Ce que le diabète révèle sur les bénéfices et les risques de la médecine personnelle connectée à Internet

L’Internet des objets pour surveiller et gérer à distance les problèmes de santé courants n’a cessé de croître, mené par les patients diabétiques.

Environ un Américain sur 10, soit 37 millions de personnes, vit avec le diabète. Des appareils tels que les pompes à insuline, qui remontent à des décennies, et les glucomètres en continu, qui surveillent la glycémie 24h/24 et 7j/7, sont de plus en plus connectés aux smartphones via Bluetooth. La connectivité accrue présente de nombreux avantages. Les personnes atteintes de diabète de type 1 peuvent avoir un contrôle beaucoup plus strict sur leur glycémie, car elles sont en mesure d’examiner des semaines de données sur la glycémie et le dosage de l’insuline, ce qui facilite la détection des tendances et l’ajustement du dosage. Ces dernières années, les patients diabétiques sont devenus si habiles à la surveillance à distance qu’une communauté de pirates informatiques a manipulé des appareils pour mieux gérer leurs besoins médicaux, et l’industrie des appareils médicaux en a tiré des leçons.

Mais la capacité de surveiller les conditions médicales sur Internet comporte des risques, notamment un piratage infâme. Bien que les dispositifs médicaux, qui doivent être approuvés par la FDA, répondent à une norme plus élevée que les appareils de fitness, il existe toujours des risques pour la protection des données des patients et l’accès à l’appareil lui-même. La FDA a émis des avertissements périodiques sur la vulnérabilité des dispositifs médicaux tels que les pompes à insuline aux pirates, et les fabricants de produits ont émis des rappels liés aux vulnérabilités. En septembre, cela s’est produit avec la pompe à insuline MiniMed série 600 de Medtronic, dont la société et la FDA ont averti qu’il y avait un problème potentiel qui pourrait permettre un accès non autorisé, créant un risque que la pompe puisse délivrer trop ou pas assez d’insuline.

Apnée du sommeil, diabète de type 2 et soins à distance

Il n’y a pas que le diabète pour lequel le marché des dispositifs médicaux offre aux patients de nouveaux avantages grâce à la surveillance à distance. Pour l’apnée du sommeil, qui toucherait jusqu’à 30 millions d’Américains (et un milliard de personnes dans le monde), les machines C-PAP peuvent désormais stocker et envoyer des données aux prestataires de soins de santé sans avoir besoin de se rendre au bureau.

Le nombre d’appareils médicaux connectés à Internet a augmenté pendant la pandémie, car les fermetures ont créé une forte poussée pour traiter les gens à domicile. Alors que les visites de soins virtuels augmentaient, « cela a ouvert les yeux de tout le monde sur les dispositifs médicaux à domicile pour la surveillance à distance des patients », a déclaré Gregg Pessin, directeur principal de la recherche chez Gartner.

Les ventes régulières de glucomètres en continu et de pompes à insuline ont soutenu des entreprises telles que Dexcom, Insulet, Medtronic et Abbott Laboratories, et les ventes d’appareils technologiques pour le diabète devraient augmenter. Selon les Centers for Disease Control and Prevention, au-delà des 37 millions de personnes atteintes de diabète aux États-Unis, on estime que 96 millions d’adultes sont pré-diabétiques. Les fabricants de glucomètres en continu et de pompes à insuline, qui sont la norme de soins pour le diabète de type 1 depuis des années, ciblent également de plus en plus les patients atteints de diabète de type 2.

Multiples formes de risque de cybersécurité médicale

Les experts en sécurité du secteur classent les risques de cybersécurité des dispositifs médicaux en trois catégories.

Premièrement, il y a le risque pour les données des patients. De nombreux dispositifs médicaux tels que les pompes à insuline obligent les patients à créer des comptes en ligne pour télécharger des données sur un ordinateur ou un smartphone. Ces comptes peuvent contenir des informations sensibles, pas seulement des données de santé sensibles, mais aussi des détails personnels tels que des numéros de sécurité sociale.

Un autre risque concerne le dispositif médical lui-même, comme en témoignent les gros titres sur le risque que des pirates informatiques pénètrent dans un dispositif médical comme la pompe de Medtronic et modifient les paramètres de dosage, avec des effets potentiellement mortels. Un rapport d’Unit 42, une société de cybersécurité qui fait partie de Palo Alto Networks, a révélé que 75 % des pompes à perfusion comprenant des pompes à insuline présentaient des « failles de sécurité connues » qui les exposaient au risque d’être compromises par des attaquants. May Wang, responsable de la technologie de la sécurité de l’Internet des objets chez Palo Alto Networks, a déclaré que lors d’une expérience en laboratoire, des pirates informatiques avaient eu accès à des pompes à perfusion, modifiant les dosages de médicaments. « Alors maintenant, la cybersécurité n’est pas seulement une question de confidentialité, pas seulement de fuite de données. C’est plus une question de vie ou de mort », a-t-elle déclaré.

Mais Pessin de Gartner a déclaré qu’un tel risque est faible dans le monde réel. Dans les conditions contrôlées d’un laboratoire, « ce n’est qu’une question de temps avant que vous puissiez le faire », mais dans le monde réel, « ce serait beaucoup plus difficile », a-t-il déclaré.

Une porte-parole de Medtronic a déclaré que la société conçoit et fabrique des technologies médicales aussi sûres et sécurisées que possible, et que son bureau mondial de la sécurité des produits surveille en permanence les produits de sécurité tout au long de leur cycle de vie. La société surveille également le paysage de la cybersécurité pour remédier aux vulnérabilités et «prendre des mesures pour protéger les patients grâce à un processus de divulgation coordonné et à des bulletins de sécurité».

En septembre, l’avis de Medtronic aux utilisateurs leur a expliqué comment éliminer le risque d’administration involontaire d’insuline en désactivant la possibilité de doser à distance via un appareil séparé.

Le troisième risque de cybersécurité est la connexion entre le dispositif médical et le réseau, qu’il s’agisse du WiFi ou de la 5G. À mesure que les dispositifs médicaux deviennent plus connectés, ils s’accompagnent d’un risque accru de logiciels malveillants, un risque bien connu dans d’autres secteurs qui pourrait bientôt être celui des soins de santé. Wang a souligné un cas en 2014 dans lequel Target avait divulgué des informations client sensibles après avoir installé un système CVC infecté par un logiciel malveillant.

Bien qu’il n’y ait pas encore d’incident connu de ce qui se passe avec des appareils médicaux utilisés à la maison, cela pourrait être une question de temps, et les appareils plus anciens qui ne sont pas mis à jour régulièrement sont plus à risque. Dans les hôpitaux, les anciens systèmes d’exploitation ont rendu certains équipements médicaux vulnérables aux attaques. Certains systèmes d’imagerie médicale, qui peuvent avoir un cycle de vie de plus de 20 ans, fonctionnent toujours sous Windows 98 sans aucun correctif de sécurité et il y a eu des incidents où les scanners IRM ou les appareils à rayons X ont été piratés pour exécuter des opérations de crypto-minage, à l’insu de les fournisseurs de soins de santé.

Régulation des appareils

Les législateurs et les responsables de la santé ont fait pression pour plus de conseils et de réglementations concernant la sécurité des dispositifs médicaux.

En avril de l’année dernière, les sénateurs ont présenté la loi PATCH pour obliger les fabricants de dispositifs médicaux qui demandent l’approbation de la FDA à répondre à certaines exigences de cybersécurité et à maintenir les mises à jour et les correctifs de sécurité. Plus récemment, le projet de loi de crédits omnibus de 1,65 billion de dollars adopté fin 2022 comprenait de nouvelles exigences en matière de cybersécurité pour les dispositifs médicaux. Les experts ont déclaré que les dispositions de la loi n’allaient pas aussi loin que les exigences de la loi PATCH, mais qu’elles étaient toujours importantes.

Un porte-parole de la FDA a déclaré à CNBC que les nouvelles dispositions sur la cybersécurité du projet de loi omnibus représentent une avancée significative dans la surveillance par la FDA de la cybersécurité dans le cadre de la sécurité et de l’efficacité d’un dispositif médical. Parmi les dispositions, les fabricants devront mettre en place des plans et des processus pour divulguer les vulnérabilités. Les fabricants d’appareils devront également fournir des mises à jour et des correctifs de sécurité aux appareils et aux systèmes associés pour les « vulnérabilités critiques qui présentent un risque incontrôlé », en temps opportun.

Comment garder le contrôle en tant que consommateur

Alors que les médecins prescrivent de plus en plus de glucomètres et de pompes à insuline non seulement pour le diabète de type 1, mais aussi pour le diabète de type 2, beaucoup plus courant, les consommateurs qui se demandent s’ils doivent ou non utiliser un tel appareil peuvent commencer par rechercher sur le site Web du fabricant des déclarations sur la cybersécurité et Conformité HIPAA pour la protection de leurs informations de santé privées. Ils peuvent également interroger leurs médecins sur la sécurité, bien que les experts en cybersécurité disent qu’il reste du travail à faire pour améliorer l’éducation à ces risques parmi les prestataires de soins de santé.

Les consommateurs disposant d’un dispositif médical connecté à Internet doivent s’inscrire auprès du fabricant pour s’assurer qu’ils sont informés des mises à jour de sécurité. Il est également essentiel de suivre une cyber-hygiène de base à la maison, car de nombreux appareils se connectent désormais au WiFi. Assurez-vous que le réseau WiFi est protégé par un mot de passe fort et utilisez également un nom d’utilisateur et un mot de passe robustes pour le site Web de l’entreprise si vous partagez ou téléchargez des données. De plus en plus de consommateurs choisissent désormais d’utiliser un gestionnaire de mots de passe pour conserver toutes leurs informations de connexion Internet. Étant donné que les appareils peuvent interagir avec d’autres appareils via le Wi-Fi, assurez-vous que les ordinateurs portables et les téléphones domestiques sont également sécurisés.