Phylapp
Sécurité des équipements médicaux connectés

Comment structurer une stratégie de sécurisation des IoMT

Une stratégie IoMT structurée repose sur quatre piliers : inventaire exhaustif, segmentation réseau, détection comportementale spécialisée, et procédures de réponse clinique préparées. La priorisation croise risque cyber et risque patient.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • Une stratégie IoMT efficace repose sur quatre piliers séquentiels : visibilité complète du parc (inventaire), protection (segmentation, contrôle d'accès), détection (monitoring comportemental), et réponse (procédures de confinement et reprise).
  • L'inventaire IoMT est la fondation de toute stratégie : sans connaissance exhaustive du parc, aucune mesure de protection n'est complète et aucun plan de continuité n'est fiable.
  • La segmentation réseau par famille de dispositifs réduit la surface d'attaque latérale et constitue la mesure technique à plus fort retour sur investissement sécuritaire.
  • Les outils de détection IoMT spécialisés (Claroty, Medigate, Cylera) permettent une visibilité comportementale que les SIEM généralistes ne peuvent pas fournir sur des protocoles médicaux propriétaires.
Cas US Colonial Pipeline (2021) — L'absence d'une stratégie de sécurisation structurée pour les systèmes OT/IT a permis à un ransomware de paralyser l'infrastructure critique pendant six jours. La leçon directement applicable aux IoMT médicaux : sans stratégie explicite couvrant visibilité, protection, détection et réponse, un incident sur un équipement peut s'étendre à l'ensemble de l'infrastructure.

Pilier 1 : visibilité — inventorier pour sécuriser

Aucune stratégie de sécurisation ne peut être efficace sans une connaissance exhaustive et maintenue du parc IoMT. L'inventaire doit combiner deux sources : les données du service biomédical (CMMS, registres de dispositifs, contrats de maintenance) et la découverte réseau passive réalisée par des outils spécialisés. Les plateformes comme Claroty, Medigate ou Cylera utilisent des analyses de trafic réseau passif pour identifier automatiquement les dispositifs, leurs protocoles de communication, leurs versions firmware, et leurs comportements habituels. L'inventaire résultant — enrichi par l'identification des flux autorisés, des dépendances cliniques, et des CVE applicables — constitue le référentiel de base de toute décision de sécurisation.

Pilier 2 : protection — segmenter et contrôler les accès

La segmentation réseau est la mesure technique prioritaire. Elle consiste à isoler les dispositifs médicaux dans des VLANs dédiés par famille fonctionnelle — imagerie, monitoring, perfusion, équipements de bloc — avec des règles de filtrage strictes n'autorisant que les flux documentés et justifiés. Les équipements sans nécessité de communication réseau sont isolés dans des segments sans accès sortant. Le contrôle des accès complète la segmentation : les accès des mainteneurs tiers sont gérés via une solution PAM, les credentials par défaut sont changés lors de la mise en service, et l'authentification forte est imposée pour tout accès à interface d'administration. Ces deux mesures combinées réduisent de manière drastique la surface d'attaque exploitable.

Pilier 3 : détection — surveiller les comportements anormaux

La détection des menaces IoMT requiert une visibilité comportementale spécialisée. Les dispositifs médicaux communiquent selon des patterns prévisibles — volumes de données, protocoles, interlocuteurs habituels, plages horaires. Toute déviation significative (communication vers une adresse IP inconnue, volume anormal de données exportées, connexion en dehors des heures de maintenance, requêtes sur des ports inhabituels) peut signaler une compromission. Les outils de détection spécialisés IoMT analysent en continu ces patterns et génèrent des alertes corrélées avec l'inventaire et les CVE connues. Ces alertes sont intégrées dans le SIEM de l'établissement pour une gestion centralisée des incidents.

Cas EU Thales Group (pratiques défensives) — Thales a développé des méthodologies de défense OT/IT convergeante reconnues au niveau européen, incluant la détection comportementale sur réseaux industriels. Ces approches, appliquées aux environnements médicaux, fournissent un cadre méthodologique pour la surveillance des dispositifs dont les protocoles propriétaires ne sont pas interprétables par les outils IT généralistes.

Pilier 4 : réponse — confinement et continuité des soins

La capacité de réponse à un incident IoMT repose sur des procédures pré-définies et exercées. Pour chaque famille d'équipements critiques, il faut documenter : les indicateurs déclenchant l'isolation du dispositif (critères d'activation), la procédure d'isolation réseau (blocage au niveau du switch, désactivation du port VLAN), le protocole de substitution clinique (procédure dégradée manuelle), la procédure de remise en service sécurisée (vérification firmware, tests fonctionnels, réactivation progressive), et les circuits de notification (équipe biomédicale, RSSI, constructeur, autorités si applicable). Ces procédures, intégrées dans les plans de continuité d'activité de l'établissement, permettent un confinement rapide limitant l'impact clinique.

Priorisation selon le niveau de risque clinique et cyber

La mise en œuvre de cette stratégie sur un parc IoMT étendu doit être priorisée. La matrice de priorisation croise deux axes : le niveau de risque cyber (CVE critiques connues, absence de segmentation, accès non contrôlés) et le niveau de risque clinique (impact d'une défaillance sur la sécurité patient, criticité dans les parcours de soins). Les équipements à risque élevé sur les deux axes (pompes à perfusion connectées vulnérables sur un réseau plat) sont traités en priorité absolue. Ceux à faible risque sur les deux axes (équipements administratifs non critiques) peuvent être adressés dans un second temps. Cette priorisation permet d'allouer les ressources disponibles aux risques les plus significatifs.

Cas Asie Samsung (pratiques sectorielles) — Samsung Research a publié des frameworks de sécurisation pour les environnements IoT industriels, incluant des méthodes de segmentation réseau et de monitoring comportemental directement applicables aux environnements IoMT hospitaliers. Ces travaux illustrent l'émergence d'un corpus méthodologique IoT/IoMT adapté aux contraintes des équipements non patchables.

Articles similaires

Les dispositifs médicaux connectés introduisent de nouveaux risques cliniques et numériques

Les dispositifs médicaux connectés (IoMT) combinent risques numériques et cliniques : systèmes obsolètes, cycles de vie longs, contraintes de patch réglementaires et risques de propagation OT/IT.

24 mai 2026 7 min

Pourquoi la sécurité des équipements médicaux dépasse le cadre informatique

La sécurité des équipements médicaux dépasse le cadre IT : elle implique le biomédical, les soins, la réglementation MDR. La collaboration interdisciplinaire et la décision collégiale de connexion sont essentielles.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des dispositifs connectés en santé

Les erreurs dans l'intégration des dispositifs médicaux connectés sont récurrentes : réseau non isolé, identifiants par défaut, absence d'inventaire, accès de maintenance non contrôlés.

24 mai 2026 7 min
WhatsApp