L’offre de sécurité Medical IoT Security déployée hier par Palo Alto Networks s’appuie sur l'apprentissage machine et sur le respect des principes de zero trust pour améliorer la visibilité, et doter les frameworks de santé IoT, jusqu’ici vulnérables, d’une surveillance automatisée et plus encore. Voilà des années que la vulnérabilité des dispositifs médicaux est pointée du doigt et qu’ils représentent un sérieux défi de sécurité pour la plupart des entreprises du secteur de la santé. Selon la plupart des experts, une grande partie du problème réside dans le fait qu’à l’origine, la majorité des appareils connectés utilisés dans le monde médical n'ont pas été conçus pour être mis en réseau. Cette fonctionnalité ayant été greffée après coup, les configurations par défaut peu sécurisées de ces appareils, de leur dépendance à l'égard de bibliothèques de code compromises et un tas d'autres problèmes graves font qu’ils sont exposés en permanence à des attaques. L'application IoT pour la santé de Palo Alto essaye de contourner certains aspects du problème en s’appuyant sur l'apprentissage machine, l’idée étant de doter les appareils connectés d’une fonction d'autodécouverte et de suivi du comportement. Disposer d'un inventaire complet des appareils est déjà un progrès pour de nombreuses entreprises et, en l'absence de mesures de sécurité intégrées, le suivi des anomalies comportementales basé sur l'apprentissage machine peut améliorer la posture de sécurité aux menaces visant le matériel médical vulnérable. 

Conformité réglementaire des paramètres de sécurité 

Le fournisseur met aussi en avant les capacités de son produit dans le domaine de la conformité, en particulier une analyse dédiée des correctifs et des paramètres de sécurité pour déterminer s'ils sont conformes aux normes réglementaires de la Health Insurance Portability and Accountability Act (HIPAA) et du Règlement général sur la protection des données (RGPD). En outre, la segmentation du réseau - une autre mesure clé de protection des dispositifs médicaux contre les menaces extérieures - est aussi une caractéristique importante du produit de Palo Alto, qui présente une carte visuelle des dispositifs autorisés à communiquer entre eux. Parallèlement, la fonctionnalité de visibilité de l’entreprise fournit une analyse automatisée de la nomenclature logicielle (Software Bill of Materials, SBOM) de tous les appareils connectés sur le réseau, en les comparant aux vulnérabilités connues et en émettant une alerte si des CVE (Common Vulnerabilities and Exposures) sont trouvées.   

Mis à part les simples défauts de conception, les dispositifs médicaux IoT souffrent aussi de problèmes de contrôle d'accès, les services hospitaliers publics et les cliniques utilisent beaucoup de dispositifs vulnérables, ce qui signifie que les mauvais acteurs n’ont pas trop de difficultés à y avoir physiquement accès. La pandémie, qui a poussé de nombreux prestataires de soins de santé à proposer des services de télésanté et de soins virtuels, n'a fait qu'exacerber la situation. « Les défauts de sécurité des dispositifs médicaux en font une cible attractive pour les cyberattaquants », a déclaré Anand Oswal, vice-président senior des produits de Palo Alto, dans un communiqué accompagnant la sortie du produit. « Les attaques sur ces appareils peuvent exposer les données des patients, interrompre les opérations hospitalières, obliger l’hôpital à réduire ses capacités de soins et, en fin de compte, mettre en danger le bien-être des patients ». Palo Alto a déclaré que son offre Medical IoT Security serait disponible en janvier 2023. Le produit sera vendu en option payante avec les produits de pare-feu courants de l'entreprise, soit avec un hardware, soit sous forme de machine virtuelle ou de facteurs de forme dans le cloud. Pour ce qui est du tarif, il sera calculé en pourcentage du prix catalogue du dispositif de pare-feu avec lequel il est utilisé, pour la durée du service. La licence de l'application pourra être achetée pour une durée déterminée.