques harmonisée à l’échelle européenne).
• Etendre le programme à différentes classes de dispositifs médicaux et architectures d’usage dans les ES ou à l’interface ville-hôpital afin de :
  • Compléter, industrialiser, améliorer et faciliter l’évaluation de la cybersécurité ; à terme l’objectif est d’optimiser les coûts, les ressources et les moyens nécessaires à la constitution du dossier technique d’enregistrement au bénéfice des éditeurs de DM.
• Améliorer la résilience en collaboration avec des partenaires ES : Formaliser une chaine d’alerte du DM en cas d’incident de sécurité tout en préservant ses fonctions essentielles pour garantir la santé du patient et la continuité d’usage si l’interconnexion hospitalière est compromise. Optimiser les scénarios de remise en service suivant les attaques au bénéfice des ES, ESMS et des patients.

Merci à  Amossys, Diateam et l’IRT b<>com pour leurs réponses ! 

Un projet financé par :