Phylapp
Sécurité des équipements médicaux connectés

Comment intégrer les dispositifs médicaux dans la cartographie des risques

Intégrer les dispositifs médicaux dans la cartographie des risques exige un inventaire bimodal IT-biomédical et une évaluation croisant impact clinique et cyber. La priorisation doit respecter les contraintes opérationnelles médicales.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • La cartographie des risques traditionnelle ne capture pas les spécificités des dispositifs médicaux : criticité clinique, contraintes réglementaires MDR, dépendances constructeurs et impossibilité de patch immédiat.
  • Intégrer l'IoMT dans la gestion des risques nécessite un inventaire exhaustif couplant identification IT (IP, MAC, OS) et données biomédicales (référence constructeur, numéro de série, version firmware, classe IEC).
  • L'évaluation du risque IoMT doit croiser impact clinique (arrêt de soins, erreur diagnostique) et impact cyber (compromission, propagation), dimensions rarement intégrées dans les référentiels classiques.
  • La priorisation des actions correctives tient compte de la faisabilité : un équipement de classe III ne peut être mis hors ligne sans plan de continuité clinique validé par la direction médicale.
Cas US FDA Advisories (2019-2023) — Plusieurs alertes successives ont ciblé des vulnérabilités critiques dans des pompes à perfusion connectées (Baxter, BD, ICU Medical). Les établissements n'ayant pas intégré ces dispositifs dans leur cartographie des risques n'ont pas pu prioriser les mesures compensatoires, exposant patients et SI à des risques documentés.

Les limites des approches de cartographie classiques

Les référentiels de gestion des risques IT — ISO 27005, EBIOS RM, NIST SP 800-30 — sont conçus pour des actifs informatiques standard dont le comportement est prévisible et la gestion relève d'une équipe unique. Les dispositifs médicaux connectés échappent à ce cadre : leur criticité se mesure en termes cliniques (impact sur les soins, risque patient) autant que numériques, leur cycle de vie dépasse le périmètre de la DSI, et leur maintien en conditions opérationnelles est contraint par des impératifs réglementaires MDR 2017/745 et des certifications constructeurs. Toute approche de cartographie qui ignore ces spécificités produit une évaluation des risques IoMT structurellement incomplète.

Construire un inventaire IoMT exploitable

La première étape est un inventaire bimodal : identification réseau par scan passif (Nmap, Claroty, Medigate) couplée aux données du service biomédical (CMMS, registre des dispositifs). Chaque entrée doit documenter l'adresse IP/MAC, le système d'exploitation et sa version, la version firmware, la classe IEC 62443, la classification MDR, l'usage clinique, le fabricant, la date de fin de support, et les CVE connues. Cet inventaire doit être maintenu à jour — toute acquisition ou mise en service d'équipement déclenchant une mise à jour automatique — et constitue la base de toute analyse de risque IoMT sérieuse.

Évaluer le risque selon deux dimensions croisées

L'évaluation du risque IoMT doit intégrer deux dimensions indissociables. La dimension clinique évalue l'impact d'une panne ou d'un comportement anormal sur la sécurité des patients : un défibrillateurimplantable compromis présente un risque vital direct, un système de gestion de rendez-vous un risque indirect via la désorganisation des soins. La dimension cyber évalue le potentiel de compromission et de propagation : un équipement d'imagerie DICOM exposé sur le réseau représente un vecteur de mouvement latéral significatif. La matrice de risque résultante, croisant ces deux dimensions, permet une priorisation qui respecte à la fois les impératifs de sécurité numérique et les contraintes opérationnelles médicales.

Cas EU Rouen University Hospital (2019) — L'attaque ransomware a chiffré tous les serveurs et rendu inaccessibles les données patients pendant plusieurs jours. L'établissement n'avait pas de cartographie précise de ses dépendances entre SI clinique et équipements biomédicaux, rendant le plan de continuité improvisé et partiellement inefficace.

Prioriser sans désorganiser les soins

La priorisation des mesures correctives IoMT ne peut pas suivre la logique IT classique — isolation immédiate d'un actif à risque élevé. Un dispositif médical critique ne peut être mis hors ligne sans validation médicale et plan de substitution. La démarche correcte implique une concertation entre RSSI, ingénieur biomédical, cadre de soins et médecin référent pour chaque équipement à risque élevé. Les mesures compensatoires — isolation réseau partielle, monitoring renforcé, authentification additionnelle — permettent souvent de réduire le risque sans interrompre les soins. Ce processus doit être formalisé dans la politique de sécurité des dispositifs médicaux de l'établissement.

Intégration dans la gouvernance et les cycles de révision

La cartographie des risques IoMT n'est pas un exercice ponctuel mais un processus continu. Chaque nouvelle CVE publiée sur un équipement inventorié, chaque acquisition, chaque mise à jour de firmware, chaque changement de configuration réseau doit déclencher une réévaluation. Cette dynamique requiert des outils adaptés — plateformes de gestion des risques IoMT comme Medigate, Claroty ou Cylera — intégrés aux processus RSSI et biomédical. Les résultats alimentent le tableau de bord de gouvernance de l'établissement, permettant à la direction de piloter objectivement le niveau de risque global de son parc de dispositifs connectés.

Cas Asie SingHealth (Singapour, 2018) — La cartographie des risques de l'établissement n'avait pas identifié les chemins d'accès entre le réseau clinique et la base de données de 1,5 million de patients. L'attaque APT a exploité précisément ces chemins non documentés, soulignant l'importance d'une cartographie IoMT couplée à la gestion des flux réseau.

Articles similaires

Les dispositifs médicaux connectés introduisent de nouveaux risques cliniques et numériques

Les dispositifs médicaux connectés (IoMT) combinent risques numériques et cliniques : systèmes obsolètes, cycles de vie longs, contraintes de patch réglementaires et risques de propagation OT/IT.

24 mai 2026 7 min

Pourquoi la sécurité des équipements médicaux dépasse le cadre informatique

La sécurité des équipements médicaux dépasse le cadre IT : elle implique le biomédical, les soins, la réglementation MDR. La collaboration interdisciplinaire et la décision collégiale de connexion sont essentielles.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des dispositifs connectés en santé

Les erreurs dans l'intégration des dispositifs médicaux connectés sont récurrentes : réseau non isolé, identifiants par défaut, absence d'inventaire, accès de maintenance non contrôlés.

24 mai 2026 7 min
WhatsApp