Phylapp
Sécurité des équipements médicaux connectés

Les dispositifs médicaux connectés introduisent de nouveaux risques cliniques et numériques

Les dispositifs médicaux connectés (IoMT) combinent risques numériques et cliniques : systèmes obsolètes, cycles de vie longs, contraintes de patch réglementaires et risques de propagation OT/IT.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 18 lectures

Points clés

  • Les dispositifs médicaux connectés (IoMT) combinent des risques numériques classiques et des risques cliniques spécifiques — une compromission peut affecter directement la sécurité du patient.
  • Les équipements médicaux connectés ont des contraintes particulières : cycles de vie longs, impossibilité de patch sans validation réglementaire, et systèmes d'exploitation souvent obsolètes.
  • La réglementation (MDR européen, référentiel ANSSI pour les SI de santé) impose des exigences de cybersécurité aux fabricants et des responsabilités aux établissements exploitants.
  • La coexistence de réseaux IT et OT médicaux dans les établissements de santé crée une surface d'attaque étendue qui nécessite une gestion spécifique.
Cas US Capital One (convergence IT/OT) — La misconfiguration cloud qui a permis la violation de Capital One illustre comment les erreurs d'architecture dans les environnements cloud affectent des systèmes dont on n'aurait pas imaginé la connexion. Dans les hôpitaux, la connexion croissante des équipements médicaux au réseau IP hospitalier crée une convergence IT/OT similaire : les mêmes vecteurs d'attaque qui exploitent des misconfigurations dans les systèmes informatiques peuvent atteindre des équipements médicaux connectés, avec des conséquences potentiellement critiques pour les patients.

Les spécificités de l'IoMT par rapport à l'IT classique

Les dispositifs médicaux connectés (IoMT — Internet of Medical Things) présentent des caractéristiques qui les distinguent radicalement des équipements IT classiques. Leur cycle de vie est très long — un IRM ou un respirateur peut rester en service 15 à 20 ans, bien au-delà du support du système d'exploitation embarqué. Leur mise à jour est contrainte par la réglementation : tout changement logiciel peut nécessiter une nouvelle validation réglementaire (MDR), ce qui ralentit considérablement le déploiement de correctifs de sécurité. Et leur disponibilité est souvent critique — un équipement médical ne peut pas être arrêté pour maintenance sans impact sur les soins.

Les systèmes d'exploitation obsolètes : un risque structurel

De nombreux dispositifs médicaux connectés fonctionnent sur des systèmes d'exploitation en fin de support : Windows XP, Windows 7, voire des versions Linux non maintenues. Ces systèmes accumulent des vulnérabilités connues et non corrigeables sans le soutien du fabricant. Cette réalité n'est pas spécifique à un établissement — c'est une caractéristique structurelle du parc mondial des équipements médicaux. La gestion de ce risque ne passe pas par la mise à jour immédiate (souvent impossible), mais par des contrôles compensatoires : segmentation réseau, surveillance renforcée, restrictions d'accès réseau.

Les risques cliniques liés à la compromission

La compromission d'un dispositif médical connecté peut avoir des conséquences qui dépassent la dimension numérique. Un attaquant qui contrôle un système de pompe à perfusion connectée peut modifier les paramètres de délivrance de médicaments. Un système de surveillance patient compromis peut générer de fausses alarmes ou masquer des alertes réelles. Un équipement d'imagerie compromis peut altérer les données diagnostiques. Ces scénarios, bien que rares, ont été démontrés dans des environnements de recherche et constituent des risques réels à prendre en compte dans la gestion des risques des établissements de santé.

Cas EU Maersk (convergence OT/IT) — L'attaque NotPetya contre Maersk a mis en lumière les risques de la convergence entre les systèmes informatiques (IT) et les systèmes opérationnels (OT). Dans les hôpitaux, cette convergence prend la forme de la connexion des équipements médicaux (OT médical) aux réseaux IP hospitaliers (IT). Quand NotPetya s'est propagé dans le réseau de Maersk, il a atteint des systèmes de contrôle industriels que personne n'imaginait vulnérables à ce type d'attaque. Dans les hôpitaux, la même propagation latérale peut atteindre des équipements médicaux connectés.

Le cadre réglementaire applicable

Le règlement européen sur les dispositifs médicaux (MDR 2017/745) impose aux fabricants des exigences de cybersécurité intégrées dans le processus de conception. Les établissements exploitants ont de leur côté des responsabilités définies par le référentiel de sécurité des SI de santé (PGSSI-S) et les recommandations de l'ANSSI. La directive NIS2 inclut les établissements de santé dans le périmètre des entités essentielles, avec des obligations de sécurité s'étendant aux systèmes OT médicaux. La coordination entre ces différents référentiels est complexe — mais leur convergence sur les exigences fondamentales (segmentation, surveillance, gestion des patches) facilite l'identification des mesures prioritaires.

La coexistence des réseaux IT et OT médicaux

Les établissements de santé modernes disposent d'une infrastructure réseau hybride. Le réseau IT hospitalier supporte les systèmes administratifs, les DPI, la messagerie et les connexions internet. Le réseau OT médical supporte les équipements médicaux connectés, les systèmes de surveillance, et parfois les systèmes de bâtiment (HVAC, contrôle d'accès). La coexistence de ces deux réseaux, souvent sur la même infrastructure physique, crée des risques de propagation latérale. La segmentation physique ou logique (VLAN avec règles de filtrage strictes) entre ces réseaux est une mesure de sécurité fondamentale.

Cas Asie SingHealth (SI hospitalier compromis) — La violation de SingHealth a affecté l'infrastructure du système d'information clinique — la couche applicative. Dans un scénario de compromission plus avancé, une propagation vers les équipements médicaux connectés aurait été possible si des mesures de segmentation insuffisantes avaient laissé les réseaux médicaux accessibles depuis le réseau clinique compromis. La leçon de SingHealth en termes de segmentation s'applique directement à la protection des environnements IoMT.

Articles similaires

Pourquoi la sécurité des équipements médicaux dépasse le cadre informatique

La sécurité des équipements médicaux dépasse le cadre IT : elle implique le biomédical, les soins, la réglementation MDR. La collaboration interdisciplinaire et la décision collégiale de connexion sont essentielles.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des dispositifs connectés en santé

Les erreurs dans l'intégration des dispositifs médicaux connectés sont récurrentes : réseau non isolé, identifiants par défaut, absence d'inventaire, accès de maintenance non contrôlés.

24 mai 2026 7 min

Les signaux d’un environnement IoMT insuffisamment maîtrisé

Un environnement IoMT insuffisamment maîtrisé révèle des signaux : équipements hors inventaire, flux réseau anormaux, OS en fin de support, absence de politique documentée.

24 mai 2026 7 min
WhatsApp