Le quoi, le pourquoi et le comment de la cybersécurité des dispositifs médicaux
Learn how threat modeling like STRIDE helps secure medical devices. Understand vulnerabilities, data flows, and compliance with global cybersecurity regulations.
À une époque où les hôpitaux sont confrontés à des attaques de ransomware paralysantes et où des dispositifs médicaux vitaux sont la proie de cybercriminels, de nombreux fabricants de dispositifs médicaux se retrouvent au milieu d'un champ de bataille numérique. Avec l'augmentation constante des menaces de cybersécurité, la surveillance réglementaire de la cybersécurité des dispositifs médicaux s'est rapidement intensifiée dans le monde entier. La cybersécurité est devenue un sujet brûlant dans l'industrie des dispositifs médicaux, faisant entrer une multitude de nouveaux termes dans le lexique quotidien des chefs de produit, des ingénieurs de développement et des spécialistes de la réglementation et de la qualité. Ces termes semblent souvent "étrangers" et mystérieux aux professionnels qui découvrent la cybersécurité, et il n'est pas évident de les intégrer dans les cadres de développement des dispositifs médicaux tels que la norme ISO 14971. L'un de ces termes est la modélisation des menaces. Qu'est-ce qu'une menace pour la cybersécurité ? Pourquoi devons-nous la modéliser ? Qu'est-ce que STRIDE exactement, et comment l'utiliser ?
Dans cet article de blog, nous allons nous plonger dans la modélisation des menaces afin de clarifier ce concept clé de la cybersécurité des dispositifs médicaux et de formuler des recommandations exploitables.
Comprendre les menaces de cybersécurité des dispositifs médicaux et leurs relations avec les vulnérabilités
Une menace de cybersécurité est définie comme la possibilité d'une violation de la sécurité, découlant de circonstances, de capacités, d'actions ou d'événements susceptibles de porter atteinte à la sécurité et de causer des dommages à la confidentialité, à l'intégrité et à la disponibilité des actifs informationnels (CEI 81001-5-1). En termes plus simples, il s'agit de ce qui pourrait mal se passer avec les actifs informationnels. Une violation de la sécurité ne se produit que lorsque des vulnérabilités sont présentes et exploitées par un acteur menaçant. Les vulnérabilités sont des faiblesses ou des défauts dans un système, une application, un réseau ou un dispositif qui peuvent être exploités pour compromettre la confidentialité, l'intégrité et la disponibilité du système. Ces vulnérabilités peuvent exister dans le code logiciel, les configurations, les protocoles ou même les processus humains et peuvent être introduites par inadvertance ou intentionnellement.
L'importance de la modélisation des menaces dans la cybersécurité des dispositifs médicaux
Qu'est-ce que la modélisation des menaces et pourquoi avons-nous besoin de modéliser les menaces ? Quels sont les avantages de la modélisation des menaces ? La modélisation des menaces est une approche qui permet d'analyser les menaces auxquelles un dispositif est confronté de manière structurée afin d'identifier, d'énumérer et de hiérarchiser les vulnérabilités (ou bogues) possibles associées à chaque menace. En termes simples, une fois que nous avons compris ce qui pourrait mal tourner (c'est-à-dire les menaces), nous modélisons les menaces, sur la base de la conception d'un appareil, pour voir comment les menaces peuvent se manifester dans un appareil et dans le système informatique qui lui est connecté. Prenons l'exemple d'un appareil qui utilise le Bluetooth pour transférer des données de santé sans fil. Une menace prévisible dans ce contexte est la divulgation d'informations sur la santé. En modélisant cette menace, nous identifions que la transmission de données Bluetooth non chiffrées est une vulnérabilité qu'un attaquant pourrait exploiter pour mettre en œuvre cette menace. Par conséquent, nous ajoutons une exigence de conception pour le cryptage des données Bluetooth afin d'atténuer cette vulnérabilité et, par conséquent, la menace. Cet exemple simplifié montre que la modélisation des menaces consiste à comprendre le modus operandi des menaces dans la conception d'un appareil, afin d'identifier et de traiter les vulnérabilités pour garantir la sécurité et la sûreté de l'appareil.
Préparer le terrain avant de commencer : Représentation des fonctions de l'appareil
La prochaine question logique est la suivante : comment procéder à la modélisation des menaces ? Attendons un instant pour effectuer une préparation essentielle. Une étape cruciale avant le début de tout exercice de modélisation des menaces consiste à avoir une bonne représentation du fonctionnement de l'appareil en question. Sans cette compréhension, il devient difficile d'identifier et de modéliser les menaces de manière exhaustive, en tenant compte de toutes les surfaces d'attaque vulnérables, des flux de données et des composants critiques. Cette description doit être présentée dans un format facile à utiliser, car la modélisation des menaces est un exercice de groupe qui requiert la participation d'une équipe interfonctionnelle. Une description textuelle très détaillée mais longue de la conception de l'appareil n'est peut-être pas le choix le plus productif pour une session de modélisation des menaces.
Le diagramme de flux de données (DFD) est une méthode couramment utilisée pour décrire le dispositif dans le cadre de la modélisation des menaces. Cette méthode offre à l'équipe de modélisation des menaces un moyen efficace de visualiser le dispositif. La version 3 du DFD utilise cinq symboles simples pour permettre à l'utilisateur de représenter les composants internes et externes impliqués dans le fonctionnement d'un dispositif, la manière dont ils interagissent (c'est-à-dire la manière dont les données circulent entre eux) et leurs limites de confiance, qui sont des lignes imaginaires séparant les composants en fonction du niveau de confiance qui leur est accordé.
La figure ci-dessous illustre le DFD d'un dispositif fictif : un capteur qui mesure un paramètre physiologique du corps du patient et le transmet à une application sur le téléphone portable du patient. L'application du téléphone portable télécharge les données de mesure du patient vers un système de stockage en nuage, où le patient et son prestataire de soins de santé peuvent y accéder via une interface web.
Le DFD ci-dessus n'est pas exhaustif, car il ne tient pas compte de tous les flux de données et de toutes les interactions possibles, et les composants du système sont représentés à un niveau élevé plutôt que de manière détaillée. Toutefois, ce niveau de détail est suffisant pour lancer un exercice de modélisation des menaces. Comme de nombreux aspects du développement des dispositifs médicaux, la modélisation des menaces est un processus itératif. Au fur et à mesure que l'équipe chargée de la modélisation des menaces s'enfonce dans l'identification des menaces, des composants, des flux et des détails supplémentaires seront incorporés dans le diagramme.
Initier la modélisation des menaces avec STRIDE
Avec un diagramme de système fonctionnel en place, nous pouvons maintenant commencer la modélisation des menaces. C'est à ce moment-là que le concept STRIDE entre en jeu. STRIDE est l'abréviation de Spoofing, Tampering, Repudiation, Information disclosure, Denialof service, and Elevationof privilege ( usurpationd'identité, falsification, répudiation, divulgation d'informations, refus deservice et élévation deprivilèges). Ces six catégories représentent des types courants de menaces auxquelles sont confrontés les systèmes informatiques, à l'instar des risques prévus par la norme ISO 14971 pour les appareils médicaux. Développée par des chercheurs en sécurité de Microsoft en 1999, STRIDE est peut-être la technique de modélisation structurée des menaces la plus utilisée.
Lorsqu'elle applique STRIDE, l'équipe chargée de la modélisation doit tenir compte de la présence potentielle de chacun des six types de menaces au sein de l'appareil. Cette approche peut se faire de différentes manières, par exemple par élément, par flux de données, par interaction, par flux de travail/cas d'utilisation ou par franchissement de la limite de confiance. Pour l'itération initiale de modélisation des menaces pour le dispositif fictif, nous utiliserons l'approche STRIDE par franchissement de frontière. Cette méthode nous permet de nous concentrer sur les surfaces d'attaque vulnérables tout en mettant temporairement de côté les complexités internes au sein d'une frontière de confiance.
Le tableau ci-dessous énumère plusieurs menaces identifiées pour les flux de données traversant les limites de confiance dans le dispositif fictif, comme indiqué dans le DFD ci-dessus, après la première série de brainstorming lors d'une session de modélisation des menaces. Le premier tableau répertorie les menaces pour chaque flux de données franchissant une frontière selon les catégories STRIDE. Le tableau suivant fournit des descriptions pour chaque menace.
Il est important de noter que la description de chaque menace peut sembler générique et manquer de détails techniques. C'est souvent le cas pour les modèles de menaces après une première série de modélisations ou aux premiers stades du processus de R&D, lorsque les informations sur la conception sont limitées. Cela indique qu'une analyse plus approfondie est nécessaire pour étayer ces modèles de menace avec les vulnérabilités identifiées, le cas échéant. Dans le cas d'un dispositif déjà conçu, les éléments pertinents du DFD doivent être développés pour une analyse plus approfondie. Pour un dispositif encore en phase de conception, la modélisation des menaces doit être itérée pour intégrer les nouveaux détails de conception au fur et à mesure qu'ils sont disponibles, et les informations dérivées sur les menaces doivent être réintégrées dans le processus de conception afin de traiter ou de prévenir les vulnérabilités.
Le processus continu de modélisation des menaces et les prochaines étapes
La modélisation des menaces est un processus itératif qui doit se poursuivre tout au long du cycle de vie d'un appareil. Chaque itération intègre des informations supplémentaires, telles que de nouveaux détails de conception, des modifications de conception et des vulnérabilités récemment découvertes à partir de diverses sources telles que les tests de pénétration, la surveillance post-commercialisation, les référentiels publics de menaces et les bases de données de vulnérabilités. En outre, les modèles de menace peuvent être améliorés par l'utilisation de méthodes de modélisation supplémentaires qui offrent différentes perspectives d'une menace donnée.
Par exemple, les arbres d'attaque peuvent être utilisés pour compléter STRIDE en explorant plusieurs vecteurs d'attaque, en évaluant l'exploitabilité des vulnérabilités et en analysant les composants ou les flux de travail à haut risque. De même, le Cyber Kill Chain est souvent utilisé en complément de STRIDE pour comprendre le cycle de vie complet des attaques potentielles, en particulier pour les menaces persistantes avancées ciblant les appareils, et pour analyser les menaces provenant d'acteurs sophistiqués susceptibles d'utiliser des attaques en plusieurs étapes.
La modélisation des menaces ne s'arrête pas à l'identification des menaces et des vulnérabilités associées. Dans le prochain épisode de cette série sur la cybersécurité, nous nous pencherons sur les prochaines étapes cruciales du processus de modélisation des menaces : l'évaluation et la hiérarchisation des menaces et des vulnérabilités identifiées et l'intégration des informations sur les menaces dans le système de gestion des risques d'un dispositif. Restez à l'écoute pour la suite de notre mini-introduction dans le monde de la cybersécurité des dispositifs médicaux.
Pour plus d'informations sur les méthodologies de modélisation des menaces et leur application au développement des dispositifs médicaux, le Playbook for Threat Modeling Medical Devices rédigé par l'organisation MITRE, avec le soutien de la FDA américaine, constitue une bonne ressource. Comment Qserve peut-elle vous aider ?
Qserve dispose d'une équipe internationale d'experts dans divers domaines techniques de l'industrie des dispositifs médicaux, y compris une équipe dédiée d'experts SaMD ayant une grande expérience de l'AR/AQ au niveau mondial, qui peut vous fournir une assistance pratique en matière de cybersécurité, d'intelligence artificielle et de conception de logiciels. Contactez-nous dès aujourd'hui pour découvrir comment nous pouvons aider votre organisation à accélérer le développement de produits, à rationaliser les soumissions réglementaires et à garantir la conformité avec les exigences de cybersécurité en constante évolution.
Zones de service
Affaires réglementaires
Assurance qualité
Opérations cliniques
Solutions
Conseil
Audits et évaluations
Accès au marché mondial
Veille réglementaire
Formation
Soutien provisoire
Recherche clinique
Expertise
Dispositifs médicaux
Dispositifs combinés
Diagnostic in vitro
Diagnostic compagnon (CDx)
Companion Diagnostics (CDx)
Accès au marché mondial
Fusions et acquisitions
Centre de ressources
à propos de nous
Carrières
Le quoi, le pourquoi et le comment de la cybersécurité des dispositifs médicaux
Learn how threat modeling like STRIDE helps secure medical devices. Understand vulnerabilities, data flows, and compliance with global cybersecurity regulations.
À une époque où les hôpitaux sont confrontés à des attaques de ransomware paralysantes et où des dispositifs médicaux vitaux sont la proie de cybercriminels, de nombreux fabricants de dispositifs médicaux se retrouvent au milieu d'un champ de bataille numérique. Avec l'augmentation constante des menaces de cybersécurité, la surveillance réglementaire de la cybersécurité des dispositifs médicaux s'est rapidement intensifiée dans le monde entier. La cybersécurité est devenue un sujet brûlant dans l'industrie des dispositifs médicaux, faisant entrer une multitude de nouveaux termes dans le lexique quotidien des chefs de produit, des ingénieurs de développement et des spécialistes de la réglementation et de la qualité. Ces termes semblent souvent "étrangers" et mystérieux aux professionnels qui découvrent la cybersécurité, et il n'est pas évident de les intégrer dans les cadres de développement des dispositifs médicaux tels que la norme ISO 14971. L'un de ces termes est la modélisation des menaces. Qu'est-ce qu'une menace pour la cybersécurité ? Pourquoi devons-nous la modéliser ? Qu'est-ce que STRIDE exactement, et comment l'utiliser ?
Dans cet article de blog, nous allons nous plonger dans la modélisation des menaces afin de clarifier ce concept clé de la cybersécurité des dispositifs médicaux et de formuler des recommandations exploitables.
Comprendre les menaces de cybersécurité des dispositifs médicaux et leurs relations avec les vulnérabilités
Une menace de cybersécurité est définie comme la possibilité d'une violation de la sécurité, découlant de circonstances, de capacités, d'actions ou d'événements susceptibles de porter atteinte à la sécurité et de causer des dommages à la confidentialité, à l'intégrité et à la disponibilité des actifs informationnels (CEI 81001-5-1). En termes plus simples, il s'agit de ce qui pourrait mal se passer avec les actifs informationnels. Une violation de la sécurité ne se produit que lorsque des vulnérabilités sont présentes et exploitées par un acteur menaçant. Les vulnérabilités sont des faiblesses ou des défauts dans un système, une application, un réseau ou un dispositif qui peuvent être exploités pour compromettre la confidentialité, l'intégrité et la disponibilité du système. Ces vulnérabilités peuvent exister dans le code logiciel, les configurations, les protocoles ou même les processus humains et peuvent être introduites par inadvertance ou intentionnellement.
L'importance de la modélisation des menaces dans la cybersécurité des dispositifs médicaux
Qu'est-ce que la modélisation des menaces et pourquoi avons-nous besoin de modéliser les menaces ? Quels sont les avantages de la modélisation des menaces ? La modélisation des menaces est une approche qui permet d'analyser les menaces auxquelles un dispositif est confronté de manière structurée afin d'identifier, d'énumérer et de hiérarchiser les vulnérabilités (ou bogues) possibles associées à chaque menace. En termes simples, une fois que nous avons compris ce qui pourrait mal tourner (c'est-à-dire les menaces), nous modélisons les menaces, sur la base de la conception d'un appareil, pour voir comment les menaces peuvent se manifester dans un appareil et dans le système informatique qui lui est connecté. Prenons l'exemple d'un appareil qui utilise le Bluetooth pour transférer des données de santé sans fil. Une menace prévisible dans ce contexte est la divulgation d'informations sur la santé. En modélisant cette menace, nous identifions que la transmission de données Bluetooth non chiffrées est une vulnérabilité qu'un attaquant pourrait exploiter pour mettre en œuvre cette menace. Par conséquent, nous ajoutons une exigence de conception pour le cryptage des données Bluetooth afin d'atténuer cette vulnérabilité et, par conséquent, la menace. Cet exemple simplifié montre que la modélisation des menaces consiste à comprendre le modus operandi des menaces dans la conception d'un appareil, afin d'identifier et de traiter les vulnérabilités pour garantir la sécurité et la sûreté de l'appareil.
Préparer le terrain avant de commencer : Représentation des fonctions de l'appareil
La prochaine question logique est la suivante : comment procéder à la modélisation des menaces ? Attendons un instant pour effectuer une préparation essentielle. Une étape cruciale avant le début de tout exercice de modélisation des menaces consiste à avoir une bonne représentation du fonctionnement de l'appareil en question. Sans cette compréhension, il devient difficile d'identifier et de modéliser les menaces de manière exhaustive, en tenant compte de toutes les surfaces d'attaque vulnérables, des flux de données et des composants critiques. Cette description doit être présentée dans un format facile à utiliser, car la modélisation des menaces est un exercice de groupe qui requiert la participation d'une équipe interfonctionnelle. Une description textuelle très détaillée mais longue de la conception de l'appareil n'est peut-être pas le choix le plus productif pour une session de modélisation des menaces.
Le diagramme de flux de données (DFD) est une méthode couramment utilisée pour décrire le dispositif dans le cadre de la modélisation des menaces. Cette méthode offre à l'équipe de modélisation des menaces un moyen efficace de visualiser le dispositif. La version 3 du DFD utilise cinq symboles simples pour permettre à l'utilisateur de représenter les composants internes et externes impliqués dans le fonctionnement d'un dispositif, la manière dont ils interagissent (c'est-à-dire la manière dont les données circulent entre eux) et leurs limites de confiance, qui sont des lignes imaginaires séparant les composants en fonction du niveau de confiance qui leur est accordé.
La figure ci-dessous illustre le DFD d'un dispositif fictif : un capteur qui mesure un paramètre physiologique du corps du patient et le transmet à une application sur le téléphone portable du patient. L'application du téléphone portable télécharge les données de mesure du patient vers un système de stockage en nuage, où le patient et son prestataire de soins de santé peuvent y accéder via une interface web.
Le DFD ci-dessus n'est pas exhaustif, car il ne tient pas compte de tous les flux de données et de toutes les interactions possibles, et les composants du système sont représentés à un niveau élevé plutôt que de manière détaillée. Toutefois, ce niveau de détail est suffisant pour lancer un exercice de modélisation des menaces. Comme de nombreux aspects du développement des dispositifs médicaux, la modélisation des menaces est un processus itératif. Au fur et à mesure que l'équipe chargée de la modélisation des menaces s'enfonce dans l'identification des menaces, des composants, des flux et des détails supplémentaires seront incorporés dans le diagramme.
Initier la modélisation des menaces avec STRIDE
Avec un diagramme de système fonctionnel en place, nous pouvons maintenant commencer la modélisation des menaces. C'est à ce moment-là que le concept STRIDE entre en jeu. STRIDE est l'abréviation de Spoofing, Tampering, Repudiation, Information disclosure, Denialof service, and Elevationof privilege ( usurpationd'identité, falsification, répudiation, divulgation d'informations, refus deservice et élévation deprivilèges). Ces six catégories représentent des types courants de menaces auxquelles sont confrontés les systèmes informatiques, à l'instar des risques prévus par la norme ISO 14971 pour les appareils médicaux. Développée par des chercheurs en sécurité de Microsoft en 1999, STRIDE est peut-être la technique de modélisation structurée des menaces la plus utilisée.
Lorsqu'elle applique STRIDE, l'équipe chargée de la modélisation doit tenir compte de la présence potentielle de chacun des six types de menaces au sein de l'appareil. Cette approche peut se faire de différentes manières, par exemple par élément, par flux de données, par interaction, par flux de travail/cas d'utilisation ou par franchissement de la limite de confiance. Pour l'itération initiale de modélisation des menaces pour le dispositif fictif, nous utiliserons l'approche STRIDE par franchissement de frontière. Cette méthode nous permet de nous concentrer sur les surfaces d'attaque vulnérables tout en mettant temporairement de côté les complexités internes au sein d'une frontière de confiance.
Le tableau ci-dessous énumère plusieurs menaces identifiées pour les flux de données traversant les limites de confiance dans le dispositif fictif, comme indiqué dans le DFD ci-dessus, après la première série de brainstorming lors d'une session de modélisation des menaces. Le premier tableau répertorie les menaces pour chaque flux de données franchissant une frontière selon les catégories STRIDE. Le tableau suivant fournit des descriptions pour chaque menace.
Il est important de noter que la description de chaque menace peut sembler générique et manquer de détails techniques. C'est souvent le cas pour les modèles de menaces après une première série de modélisations ou aux premiers stades du processus de R&D, lorsque les informations sur la conception sont limitées. Cela indique qu'une analyse plus approfondie est nécessaire pour étayer ces modèles de menace avec les vulnérabilités identifiées, le cas échéant. Dans le cas d'un dispositif déjà conçu, les éléments pertinents du DFD doivent être développés pour une analyse plus approfondie. Pour un dispositif encore en phase de conception, la modélisation des menaces doit être itérée pour intégrer les nouveaux détails de conception au fur et à mesure qu'ils sont disponibles, et les informations dérivées sur les menaces doivent être réintégrées dans le processus de conception afin de traiter ou de prévenir les vulnérabilités.
Le processus continu de modélisation des menaces et les prochaines étapes
La modélisation des menaces est un processus itératif qui doit se poursuivre tout au long du cycle de vie d'un appareil. Chaque itération intègre des informations supplémentaires, telles que de nouveaux détails de conception, des modifications de conception et des vulnérabilités récemment découvertes à partir de diverses sources telles que les tests de pénétration, la surveillance post-commercialisation, les référentiels publics de menaces et les bases de données de vulnérabilités. En outre, les modèles de menace peuvent être améliorés par l'utilisation de méthodes de modélisation supplémentaires qui offrent différentes perspectives d'une menace donnée.
Par exemple, les arbres d'attaque peuvent être utilisés pour compléter STRIDE en explorant plusieurs vecteurs d'attaque, en évaluant l'exploitabilité des vulnérabilités et en analysant les composants ou les flux de travail à haut risque. De même, le Cyber Kill Chain est souvent utilisé en complément de STRIDE pour comprendre le cycle de vie complet des attaques potentielles, en particulier pour les menaces persistantes avancées ciblant les appareils, et pour analyser les menaces provenant d'acteurs sophistiqués susceptibles d'utiliser des attaques en plusieurs étapes.
La modélisation des menaces ne s'arrête pas à l'identification des menaces et des vulnérabilités associées. Dans le prochain épisode de cette série sur la cybersécurité, nous nous pencherons sur les prochaines étapes cruciales du processus de modélisation des menaces : l'évaluation et la hiérarchisation des menaces et des vulnérabilités identifiées et l'intégration des informations sur les menaces dans le système de gestion des risques d'un dispositif. Restez à l'écoute pour la suite de notre mini-introduction dans le monde de la cybersécurité des dispositifs médicaux.
Pour plus d'informations sur les méthodologies de modélisation des menaces et leur application au développement des dispositifs médicaux, le Playbook for Threat Modeling Medical Devices rédigé par l'organisation MITRE, avec le soutien de la FDA américaine, constitue une bonne ressource.
Comment Qserve peut-elle vous aider ?
Qserve dispose d'une équipe internationale d'experts dans divers domaines techniques de l'industrie des dispositifs médicaux, y compris une équipe dédiée d'experts SaMD ayant une grande expérience de l'AR/AQ au niveau mondial, qui peut vous fournir une assistance pratique en matière de cybersécurité, d'intelligence artificielle et de conception de logiciels. Contactez-nous dès aujourd'hui pour découvrir comment nous pouvons aider votre organisation à accélérer le développement de produits, à rationaliser les soumissions réglementaires et à garantir la conformité avec les exigences de cybersécurité en constante évolution.