Cybersécurité des dispositifs médicaux 2025 : sécuriser l’imagerie, IA/ML et conformité RED

L’évolution rapide des dispositifs médicaux connectés (imagerie, modules sans fil, IA embarquée) crée une convergence entre technologie avancée et risques cyber. Des travaux récents montrent que l’IA/ML dans les dispositifs accroît la complexité de la défense ; un adversaire peut manipuler les modèles ou tromper leur environnement. En parallèle, les obligations de la Directive RED en Europe (depuis le 1ᵉʳ août 2025) introduisent un prisme réglementaire nouveau pour les modules radio intégrés. Cet article explore les menaces actives, les obligations 2025, quelques exemples concrets et propose une feuille de route technique et organisationnelle.

Panorama des menaces et cas concrets

Tendances sectorielles et incidents signalés

Le secteur de la santé atteint un point de basculement en matière de cybersécurité. Les dispositifs médicaux deviennent un enjeu stratégique : 78 % des entreprises exigent des nomenclatures logicielles (SBOM : Software Bill of Materials) pour gérer les vulnérabilités, 60 % privilégient des protections intégrées, et 36 % recherchent des protections d’exécution avancées. La cybersécurité s’impose désormais comme un critère d’accès au marché et de confiance clinique.

Parallèlement, la hausse des incidents liés aux ransomware illustre la fragilité du secteur. L’attaque WannaCry a marqué un tournant en paralysant des hôpitaux et en retardant des traitements vitaux. Selon le rapport “Ransomware: A Public Health Crisis” de Health-ISAC, même de brèves interruptions de systèmes critiques imagerie, laboratoires, pharmacies, communications peuvent augmenter la mortalité des patients.

Le guide ENISA “Cyber Hygiene in the Health Sector” (septembre 2025) souligne que de nombreuses structures manquent encore d’un inventaire complet et d’une gestion cohérente des correctifs. Pour y remédier, le plan d’action 2025 de la Commission européenne pour la cybersécurité des hôpitaux prévoit la création d’un centre de soutien, d’outils d’évaluation de maturité et de formations ciblées, afin de renforcer la résilience des établissements face aux cybermenaces.

Ainsi, la cybersécurité est devenue un pilier vital de la sécurité des patients et de la continuité des soins, au cœur de la transformation du secteur de la santé.

Exemple “pompes d’infusion IoMT”

Une étude menée en 2025 par l’Université de l’Illinois (Yener, Hassan & Bashir) met en lumière les vulnérabilités critiques des pompes d’infusion connectées, éléments centraux de l’Internet of Medical Things (IoMT). L’analyse de sept études récentes révèle des failles d’authentification, de communication réseau et de contrôle d’accès, ainsi que des lacunes organisationnelles dans la maintenance et la segmentation des systèmes.

Ces faiblesses peuvent favoriser des attaques latérales au sein des réseaux hospitaliers et menacer la sécurité des soins. Les chercheurs recommandent une cybersécurité intégrée dès la conception et une surveillance continue pour renforcer la confiance et la sécurité des dispositifs médicaux connectés.

IA/ML embarquée : nouveaux défis

L’article “Systems-Theoretic and Data-Driven Security Analysis in ML-enabled Medical Devices” (Mitra et al., 2025) montre que l’intégration de l’intelligence artificielle et du machine learning (IA/ML) dans les dispositifs médicaux transforme les soins en améliorant le diagnostic et les traitements, mais introduit également des risques cybernétiques majeurs. Les modèles ML peuvent être corrompus ou manipulés (poisoning), ou des anomalies dans les données d’entrée peuvent induire des décisions dangereuses pour les patients.

La complexité des modèles, l’interconnexion étendue, l’interopérabilité avec des dispositifs tiers et la connectivité Internet augmentent la surface d’attaque et compliquent la prévention, la détection et la mitigation des menaces. Étant donné le caractère hautement critique pour la sécurité de ces dispositifs, une attaque peut provoquer des mauvais diagnostics ou traitements, mettant directement en danger la vie des patients.

L’article souligne l’importance d’intégrer la cybersécurité dès la conception (security by design) et propose des outils et méthodes pour aider les fabricants à réaliser des évaluations de risques pré-commercialisation, afin de garantir des dispositifs IA/ML sûrs pour les patients.

Obligations réglementaires et cadre 2025

Plan d’action cybersanté de l’UE 2025

En janvier 2025, la Commission européenne a lancé un plan d’action global visant à renforcer la cybersécurité des hôpitaux et des prestataires de soins de santé dans l’ensemble de l’UE. Face à la montée des cyberattaques et des rançongiciels ciblant les systèmes de santé, ce plan prévoit la mise en place d’un centre de soutien cybersanté, le déploiement d’outils d’évaluation de maturité, la création de guides harmonisés et une coordination renforcée entre États membres. L’objectif est de renforcer la résilience des établissements de santé, d’améliorer la gestion des risques cyber et de garantir la continuité et la sécurité des soins pour les patients à l’échelle européenne.

Directive RED et norme EN 18031

Depuis le 1ᵉʳ août 2025, les équipements radio doivent respecter les exigences RED en matière de cybersécurité (articles 3(3)(d),(e),(f)) si le dispositif tombe dans son périmètre.
La norme EN 18031 est citée comme harmonisée pour ces obligations, avec possibilité d’exemptions pour certains dispositifs médicaux couverts autrement. Les normes harmonisées ne sont pas encore toutes uniformément appliquées, ce qui génère des incertitudes pour les fabricants.

NIS2 et guidance technique

L’ENISA propose une guidance technique pour aider les entités soumises à la directive NIS2 à mettre en œuvre ses exigences, notamment en matière de gestion des risques, journalisation des événements (logs) et sécurité des réseaux. Cette guidance fournit des conseils pratiques, des exemples de preuves et des correspondances entre exigences et mesures de sécurité, facilitant ainsi la conformité des entreprises aux obligations européennes.

Les exigences de sécurité applicables aux systèmes critiques sont définies au niveau de l’UE par le règlement d’exécution (UE) 2024/2690 du 17 octobre 2024. En combinant ces outils, les organisations peuvent démontrer la mise en œuvre effective des mesures de cybersécurité, renforcer la protection de leurs infrastructures numériques et assurer la résilience opérationnelle des services critiques.

Recommandations techniques et feuille de route

Inventaire et visibilité

Maintenir un inventaire précis de tous les dispositifs médicaux, modules radio, interfaces logicielles et dépendances, afin de garantir une visibilité complète sur l’ensemble du parc.

Architecture réseau et segmentation

Isoler les réseaux d’imagerie et des dispositifs médicaux du réseau hospitalier principal. Mettre en place micro-segmentation, VLAN dédiés, filtrage egress et bloquer tout accès direct à Internet non nécessaire.

Communication et chiffrement

Activer le TLS et le chiffrement des flux (DICOM, images), assurer une authentification mutuelle entre composants et vérifier la conformité des modules radio selon les normes EN 18031.

Correctifs / cycle de vie logiciel / SBOM

Mettre en œuvre un processus de patching régulier, gérer les dépendances et les mises à jour de firmware. Maintenir un SBOM pour chaque dispositif. Si un patch n’est pas disponible, appliquer des stratégies de mitigation via segmentation ou surveillance renforcée.

Contrôles opérationnels et détection

Centraliser la journalisation, corréler les événements et configurer des alertes automatisées. Réaliser des tests de pénétration réguliers sur la chaîne d’imagerie et prévoir des scénarios de réponse à incident avec des exercices périodiques.

Gouvernance et rôles

Définir clairement les responsabilités (BIOM, IT, sécurité), mettre en place des politiques de contrôle d’accès avec revue périodique des comptes, et assurer une formation continue du personnel technique et clinique.

Perspectives et tendances 2025 et au-delà

Le renforcement des obligations RED et l’intégration croissante de l’IA/ML rendent la sécurisation post hoc plus risquée. Le Cyber Resilience Act pourrait bientôt s’appliquer aux dispositifs médicaux en tant que produits numériques, imposant des exigences de résilience logicielle. L’initiative européenne pour un centre cybersanté préfigure une standardisation progressive des outils, guides et processus de pilotage des hôpitaux. Parallèlement, le partage d’informations via des plateformes comme Health-ISAC ou EH-ISAC et les alertes sectorielles deviendront des leviers critiques pour renforcer la sécurité et la résilience du secteur.

Prenez une longueur d’avance : réservez dès maintenant un rendez-vous avec un expert pour discuter de votre conformité.

Soyez sûr de ne rien laisser de côté !

FAQ cybersécurité des dispositifs médicaux

Les modules radio embarqués doivent-ils respecter la RED ?

Oui. Tout équipement radio mis sur le marché après le 1ᵉʳ août 2025 doit se conformer aux exigences de la RED (articles 3(3)(d), (e), (f)), sauf exemption si le dispositif est déjà couvert par d’autres régulations.

Quels risques pour l’IA/ML intégrée aux dispositifs médicaux ?

Les modèles peuvent être exposés à la manipulation des données d’entrée (adversarial attacks), à la corruption des modèles et à un manque d’explicabilité, pouvant masquer des comportements erronés ou dangereux pour les patients.

Quelle est la portée du plan d’action 2025 pour les hôpitaux ?

Il prévoit la création d’un centre de soutien européen, la mise à disposition d’outils de maturité, de guides de bonnes pratiques, de formations ciblées, ainsi qu’une coordination renforcée entre États membres pour améliorer la résilience des établissements de santé.