Phylapp
Sécurité des équipements médicaux connectés

Les risques liés aux fournisseurs et mainteneurs des équipements

Les mainteneurs tiers disposent d'accès permanents aux réseaux hospitaliers rarement contrôlés. NIS2 impose la gestion de la chaîne d'approvisionnement. Clauses contractuelles, qualification fournisseurs et PAM structurent la réponse.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 14 lectures

Points clés

  • Les mainteneurs tiers des dispositifs médicaux disposent souvent d'accès permanents aux réseaux hospitaliers, représentant une exposition continue difficile à monitorer avec les outils IT traditionnels.
  • Les accès VPN mainteneur sont fréquemment partagés, non tracés, et jamais révoqués après fin de contrat — combinaison de facteurs qui a été exploitée dans plusieurs incidents documentés.
  • NIS2 impose explicitement la gestion de la sécurité de la chaîne d'approvisionnement comme obligation des entités essentielles, incluant les contrats avec les fournisseurs de dispositifs médicaux.
  • Un processus de qualification sécuritaire des fournisseurs, couplé à des clauses contractuelles standardisées, réduit significativement le risque supply chain IoMT.
Cas US Target (2013) — La compromission la plus citée en matière de risque fournisseur : les attaquants sont entrés via les credentials VPN d'un sous-traitant de maintenance HVAC, puis ont pivoté vers le réseau de paiement. Ce vecteur — accès tiers insuffisamment contrôlé — est directement applicable aux mainteneurs de dispositifs médicaux ayant des accès VPN permanents aux réseaux hospitaliers.

La réalité des accès mainteneurs dans les établissements de santé

Les dispositifs médicaux requièrent des interventions régulières de maintenance préventive et corrective effectuées par les techniciens des constructeurs ou des sociétés de maintenance tierces. Pour faciliter ces interventions — et réduire les coûts de déplacement — la grande majorité des constructeurs disposent d'accès distants permanents à leurs équipements via VPN ou des protocoles dédiés. Ces accès, négociés au moment de la vente ou du contrat de maintenance, sont rarement réévalués. Ils persistent souvent après la fin du contrat, les credentials ne sont pas toujours individuels, et la traçabilité des actions effectuées lors de la connexion est insuffisante. Cette situation crée une surface d'attaque permanente, difficilement visible depuis les outils de sécurité IT traditionnels.

Le risque de la sous-traitance en cascade

La chaîne de maintenance des dispositifs médicaux peut impliquer plusieurs niveaux de sous-traitance : le constructeur original, son réseau de distributeurs agréés, et des sociétés de maintenance locales. Chaque maillon dispose d'accès aux équipements, avec des niveaux de maturité cybersécurité extrêmement variables. Un constructeur international disposant d'un programme de sécurité mature peut être relayé par un distributeur local dont la gestion des accès est rudimentaire. Les exigences de sécurité contractuelles définies avec le constructeur ne se propagent pas automatiquement à ses sous-traitants. NIS2 impose de s'assurer que ces exigences remontent effectivement toute la chaîne.

Structurer la gestion des accès tiers IoMT

Une gestion efficace des accès tiers IoMT repose sur plusieurs principes. Premièrement, l'inventaire exhaustif : chaque accès tiers doit être documenté — identité du fournisseur, périmètre d'accès, durée, justification, contact référent. Deuxièmement, le principe du moindre privilège : l'accès est limité aux équipements concernés par le contrat, sans possibilité de pivotement réseau. Troisièmement, la traçabilité complète : chaque session de maintenance distante est journalisée (qui, quand, depuis où, quelles actions). Quatrièmement, la revue périodique : tous les accès sont réexaminés trimestriellement et révoqués dès la fin du besoin justifié. Ces principes, applicables via des solutions PAM (Privileged Access Management), réduisent drastiquement le risque d'exploitation d'un accès mainteneur.

Cas EU Marriott/Starwood (2018) — La compromission initiée lors de l'acquisition de Starwood en 2016 a exposé 500 millions de données clients pendant deux ans sans détection. L'enquête a révélé que des accès non inventoriés, hérités de l'infrastructure Starwood, ont servi de vecteur persistant. En contexte médical, un équipement acquis avec ses accès constructeur non réexaminés représente un risque identique.

Clauses contractuelles : ce que les établissements doivent exiger

Les contrats avec les fournisseurs et mainteneurs de dispositifs médicaux doivent inclure des clauses de sécurité explicites. Ces clauses couvrent : l'obligation de notifier tout incident de sécurité affectant les équipements dans un délai de 24h, la communication proactive des CVE et leur classification de sévérité, les délais de déploiement des correctifs selon la criticité, les conditions de fin de support avec délai minimum de préavis, la liste exhaustive du personnel ayant accès aux équipements de l'établissement, et l'acceptation d'audits de sécurité. Ces clauses, standardisées dans un référentiel contractuel partagé par la DSI, le RSSI et les achats, transforment la relation fournisseur en partenariat de sécurité plutôt qu'en relation purement commerciale.

Qualification sécuritaire à l'acquisition : anticiper le risque supply chain

La gestion du risque fournisseur IoMT commence avant l'acquisition. Un processus de qualification sécuritaire évalue les fournisseurs sur leur maturité cybersécurité : programme de divulgation des vulnérabilités (CVE, bug bounty), politique de fin de support documentée, référence ISO 27001 ou IEC 62443, capacité à fournir un SBOM (Software Bill of Materials). Cette évaluation, intégrée dans le processus d'achat au même titre que les critères cliniques et économiques, permet d'éliminer les fournisseurs ne pouvant démontrer un niveau de maturité minimal ou de pondérer le risque résiduel dans la décision d'acquisition.

Cas Asie Air India (2021) — La violation de données affectant 4,5 millions de passagers était liée à une compromission du prestataire de gestion de données SITA. Ce cas illustre le risque de la chaîne d'approvisionnement numérique : le vecteur d'attaque n'est pas l'organisation elle-même mais son prestataire. En santé, les mainteneurs tiers jouent ce même rôle de maillon vulnérable dans la chaîne.

Articles similaires

Les dispositifs médicaux connectés introduisent de nouveaux risques cliniques et numériques

Les dispositifs médicaux connectés (IoMT) combinent risques numériques et cliniques : systèmes obsolètes, cycles de vie longs, contraintes de patch réglementaires et risques de propagation OT/IT.

24 mai 2026 7 min

Pourquoi la sécurité des équipements médicaux dépasse le cadre informatique

La sécurité des équipements médicaux dépasse le cadre IT : elle implique le biomédical, les soins, la réglementation MDR. La collaboration interdisciplinaire et la décision collégiale de connexion sont essentielles.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des dispositifs connectés en santé

Les erreurs dans l'intégration des dispositifs médicaux connectés sont récurrentes : réseau non isolé, identifiants par défaut, absence d'inventaire, accès de maintenance non contrôlés.

24 mai 2026 7 min
WhatsApp