Phylapp
Sécurité des équipements médicaux connectés

Les défis liés aux mises à jour et maintenances des équipements médicaux

La gestion des mises à jour des équipements médicaux est complexifiée par les contraintes MDR, les fenêtres cliniques et les fins de support fabricant. Les contrôles compensatoires pendant les délais de patch sont indispensables.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 18 lectures

Points clés

  • La gestion des mises à jour et des maintenances des équipements médicaux connectés est l'un des défis les plus complexes de la sécurité IoMT, en raison des contraintes réglementaires, cliniques et techniques spécifiques.
  • Les patches de sécurité des équipements médicaux nécessitent souvent une validation réglementaire préalable (MDR), créant des délais incompressibles entre la découverte d'une vulnérabilité et sa correction.
  • La gestion de ce délai impose la mise en place de contrôles compensatoires — segmentation réseau, surveillance renforcée — pendant la période de vulnérabilité.
  • La communication proactive avec les fabricants sur leurs plans de correction de sécurité est indispensable pour anticiper les délais et planifier les mesures compensatoires.
Cas US Yahoo (vulnérabilités non patchées) — Les violations de Yahoo ont exploité des vulnérabilités connues non patchées — notamment des tokens de session forgés utilisant des vulnérabilités cryptographiques identifiées depuis des années. Dans le contexte IoMT, des vulnérabilités connues peuvent rester non patchées pendant des mois ou des années en raison des contraintes de validation réglementaire. La gestion de cette période de vulnérabilité prolongée — avec des contrôles compensatoires robustes — est un défi permanent de la sécurité des équipements médicaux.

Le processus de validation des patches dans le cadre MDR

Sous le règlement MDR, toute modification substantielle d'un dispositif médical — y compris les mises à jour logicielles — doit être évaluée par le fabricant dans le cadre de son processus de gestion des changements. Si la modification est substantielle au sens du MDR, une nouvelle documentation technique et potentiellement une nouvelle évaluation par un organisme notifié sont requises. Ce processus peut prendre des semaines à des mois selon la complexité du changement. Pour les patches de sécurité urgents, les fabricants peuvent accélérer ce processus — mais ils ne peuvent pas l'éliminer. Le dialogue avec le fabricant sur les plans et délais de correction est donc essentiel.

Les fenêtres de maintenance : planifier autour des soins

Le déploiement des mises à jour sur les équipements médicaux doit être planifié dans des fenêtres de maintenance qui minimisent l'impact sur les soins. Ces fenêtres sont contraintes : elles doivent être coordonnées avec les équipes soignantes pour garantir la disponibilité d'équipements de remplacement ou de procédures alternatives, réalisées par des équipes formées à la fois sur l'aspect technique et sur les implications cliniques, et documentées dans un plan de maintenance validé par les équipes médicales et IT. La planification de ces fenêtres, pour des équipements critiques, peut nécessiter plusieurs semaines de préavis.

Les contrôles compensatoires pendant les périodes de vulnérabilité

Pendant la période entre la découverte d'une vulnérabilité et son correction (patch disponible et validé MDR), des contrôles compensatoires doivent être mis en place. Ces contrôles incluent : le renforcement de la segmentation réseau de l'équipement vulnérable pour limiter sa surface d'exposition, la surveillance renforcée de ses communications réseau avec des alertes sur les comportements anormaux, la restriction des accès à l'équipement aux seuls utilisateurs strictement nécessaires, et une vérification de l'intégrité périodique de la configuration de l'équipement. Ces contrôles doivent être documentés et levés une fois le patch déployé.

Cas EU British Airways (mises à jour non contrôlées) — L'injection de code malveillant dans le site de British Airways s'est faite via un script tiers mis à jour sans contrôle. Dans les environnements IoMT, le problème inverse se pose souvent : les mises à jour ne sont pas déployées assez rapidement en raison des contraintes de validation. Les deux extrêmes sont risqués — des mises à jour non contrôlées introduisent des risques, des mises à jour retardées laissent des vulnérabilités ouvertes. L'équilibre passe par un processus rigoureux de validation et de déploiement qui garantit à la fois la fiabilité et la rapidité.

La gestion des fins de support fabricant

Les équipements médicaux en fin de support — dont le fabricant n'assurera plus la fourniture de patches de sécurité — constituent un défi particulier. L'établissement doit anticiper cette situation et définir une stratégie avant la fin du support : remplacement de l'équipement (souvent coûteux), négociation d'un support étendu payant avec le fabricant, ou mise en place de contrôles compensatoires renforcés acceptant un niveau de risque résiduel documenté. Cette planification doit être intégrée dans le plan de renouvellement du parc biomédical — avec une prise en compte explicite de la dimension sécurité dans les critères de renouvellement.

L'organisation des maintenances préventives sécurité

Les maintenances préventives des équipements médicaux doivent intégrer un volet de vérification de la sécurité. À chaque maintenance, les éléments suivants doivent être vérifiés : version logicielle actuelle et comparaison avec la version disponible auprès du fabricant, état de la configuration de sécurité (identifiants, accès réseau autorisés), journaux d'audit disponibles et absence d'anomalies, et état des certificats et tokens utilisés pour les connexions sécurisées. Cette intégration de la sécurité dans les maintenances préventives permet de maintenir l'état de sécurité du parc IoMT sans nécessiter de visites spécifiques dédiées à la sécurité.

Cas Asie Sony Pictures (systèmes non patchés exploités) — La violation de Sony Pictures a exploité des systèmes dont les vulnérabilités connues n'avaient pas été corrigées. Dans les environnements IoMT, les contraintes MDR créent une pression similaire : des vulnérabilités connues restent ouvertes pendant les délais de validation. La leçon est identique : des contrôles compensatoires robustes pendant les délais de correction, et une communication active avec les fabricants pour réduire ces délais autant que possible, sont les réponses opérationnelles à cette vulnérabilité structurelle.

Articles similaires

Les dispositifs médicaux connectés introduisent de nouveaux risques cliniques et numériques

Les dispositifs médicaux connectés (IoMT) combinent risques numériques et cliniques : systèmes obsolètes, cycles de vie longs, contraintes de patch réglementaires et risques de propagation OT/IT.

24 mai 2026 7 min

Pourquoi la sécurité des équipements médicaux dépasse le cadre informatique

La sécurité des équipements médicaux dépasse le cadre IT : elle implique le biomédical, les soins, la réglementation MDR. La collaboration interdisciplinaire et la décision collégiale de connexion sont essentielles.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des dispositifs connectés en santé

Les erreurs dans l'intégration des dispositifs médicaux connectés sont récurrentes : réseau non isolé, identifiants par défaut, absence d'inventaire, accès de maintenance non contrôlés.

24 mai 2026 7 min
WhatsApp