Cyber-attaques contre les stimulateurs cardiaques : les dispositifs cardiaques intelligents et leurs risques

Les stimulateurs cardiaques et autres dispositifs cardiaques implantables (CIED) modernes offrent de nombreux avantages aux patients. Ils améliorent la qualité de vie, augmentent l'autonomie et peuvent même prolonger l'espérance de vie. Mais ces dispositifs intelligents s'accompagnent également de risques : le piratage des stimulateurs cardiaques. Ce qui ressemble à l'intrigue d'un roman de science-fiction est déjà une réalité potentielle. Une récente étude de l'Université de Trèves, publiée dans PLOS Digital Health, met en lumière le danger des cyber-attaques sur les implants cardiaques - et appelle à une meilleure information des patients.

Les stimulateurs cardiaques sont-ils susceptibles d'être piratés ?

La réponse courte est oui. Selon l'étude, les CIED possèdent des cyber-vulnérabilités connues et documentées depuis plus d'une décennie. Les appareils transmettent des informations sans fil et sont connectés à Internet via des interfaces. Cette connectivité crée des points d'attaque potentiels pour les pirates informatiques.
Leanne Torgersen, auteur principal de l'étude, explique : "Les implants cardiaques modernes qui transmettent des informations sans fil améliorent certes la qualité de vie et l'autonomie des patients, mais ils peuvent aussi présenter de nouvelles menaces de cyber-attaques."
Jusqu'à présent, aucun cas d'attaque réussie contre un patient n'a été rendu public. Mais selon les chercheurs, la probabilité de telles attaques est en augmentation.

Que peut-il se passer lors d'une cyber-attaque ?

Les conséquences d'un piratage informatique sur un implant cardiaque pourraient être graves. L'étude identifie deux risques principaux : D'une part, les données sensibles du patient peuvent être perdues et d'autre part, des étrangers peuvent prendre le contrôle de l'implant. Dans le pire des cas, un attaquant pourrait manipuler le fonctionnement du dispositif, avec des conséquences potentiellement mortelles. En 2016, la Food and Drug Administration (FDA) américaine avait déjà mis en garde les fabricants contre de possibles attaques par crash ou par décharge de la batterie de certains implants cardiaques.

Comment les personnes concernées peuvent-elles se protéger?

L'étude ne donne malheureusement pas de recommandations concrètes aux patients. Elle souligne toutefois l'importance de l'information sur les risques potentiels. Les personnes souffrant de maladies cardiaques doivent être conscientes que leurs appareils peuvent présenter des vulnérabilités potentielles. Il est donc conseillé de mettre régulièrement à jour les logiciels et de suivre les conseils de sécurité des fabricants.

Les personnes portant un stimulateur cardiaque sont-elles informées de ces risques ?

Les chercheurs voient là un problème majeur : jusqu'à présent, il n'existe pas de directives standardisées pour informer les personnes à risque des risques encourus. Il appartient aux médecins traitants de décider si ces thèmes doivent être abordés lors du consentement au traitement, et si oui, avec quel degré de détail. Le professeur Stefan M. Schulz de l'université de Trèves souligne qu'"il est essentiel que les patients soient informés de tous les risques possibles", ce qui favorise non seulement l'autonomie des patients, mais aussi une relation thérapeutique basée sur le partenariat.

Quelles sont les recommandations des auteurs de l'étude?

Les chercheurs préconisent avant tout plus de transparence et une information standardisée sur les cyber-risques. Concrètement, ils recommandent:

• Les risques de cybersécurité devraient faire partie de l'information du patient et de son consentement au traitement.
• L'éducation devrait être continue lorsque de nouvelles informations sur les risques deviennent disponibles.
• Les systèmes de santé doivent mieux se préparer à d'éventuelles violations de la sécurité.

Ils soulignent également que "les personnes concernées ont le droit d'être informées des risques potentiels à l'avance et non après coup. Ce n'est qu'ainsi qu'elles pourront prendre une décision vraiment éclairée pour ou contre un implant cardiaque.

Dans une étude de suivi, l'équipe de Stefan M. Schulz examine maintenant quelle est la pratique courante dans différents pays en matière d'information sur les cyber-risques liés aux implants cardiaques, et comment celle-ci est vécue par les patients concernés.