Points clés
- Le pilotage de la sécurité des dispositifs médicaux connectés nécessite des indicateurs spécifiques qui reflètent l'état réel du parc IoMT et ses risques.
- Ces indicateurs couvrent l'inventaire (complétude), les vulnérabilités (exposition), les accès (conformité), et la surveillance (efficacité de détection).
- La priorisation des indicateurs doit tenir compte de la criticité clinique des équipements — les indicateurs des équipements les plus critiques ont une importance supérieure.
- Un tableau de bord IoMT doit être présenté régulièrement aux instances de gouvernance de la sécurité du SI de santé, incluant les équipes biomédicales.
Indicateur 1 : taux de couverture de l'inventaire IoMT
Le taux de couverture de l'inventaire mesure le pourcentage d'équipements médicaux connectés ayant une fiche d'inventaire documentée et à jour (modèle, version logicielle, OS, adresse IP, VLAN, responsable, criticité clinique). Un taux inférieur à 95 % signifie que des équipements sont hors du périmètre de gestion sécurité. La progression vers 100 % de couverture est un objectif atteignable progressivement, avec une priorité sur les équipements de criticité clinique la plus élevée. Ce taux doit être mesuré automatiquement par les outils de découverte réseau IoMT.
Indicateur 2 : exposition aux vulnérabilités critiques
Le nombre d'équipements exposés à des vulnérabilités critiques (CVSS ≥ 9.0) sans mesure compensatoire documentée est un indicateur de risque direct. Cet indicateur est particulièrement important pour les équipements dont l'OS ne peut pas être patché — des mesures compensatoires (isolation réseau renforcée, surveillance accrue, restriction des communications) doivent être mises en place et documentées. La progression de cet indicateur vers zéro est l'objectif — tout équipement avec une vulnérabilité critique non compensée est une priorité de traitement.
Indicateur 3 : état des accès de maintenance fabricant
Le nombre d'accès de maintenance fabricant actifs en permanence (vs. activés uniquement lors des interventions) est un indicateur de la surface d'exposition liée aux accès tiers. L'objectif est de tendre vers zéro accès permanents — tous les accès fabricants doivent être activés temporairement lors des interventions et révoqués à la fin. Le suivi du délai entre la fin d'une intervention et la révocation effective de l'accès est un indicateur complémentaire du respect des procédures.
Indicateur 4 : délai de traitement des alertes IoMT
Le délai moyen entre la détection d'une alerte de sécurité sur un équipement IoMT et sa qualification (vraie alerte vs. faux positif) est un indicateur de l'efficacité du processus de surveillance. Un délai élevé signifie que les alertes s'accumulent sans être traitées — réduisant l'efficacité de la surveillance. Ce délai doit être mesuré séparément pour les équipements de différents niveaux de criticité clinique : une alerte sur un équipement critique pour les soins doit être qualifiée plus rapidement qu'une alerte sur un équipement moins critique.
Construire le tableau de bord IoMT
Un tableau de bord de sécurité IoMT doit être produit mensuellement et présenté lors du comité de sécurité du SI. Il doit inclure les quatre indicateurs décrits ci-dessus, plus des indicateurs spécifiques à la criticité clinique (état des équipements les plus critiques en priorité). La présentation doit inclure les représentants des équipes biomédicales, qui apportent la perspective clinique sur la criticité des équipements et les contraintes de maintenance. Les indicateurs en rouge doivent déclencher un plan d'action documenté avec un responsable et une échéance.