AMOSSYS participe à la conception d’une plateforme de Cyber Range santé destinée à faciliter la détection de potentielles failles de sécurité et chemins d’attaque au sein des systèmes d’information de santé. Objectif : permettre aux acteurs de santé de tester les dispositifs médicaux et logiciels de santé avant un déploiement opérationnel. Zoom sur ce beau projet collaboratif.
Le secteur de la santé a été la cible de cyberattaques de plus en plus nombreuses pendant la pandémie de COVID-19 provoquant notamment indisponibilité d’équipements médicaux et fuite de données personnelles de santé. Afin d’améliorer le niveau de résistance des systèmes d’information de santé, plusieurs initiatives impulsées par les agences de l’état [1] [2] et de l’Europe [3] [4] ont alors été lancées.
Un groupe de travail piloté par le Pôle d’excellence cyber s’est ainsi constitué fin 2020 pour proposer une solution de Cyber Range (simulateur) en co-construction avec les acteurs hospitaliers publics et privés (groupe Vivalto, CHU de Brest), subventionnée par la Région Bretagne et Rennes Métropole et soutenue par Images & Réseaux et Atlanpole Biotherapies.
De par ses travaux et son expertise en matière de simulation d’attaques, AMOSSYS s’est naturellement greffé au consortium constitué d’industriels (AMOSSYS, DIATEAM) et de l’IRT B<>com pour répondre à la consultation lancée par la région Bretagne. Objectif : mettre au point une plateforme de Cyber Range orientée Santé permettant de jouer un ensemble de scénarios d’attaque, de manière semi-automatisée, sur des topologies réseau intégrant les équipements et logiciels à tester.
La plateforme de Cyber Range Santé devrait ainsi faciliter la détection de potentielles failles de sécurité et chemins d’attaque au sein des systèmes d’information de santé avant un déploiement opérationnel, les travaux portant plus particulièrement sur deux cas d’usage : le parcours patient et les dispositifs médicaux de monitoring du patient.
La plateforme sera destinée principalement aux éditeurs de dispositifs médicaux et de logiciels de santé, aux intégrateurs et aux établissements de santé qui souhaiteraient disposer d’une plateforme de test.
[1] https://solidarites-sante.gouv.fr/actualites/presse/communiques-de-presse/article/securite-des-reseaux-informatiques-des-etablissements-de-sante
[2] http://www.specialitesmedicales.org/offres/doc_inline_src/666/ANSM%2B-%2BCybersecurite_Recommandations-Fr.pdf
[3] https://www.bsigroup.com/meddev/LocalFiles/fr-fr/Whitepapers/bsi_Cybers%c3%a9curit%c3%a9%20des%20dispositifs%20m%c3%a9dicaux_livreblanc.pdf?utm_source=Pardot&utm_medium=email
[4] https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services