Les préoccupations de cybersécurité semblent nous accoster dans une boucle sans fin ces jours-ci. Parmi un déluge de signalements de violations de données, d'accords de confidentialité violés et de cyberattaques dans les secteurs privé et public, il peut être difficile de déterminer ce qui est vraiment sûr.
Et après quelques années de piratage de la pompe à insuline, nous ne pouvons nous empêcher de nous demander: où en sommes-nous en ce qui concerne la sécurité de nos dispositifs de lutte contre le diabète (et les informations qu'ils contiennent) en 2019?
Le problème, c’est qu’il est parfois réel et parfois perçu. Faire face aux risques réels conduit à la sécurité. Tandis que l'obsession du risque perçu mène à la peur. Alors qu'est-ce qui est réel ici? Et que fait-on exactement pour résoudre les problèmes de cybersécurité liés aux technologies du diabète?
Progrès sur les normes de cybersécurité médicale
En octobre 2018, la Food and Drug Administration (FDA) des États-Unis a publié des directives de précommercialisation pour tous les dispositifs médicaux contenant des cyberrisques. Plus tard à l'automne, Santé Canada a également publié un document d'orientation contenant des recommandations de cybersécurité à utiliser par les entreprises de technologie médicale au cours de leurs étapes de développement et de test. L'idée est bien sûr qu'en suivant les directives, les fournisseurs mettront sur le marché des appareils qui sont déjà sécurisés, plutôt que de voir des appareils dont les vulnérabilités sont découvertes après la mise sur le marché grâce à l'utilisation par les patients.
Selon un communiqué de presse de Santé Canada, parmi les recommandations de cybersécurité des appareils médicaux dans leur ébauche de lignes directrices, on trouve: 1) l'intégration de mesures de cybersécurité dans les processus de gestion des risques pour tous les appareils dotés d'un composant logiciel, 2) l'établissement de cadres pour la gestion des risques de cybersécurité au niveau de l'entreprise, et 3) vérification et validation de tous les processus de contrôle des risques de cybersécurité. Ils recommandent spécifiquement des mesures telles que la mise en œuvre de la norme de cybersécurité UL 2900 pour atténuer les risques et les vulnérabilités.
Ken Pilgrim, consultant principal en affaires réglementaires et assurance qualité chez Emergo Group à Vancouver, a déclaré que les nouvelles directives devraient s'avérer utiles pour les fabricants de dispositifs médicaux non seulement au Canada, mais également dans d'autres juridictions développant des exigences de cybersécurité similaires.
Pendant ce temps, des mesures visant spécifiquement la cybersécurité des dispositifs anti-diabète sont en cours aux États-Unis.
Fin octobre, la Diabetes Technology Society (DTS) a annoncé que l'OmniPod DASH était devenu la première pompe à insuline approuvée par la FDA à recevoir la certification selon la norme et le programme d'assurance de cybersécurité «Standard for Wireless Diabetes Device Security» de DTS, connu sous le nom de DTSec.
DTS a été fondée en 2001 par le Dr David Klonoff dans le but de promouvoir l'utilisation et le développement de la technologie du diabète. DTSec est essentiellement la première norme de sécurité organisée pour la technologie du diabète. Considérez-le comme une sorte de sceau de sécurité, similaire à la façon dont nous voyons une adresse Web https. La norme a été établie en 2016 après des recherches et des contributions des universités, de l'industrie, du gouvernement et des centres cliniques. Comme la plupart des normes, il s’agit d’une directive volontaire que les fabricants devraient envisager d’adopter et de suivre.
Depuis lors, l'organisation a continué à promouvoir la recherche sur la cybersécurité et l'évaluation des risques, en organisant des conférences et en développant des protections plus approfondies.
En juin dernier, quelques mois avant l'annonce concernant OmniPod suite à DTSec, le groupe a publié de nouvelles directives de sécurité appelées DTMoSt, abréviation de «Utilisation d'appareils mobiles dans les contextes de contrôle du diabète».
Selon Klonoff, directeur médical de l'Institut de recherche sur le diabète du Mills-Peninsula Medical Center, San Mateo, Californie, les directives DTMoSt s'appuient sur DTSec en devenant la première norme avec à la fois des exigences de performance et des exigences d'assurance pour les fabricants de dispositifs médicaux connectés contrôlés par un plate-forme mobile.
DTMoSt identifie les menaces, telles que les attaques malveillantes à distance et basées sur les applications et la «privation de ressources», pour le fonctionnement en toute sécurité des solutions compatibles avec les appareils mobiles et offre des conseils aux développeurs, aux régulateurs et aux autres parties prenantes pour les aider à gérer ces risques.
Les mesures de sécurité ne devraient pas entraver l'utilisation
Aujourd'hui, un glucomètre, un CGM et une application pour smartphone pour le diabète peuvent tous être connectés à Internet et donc exposés à un certain niveau de risque.
Pourtant, malgré les discussions continues sur les dangers de l'Internet des objets, les experts avertissent que le risque réel pour le public est assez faible. En matière de sécurité, les mauvaises personnes ne sont tout simplement pas intéressées par les données de glycémie de quelqu'un (par rapport au mot de passe de leur compte bancaire).
Cela étant dit, des investissements dans la cybersécurité sont nécessaires en tant que mesures préventives contre les menaces et garantissant la sécurité de base des utilisateurs et des clients.
Mais l'inconvénient est que la mise en œuvre de mesures de cybersécurité peut parfois signifier rendre un système très difficile, voire impossible, à utiliser pour le partage de données de la manière prévue. L'astuce dans l'équation ne limite pas la capacité de fonctionnement et d'accès des personnes visées.
Et qu'en est-il de la confidentialité? Encore et encore, nous voyons que si les gens disent qu'ils accordent la priorité à la vie privée, ils semblent agir de manière contradictoire, en consentant, en faisant défiler, en paraphant, en signant et en donnant accès à des informations et des données avec très peu de réelle réflexion ou de préoccupation. La vérité est que nous, les consommateurs, ne lisons généralement pas les politiques de confidentialité très attentivement, voire pas du tout. Nous venons d'appuyer sur le bouton «suivant».
Compenser la peur et l'appréhension
De nombreux acteurs du secteur mettent en garde contre le côté négatif de la cybersécurité: une focalisation sur la peur qui frôle l'obsession, bloque la recherche et pourrait finalement coûter des vies. Ce sont des gens qui reconnaissent que le cyber-monde et nos dispositifs anti-diabète sont exposés à des risques, mais estiment qu'une réaction excessive est potentiellement plus dangereuse.
«Toute la question de la« cybersécurité dans les appareils »retient beaucoup plus l’attention qu’elle ne le mérite», déclare Adam Brown, rédacteur en chef de diatribe et auteur de Bright Spots & Landmines: Le guide du diabète que j'aurais aimé que quelqu'un me donne. «Nous avons besoin que les entreprises évoluent plus vite qu'elles ne le sont, et la cybersécurité peut susciter des craintes inutiles. Pendant ce temps, les gens sont là-bas, sans données, sans connectivité, sans automatisation et sans support. »
Howard Look, PDG de Tidepool, D-Dad, et une force clé derrière le mouvement #WeAreNotWaiting, voit les deux côtés du problème, mais est d'accord avec Brown et d'autres experts de l'industrie qui craignent de vérifier le taux d'avancement médical.
«Il est certain que les fabricants d'appareils (y compris les fabricants de logiciels en tant que fabricants d'appareils médicaux, comme Tidepool) doivent prendre la cybersécurité très, très au sérieux», déclare Look. «Nous ne voulons certainement pas créer une situation où il existe un risque d'attaque de masse contre des appareils ou des applications qui pourraient nuire aux gens. Mais les images de «hackers en sweat à capuche» avec un crâne et des os croisés sur les écrans d’ordinateur ne font qu’effrayer les gens qui ne comprennent pas vraiment ce qui est en jeu. Cela fait ralentir les fabricants d'appareils, car ils ont peur. Cela ne les aide pas à comprendre la bonne chose à faire. » Look faisait référence à des diapositives Powerpoint présentées dans des conférences médicales sur le diabète avec des images étranges prétendant des cyber-dangers.
Les systèmes en boucle fermée OpenAPS et Loop do-it-yourself qui sont devenus populaires sont techniquement basés sur une «vulnérabilité» dans les anciennes pompes Medtronic qui permet le contrôle à distance sans fil de ces pompes. Pour pirater les pompes, vous devez connaître le numéro de série et vous devez être à proximité de la pompe pendant 20 secondes. «Il existe des moyens bien plus simples de tuer quelqu'un si c'est ce que vous voulez faire», déclare Look.
Beaucoup affirment que cette proposition de «vulnérabilité» en matière de sécurité, aussi effrayante qu’elle puisse être en théorie, est un énorme avantage car elle a permis à des milliers de personnes d’exécuter OpenAPS et Loop, sauvant des vies et améliorant la qualité de vie et la santé publique de ceux qui utilisent leur.
Une approche mesurée des risques
Des organisations telles que DTS font un travail important. La sécurité des appareils est importante. Et les présentations de recherche et de conférences sur le sujet sont des constantes de l'industrie - la technologie du diabète et la cybersécurité seront au centre de plusieurs éléments de la 12e Conférence internationale sur les technologies avancées et les traitements du diabète (ATTD 2019) qui se tiendra plus tard ce mois-ci à Berlin. Mais ces vérités continuent d'exister parallèlement à la réalité selon laquelle les gens ont besoin de meilleurs outils moins chers, et nous en avons besoin rapidement.
«La marque de fabrique de bons appareils est l'amélioration continue et non la perfection», déclare Brown. «Cela nécessite une connectivité, une interopérabilité et une mise à jour logicielle à distance.»
Bien que les appareils soient exposés à des risques, les experts semblent convenir qu'ils sont généralement assez sûrs et sécurisés. À l'avenir tout au long de 2019 et au-delà, le consensus semble être que, s'il est important de garder un œil sur le cyber-risque, ce risque est souvent surestimé et ne fait rien contre les risques pour la santé de ne pas disposer d'outils avancés pour le diabète.