Jean-Marc Roubaud
Question N° 20590 au Ministère de la Santé
Question soumise le 8 avril 2008
M. Jean-Marc Roubaud attire l'attention de Mme la ministre de la santé, de la jeunesse, des sports et de la vie associative sur les pacemakers et défibrillateurs cardiaques implantés, désormais équipés de technologies sans fil, qui s'avèrent vulnérables au piratage informatique avec des conséquences potentiellement fatales. Une récente étude scientifique a récemment montré que des pirates informatiques pouvaient reprogrammer à distance ces implants à l'insu du patient. Elle a aussi démontré qu'il était possible d'obtenir des informations médicales confidentielles sur les porteurs de pacemakers et de défibrillateurs. En conséquence, il lui demande de lui faire connaître quelles dispositions urgentes elle envisage de prendre afin que les fabricants de prothèses informatisées soient invulnérables sur la sécurité et la protection des informations médicales des patients.
Réponse émise le 19 août 2008
Du fait des avancées technologiques de ces dernières années, parfois accompagnées d'actes de malveillance, une équipe de chercheurs américains a mis en évidence la vulnérabilité de certaines catégories de dispositifs médicaux implantables actifs (DMIA) tels que des stimulateurs ou des défibrillateurs cardiaques implantables, en ce qui concerne la confidentialité et l'intégrité des données enregistrées. En effet, selon les conclusions de cette étude, le niveau de protection des données et de leur transfert serait insuffisant. Ces travaux, présentés lors du symposium sur la sécurité et la confidentialité de l'Institut des ingénieurs en électricité et électronique (IEEE), le 19 mai 2008 à Oakland (Californie), ont comme principal intérêt d'alerter sur les dangers potentiels liés au développement de produits de haute technologie intégrant notamment la communication sans fil. Cette étude relate des expériences qui montrent la possibilité d'intercepter et de corrompre les données échangées par ces défibrillateurs et leurs unités externes de programmation. Il est à noter que ces expériences n'ont pas été réalisées sur des dispositifs implantés dans le corps humain, mais en laboratoire. Aussi, les conditions nécessaires à la réalisation de ces tests (proximité immédiate avec le patient, matériels de capture et de traitement des signaux nécessaires, compétence en informatique et en électronique) rendent improbables leurs réalisations dans les conditions réelles d'un dispositif médical implanté chez un patient. Les DMIA sont régis par les dispositions de la directive européenne 90/385/CEE du 20 juin 1990 qui prévoient notamment que ces dispositifs respectent les exigences essentielles de santé et de sécurité qui leur sont applicables compte tenu de leur utilisation. Les défibrillateurs cardiaques implantables et les stimulateurs sont des dispositifs particulièrement sophistiqués. Ils revêtent le marquage CE attestant de la conformité à cette directive. Dans ce contexte, et en fonction de la probabilité d'occurrence d'un tel événement, le fabricant doit notamment estimer, dans sa démarche d'analyse de risque, le besoin de protection de toute corruption de données. Dans le cas d'espèce, ce type d'événements serait lié à une volonté manifeste de nuire ; or, si le fabricant se doit de prendre en compte tout risque potentiel dans les conditions d'utilisation prévues, il ne peut néanmoins lui être demandé de concevoir le dispositif en anticipant toute action possible de malveillance délibérée. Par ailleurs, il importe de souligner l'absence de signalement de tels incidents pour les dispositifs médicaux utilisant des fonctions de télémétrie sur un recul de plusieurs années et concernant plusieurs millions d'utilisations. Ces éléments permettent donc de ramener le risque que constitue cette menace à un niveau particulièrement faible. Toutefois, l'étude récente rappelle l'impérieuse nécessité de la prise en compte de la sécurisation des réseaux destinés à l'échange de données liées au patient, devant le développement important de ces systèmes d'information, en particulier dans le cadre de la télémédecine.
Aucun commentaire n'a encore été formulé sur cette question.