Phylapp
Sécurité des équipements médicaux connectés

Les risques liés à l’interconnexion des dispositifs et des réseaux hospitaliers

L'interconnexion des dispositifs médicaux avec les réseaux hospitaliers supprime les barrières naturelles de sécurité. Segmentation, gouvernance IT-biomédical et gestion des protocoles propriétaires conditionnent la maîtrise du risque IoMT.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 17 lectures

Points clés

  • Les réseaux hospitaliers modernes agrègent flux cliniques, administratifs et biomédicaux sur une même infrastructure, supprimant les frontières qui limitaient la propagation des menaces.
  • Chaque dispositif médical connecté constitue un point d'entrée potentiel : protocoles propriétaires non patchés, credentials par défaut, absence de chiffrement exposent le SI aux mouvements latéraux.
  • La convergence OT/IT rend impossible l'application des correctifs sans procédures coordonnées avec les équipes biomédicales et les constructeurs.
  • Une cartographie réseau précise — VLAN, segmentation, flux autorisés — conditionne la détection et le confinement de tout incident IoMT.
Cas US Universal Health Services (2020) — L'attaque Ryuk a paralysé 400 hôpitaux américains simultanément. La propagation exploit les réseaux plats reliant postes cliniques et équipements biomédicaux, forçant un retour aux dossiers papier pendant plusieurs semaines.

Une infrastructure sanitaire de plus en plus interconnectée

Les établissements de santé ont historiquement séparé leurs réseaux biomédicaux des systèmes d'information administratifs et cliniques. Cette ségrégation physique constituait une barrière naturelle. La numérisation accélérée — DPI, téléradiologie, télésurveillance, objets connectés — a progressivement abattu ces frontières. Les réseaux WiFi partagés, les VLANs mal configurés, les interconnexions avec des partenaires externes (prestataires de maintenance, télémédecine, SI régionaux) multiplient les vecteurs d'attaque. Le résultat : un périmètre de sécurité inexistant dans de nombreux établissements, où un dispositif médical compromis peut servir de pivot vers les serveurs PACS, DPI ou de facturation.

Les protocoles propriétaires comme facteur de risque structurel

La majorité des dispositifs médicaux connectés reposent sur des protocoles de communication spécifiques — HL7 v2, DICOM, propriétaires constructeurs — peu ou pas conçus avec des exigences de sécurité modernes. L'absence native de TLS, les mécanismes d'authentification rudimentaires, les ports ouverts non documentés forment un ensemble de vulnérabilités difficile à adresser sans expertise biomédicale. Les équipes IT hospitalières maîtrisent rarement ces protocoles, tandis que les ingénieurs biomédicaux ne disposent pas toujours des compétences cybersécurité nécessaires. Cette zone grise de responsabilité se traduit par des équipements maintenus à l'état de sortie usine pendant leur durée de vie complète — souvent supérieure à dix ans.

Le mouvement latéral comme scénario principal de compromission

Dans un réseau hospitaler insuffisamment segmenté, un dispositif médical compromis — pompe, moniteur, équipement d'imagerie — devient une tête de pont vers les systèmes critiques. Les outils de post-exploitation modernes intègrent des modules de reconnaissance passive compatibles avec les environnements OT, permettant d'identifier les équipements biomédicaux, leurs versions firmware, et leurs communications habituelles sans générer d'alertes. La détection de ces mouvements latéraux requiert une visibilité réseau granulaire — logs NetFlow, inspection de protocoles industriels, honeypots IoMT — que rares sont les établissements à avoir déployée.

Cas EU Düsseldorf University Hospital (2020) — Une attaque ransomware exploitant une vulnérabilité Citrix a chiffré 30 serveurs. Le réseau hôpital n'était pas segmenté entre systèmes administratifs et biomédicaux, forçant le détournement d'une patiente en urgence vers un autre établissement. Premier cas documenté liant cyberattaque hospitalière à un décès indirect.

Stratégies de segmentation et de confinement

La segmentation réseau représente la contre-mesure fondamentale. Elle implique la création de VLANs dédiés par famille d'équipements — imagerie, monitoring, perfusion — avec des règles de filtrage strictes autorisant uniquement les flux légitimes documentés. Les dispositifs ne devant pas communiquer en dehors de leur usage clinique direct sont isolés dans des segments sans accès Internet. Les flux de maintenance constructeur transitent par des jumpboxes dédiées avec authentification forte et traçabilité complète. Cette architecture, recommandée par PGSSI-S et les guides ANSSI pour les secteurs critiques, réduit drastiquement la surface d'attaque tout en maintenant la continuité opérationnelle des soins.

Vers une gouvernance intégrée IT-biomédical

L'efficacité de la sécurité IoMT repose sur une gouvernance réunissant DSI, RSSI, Direction des Soins, service biomédical et direction générale. Cette gouvernance définit les processus de qualification sécuritaire à l'acquisition, les exigences contractuelles envers les constructeurs (patch management, CVE communication, fin de support), les procédures de maintenance coordonnée, et les plans de continuité spécifiques aux équipements critiques. Elle établit également les indicateurs de suivi — inventaire exhaustif, taux de couverture segmentation, délai moyen de correction — permettant un pilotage objectif du niveau de risque IoMT de l'établissement.

Cas Asie Medibank (Australie, 2022) — L'attaque a exposé les données médicales de 9,7 millions de patients. L'investigation a révélé une interconnexion insuffisamment contrôlée entre réseaux partenaires et SI interne, permettant aux attaquants de progresser jusqu'aux bases de données de santé sensibles sans déclencher d'alertes réseau.

Articles similaires

Les dispositifs médicaux connectés introduisent de nouveaux risques cliniques et numériques

Les dispositifs médicaux connectés (IoMT) combinent risques numériques et cliniques : systèmes obsolètes, cycles de vie longs, contraintes de patch réglementaires et risques de propagation OT/IT.

24 mai 2026 7 min

Pourquoi la sécurité des équipements médicaux dépasse le cadre informatique

La sécurité des équipements médicaux dépasse le cadre IT : elle implique le biomédical, les soins, la réglementation MDR. La collaboration interdisciplinaire et la décision collégiale de connexion sont essentielles.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des dispositifs connectés en santé

Les erreurs dans l'intégration des dispositifs médicaux connectés sont récurrentes : réseau non isolé, identifiants par défaut, absence d'inventaire, accès de maintenance non contrôlés.

24 mai 2026 7 min
WhatsApp