mars 29, 2021

Pensez comme un hacker, agissez comme un pro de la cybersécurité

Par andy1712


Alors que les soins de santé continuent d’adopter la connectivité entre les appareils médicaux, la cybersécurité est plus importante que jamais. Et pourtant, une enquête récente d’Irdeto a révélé que seulement 18% des leaders de la technologie médicale estiment que la sécurité intégrée à leurs dispositifs médicaux est forte.

Experts de Irdeto, Siemens Healthineers, et H-ISAC s’est récemment réuni pour une table ronde virtuelle sur ce que les fabricants de dispositifs médicaux doivent faire pour améliorer leurs méthodes de cybersécurité afin de protéger leurs produits et, en fin de compte, les fournisseurs et les patients qui les utilisent. Les panélistes comprenaient Hans-Martin von Stockhausen, directeur des produits et des solutions et chef de produit principal de la cybersécurité chez Siemens Healthineers; Steeve Huin, directeur du marketing et directeur général de l’activité de cybersécurité de la santé connectée d’Irdeto. Tyler Cyber, analyste du renseignement sur les menaces au Health-ISAC Threat Operations Center, a animé la discussion. Voici les principaux points à retenir de la discussion.

“ Rendre l’analyse de rentabilisation négative pour les méchants ”

Huin a déclaré que dans la plupart des cas, une bonne cybersécurité consiste à rendre les choses suffisamment difficiles pour dissuader les pirates et leur donner envie de pirater autre chose parce que votre réseau ou votre appareil est trop dur.

“Ce n’est pas nécessairement pour rendre les choses complètement impossibles à attaquer car avec suffisamment d’argent et de temps, tout peut être attaqué”, a déclaré Huin. “Il s’agit surtout de rendre les choses suffisamment difficiles pour que les gens fassent autre chose.”

Stockhausen était d’accord et a rappelé une phrase qu’il avait entendu une fois sur le fait de rendre l’analyse de rentabilisation négative pour les méchants. Vous ne pouvez augmenter vos mesures de protection que tant, a-t-il dit, car à un certain moment avant que cela ne commence à interférer avec l’utilisabilité du dispositif médical.

“Il s’agit toujours d’un débat constant entre les équipes produit de la sécurité centrée sur les États-Unis, le niveau de sécurité suffisant dans l’appareil et le niveau de sécurité qui devrait transparaître”, a déclaré Stockhausen. “Je dirais qu’une très bonne sécurité est une sécurité qui passe inaperçue mais qui fait toujours son travail.”

Atteindre cet équilibre est plus facile à dire qu’à faire, a-t-il admis. Des contrôles de cybersécurité vraiment stricts ont généralement au moins un impact sur la convivialité, il est donc difficile, en particulier dans le domaine des technologies médicales, de définir les contrôles de cybersécurité d’une manière qui n’impacte pas la routine clinique.

Il est difficile de trouver de bons talents en cybersécurité

«D’après notre analyse portant sur d’autres secteurs, et de manière générale, il y a une pénurie mondiale d’ingénieurs en sécurité, de personnes possédant les connaissances nécessaires, car à l’heure actuelle, presque tous les secteurs du monde sont préoccupés par la cybersécurité, n’est-ce pas? Nous vivons dans un monde hyper connecté, ce qui signifie que les choses deviennent de plus en plus vulnérables aux attaques », a déclaré Huin. «… Il est vrai que vous devez penser à embaucher les bonnes personnes qui ont cette expertise, vous devez également penser aux normes.

Il existe un certain nombre de normes de cybersécurité que les organisations doivent suivre pour obtenir des orientations générales, mais il a également reconnu que certaines de ces normes sont contradictoires.

Stockhausen a déclaré que les organisations pourraient découvrir que même sans avoir de programme ou de processus de cybersécurité à l’échelle de l’entreprise, il existe des îlots d’individus enthousiastes à propos de la sécurité, en comprennent l’importance et ont peut-être déjà commencé à appliquer des mesures de cybersécurité à un niveau plus local, comme pendant la phase de conception et de développement, les phases de test, etc. Il recommande de former une communauté de praticiens pour garantir un échange de connaissances, d’idées et d’enthousiasme concernant la cybersécurité dans toute l’entreprise.

La cybersécurité ne sera jamais une chose unique

Huin a déclaré que la cybersécurité n’a jamais été et ne sera jamais une chose unique. Elle doit commencer par le concept de produit et être menée non seulement jusqu’à la commercialisation, mais aussi dans la phase post-commercialisation, tout au long du cycle de vie du produit.

«Au tout début… quand vous commencez réellement à penser à ce que vous pouvez construire… vous devez vous assurer que nous utilisons la bonne technologie, que vous avez validé que les technologies font exactement ce que vous pouvez [they’re] censé faire pendant votre processus de développement, et vers la sortie, et ensuite bien sûr la gestion post-commercialisation », a déclaré Huin.« Et assurez-vous de garder une trace de ce qui se passe sur le marché [with the] dispositif.”

La cybersécurité doit être adoptée de haut en bas

Les fabricants de dispositifs médicaux doivent adopter une stratégie de cybersécurité holistique, le mot clé étant holistique, a déclaré Stockhausen. Chaque partie de l’entreprise ainsi que ses fournisseurs doivent adhérer aux normes de cybersécurité, a-t-il déclaré.

«Enfin, tout cela doit être repris par la direction car seule la haute direction assure la sécurité», a-t-il déclaré.