Phylapp
Sécurité des équipements médicaux connectés

Les impacts d’une compromission d’un dispositif médical sur les soins

La compromission d'un dispositif médical peut affecter l'intégrité des données cliniques et la sécurité des patients. Les plans d'incident IoMT doivent inclure des procédures de bascule vers le mode manuel.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 19 lectures

Points clés

  • La compromission d'un dispositif médical peut avoir des impacts directs sur la sécurité des patients, en plus des impacts organisationnels et réglementaires habituels.
  • Les scénarios les plus préoccupants concernent les dispositifs qui influencent directement les soins : pompes à médicaments, systèmes de surveillance, équipements de bloc opératoire connectés.
  • La détection d'une compromission d'un dispositif médical est compliquée par la difficulté à distinguer un comportement anormal d'une réponse clinique normale de l'équipement.
  • Les plans de gestion des incidents doivent inclure des procédures spécifiques pour les compromissions d'équipements médicaux, incluant les protocoles de bascule vers des procédures manuelles.
Cas US Equifax (compromission d'un système critique) — Bien que la violation d'Equifax porte sur des données financières, son analyse révèle un principe applicable à tous les systèmes critiques : la compromission d'un système critique ne se limite pas aux données exfiltrées — elle affecte la confiance dans l'intégrité de toutes les données du système. Pour un dispositif médical compromis, cette perte d'intégrité se traduit en une remise en question de la fiabilité clinique des données qu'il produit.

L'impact sur l'intégrité des données cliniques

Un dispositif médical compromis peut produire des données cliniques altérées — sans que les soignants ne puissent distinguer ces données altérées de données valides. Un moniteur de surveillance patient qui rapporte des valeurs incorrectes peut conduire à des décisions cliniques erronées. Un équipement d'imagerie qui retourne des images modifiées peut induire un diagnostic erroné. Cette altération des données cliniques est l'impact le plus insidieux d'une compromission IoMT — elle peut perdurer sans détection pendant que des décisions médicales sont prises sur des données non fiables.

Les scénarios de risque direct pour les patients

Des chercheurs en sécurité ont démontré des compromissions théoriques de dispositifs médicaux avec impact direct potentiel sur les patients. Des pompes à insuline connectées dont les paramètres de délivrance peuvent être modifiés à distance. Des défibrillateurs implantables communicants dont les chocs peuvent être déclenchés à distance. Des systèmes de distribution automatisée de médicaments connectés dont les contenus peuvent être modifiés dans leurs paramètres d'affichage. Ces démonstrations ont conduit les régulateurs et les fabricants à renforcer significativement les exigences de sécurité des dispositifs médicaux — avec une intégration progressive dans le référentiel MDR.

La détection des comportements anormaux des équipements

La détection d'une compromission sur un dispositif médical est techniquement difficile. Les équipements médicaux ont des comportements variables en réponse à l'état clinique des patients — une pompe perfuse plus rapidement, un ventilateur adapte ses paramètres. Distinguer un comportement normal de l'équipement d'un comportement anormal résultant d'une compromission nécessite une connaissance approfondie des plages normales de fonctionnement de chaque type d'équipement. Des outils de surveillance IoMT spécialisés, qui modélisent le comportement réseau normal de chaque type d'équipement, permettent de détecter les déviations significatives.

Cas EU British Airways (impact sur la continuité du service) — La violation de British Airways a conduit à l'interruption temporaire de certains services. Dans le domaine médical, l'équivalent serait la nécessité de mettre hors service des équipements médicaux compromis — une décision qui peut avoir des conséquences directes sur la prise en charge des patients. Les plans de gestion des incidents IoMT doivent anticiper le scénario de mise hors service d'urgence d'équipements critiques et définir les procédures de prise en charge clinique alternatives.

Les procédures de bascule vers le mode manuel

Les procédures de bascule vers le mode manuel en cas de compromission d'un équipement médical doivent être définies, documentées et connues des équipes soignantes. Ces procédures précisent : à quel moment décider de mettre un équipement hors service suite à une alerte de sécurité, comment assurer la continuité de la prise en charge du patient pendant la mise hors service, quelles sont les procédures alternatives pour les fonctions assurées par l'équipement compromis, et comment réintégrer l'équipement après remédiation. Ces procédures impliquent les équipes soignantes — elles ne peuvent pas être définies uniquement par les équipes IT.

La notification réglementaire d'un incident IoMT

Un incident de sécurité impliquant un dispositif médical peut déclencher des obligations de notification spécifiques. Le règlement MDR impose aux fabricants de notifier les incidents graves aux autorités compétentes (ANSM en France). Les établissements de santé peuvent avoir des obligations de notification à l'ARS dans le cadre des événements indésirables graves. Si des données de santé sont impliquées, les obligations RGPD de notification à la CNIL et aux personnes concernées s'appliquent. La coordination de ces différentes obligations de notification doit être anticipée dans le plan de gestion des incidents IoMT.

Cas Asie Medibank (données de santé compromises) — La violation de Medibank a exposé des données de santé sensibles — diagnostics, traitements, données psychiatriques — avec des impacts directs sur les patients dont la confidentialité a été violée. Dans un scénario IoMT, la compromission d'un équipement de surveillance pourrait conduire à une exfiltration de données physiologiques en temps réel, ajoutant une dimension de surveillance continue non consentie aux impacts habituels d'une violation de données de santé.

Articles similaires

Les dispositifs médicaux connectés introduisent de nouveaux risques cliniques et numériques

Les dispositifs médicaux connectés (IoMT) combinent risques numériques et cliniques : systèmes obsolètes, cycles de vie longs, contraintes de patch réglementaires et risques de propagation OT/IT.

24 mai 2026 7 min

Pourquoi la sécurité des équipements médicaux dépasse le cadre informatique

La sécurité des équipements médicaux dépasse le cadre IT : elle implique le biomédical, les soins, la réglementation MDR. La collaboration interdisciplinaire et la décision collégiale de connexion sont essentielles.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des dispositifs connectés en santé

Les erreurs dans l'intégration des dispositifs médicaux connectés sont récurrentes : réseau non isolé, identifiants par défaut, absence d'inventaire, accès de maintenance non contrôlés.

24 mai 2026 7 min
WhatsApp