Dans son avis du 29 août, la FDA annonce le rappel de certains pacemakers cardiaques Abbott à radio-fréquence susceptibles d'être vulnérables à des cyberattaques. Les implants électroniques cardiaques contiennent des éléments logiciels contrôlés par radio fréquence qui dans certaines conditions, pourraient être exploités par une personne malveillante pour prendre contrôle des réglages du pacemaker.
Une mise à jour du logiciel encapsulé est disponible. Avec cet incident sérieux, il faut se rendre compte à quel point la cybersécurité est devenue stratégique et peut dans certains cas menacer la sécurité des individus.
Il serait intéressant de comprendre quelles ont été les méthodes et agréments utilisés dans le développement de ces dispositifs. Le secteur de la santé est connu pour ses réglementations en général assez lourdes, mais les normes telles que HIPAA ou ISO 27001 ne couvrent pas suffisamment en détail la certification des dispositifs connectés. Il faut pour cela se référer à la norme ISO 15408 (critères communs) qui définit les différents niveaux de certification sécurité. Peut -être serait-il temps de lancer une certificarion EAL-7 des pace-makers ?
Pour mémoire, la norme ISO 15408 prévoit 7 niveaux d'assurance de sécurité et est employé notamment dans le secteur militaire et les secteurs industriels à risque.
Source : Avis de la FDA