Vulnérabilités de cybersécurité associées à certains dispositifs médicaux dotés de puces Bluetooth Low Energy

Date de début :
11 mars 2020
Type de communication :
Mise à jour
Sous-catégorie :
Instruments médicaux
Source :
Santé Canada
Problème :
Renseignements importants en matière d'innocuité
Public :
Professionnels de la santé
Numéro d’identification :
RA-72555

Dernière mise à jour:

Résumé

  • Produit: Certains dispositifs médicaux dotés de puces Bluetooth Low Energy
  • Problème: Vulnérabilités de cybersécurité
  • Ce qu’il faut faire: Vérifiez que votre dispositif fonctionne comme il le doit. Si vous croyez que ce n’est pas le cas, communiquez avec un professionnel de la santé.

OTTAWA – Santé Canada informe les Canadiens, les professionnels de la santé et les fabricants de vulnérabilités de cybersécurité appelées « SweynTooth ». Les dispositifs qui utilisent des protocoles Bluetooth Low Energy pourraient être touchés. Compte tenu de ces vulnérabilités, certains dispositifs médicaux dotés de puces Bluetooth Low Energy sont susceptibles de faire l’objet de cyberattaques. Les dispositifs médicaux touchés comprennent des stimulateurs cardiaques, des glucomètres, des systèmes d’échographie et des pompes à insuline.

Santé Canada n’a connaissance d’aucun signalement de conséquences néfastes pour les patients associées à ces vulnérabilités ni au Canada ni ailleurs. Le Ministère juge que le risque de cyberattaque est faible. Les utilisateurs ne sont exposés à un risque seulement lorsqu’une personne non autorisée cherche expressément à exploiter ces vulnérabilités.

Les vulnérabilités SweynTooth pourraient permettre à un utilisateur non autorisé :

  • de provoquer une panne du dispositif : le dispositif peut cesser de communiquer ou de fonctionner;
  • de bloquer le dispositif : le dispositif peut geler et cesser de fonctionner correctement;
  • de contourner les mesures de sécurité : un utilisateur non autorisé pourrait essayer d’accéder aux fonctionnalités du dispositif qui sont habituellement réservées à un utilisateur autorisé.

Santé Canada sait que de nombreux fabricants de puces Bluetooth Low Energy sont touchés par ces vulnérabilités en matière de cybersécurité, notamment les suivants :

  • Texas Instruments
  • NXP
  • Cypress
  • Dialog Semiconductors
  • Microchip
  • STMicroelectronics
  • Telink Semiconductor

Santé Canada est en train de travailler avec les fabricants pour déterminer quels dispositifs médicaux sont touchés au Canada, pour évaluer les risques et pour veiller à ce que les mesures requises soient prises. Le Ministère tiendra les Canadiens au courant si de nouveaux renseignements importants sont révélés.

Information pour les patients, les parents et les aidants

  • Si vous avez ce type de dispositif et qu’il fonctionne mal, communiquez avec votre professionnel de la santé ou le fabricant de votre dispositif afin de vous aider à déterminer si votre dispositif est touché et si vous devez prendre des mesures.
  • Suivez les directives du fabricant de votre dispositif pour gérer le problème, y compris de procéder à l’installation de correctifs logiciels, à mesure qu’elles sont communiquées.
  • Signalez à Santé Canada tout problème ou tout effet indésirable concernant votre dispositif, y compris ceux qui concernent la cybersécurité.

Information pour les professionnels de la santé

  • Travaillez avec les fabricants de dispositifs pour déterminer quels dispositifs médicaux pourraient être à risque.
  • Conseillez les patients qui utilisent des dispositifs touchés quant aux mesures qu’ils peuvent prendre pour atténuer les risques associés à cette vulnérabilité.
  • Rappelez aux patients qui utilisent des dispositifs médicaux pouvant être touchés de demander immédiatement des soins médicaux s’ils croient que leur dispositif médical ne fonctionne soudainement plus comme d’habitude.

Information pour les fabricants et les importateurs

  • Déterminez si l’un ou plus d’un de vos dispositifs médicaux est ou sont touchés. Le cas échéant, signalez les dispositifs médicaux touchés par cette vulnérabilité de la cybersécurité à Santé Canada en écrivant à hc.meddevices-instrumentsmed.sc@canada.ca
  • Faites une évaluation des risques, puis cernez et mettez en œuvre toute mesure d’atténuation des risques requise.
  • Évaluez s’il convient de rappeler votre dispositif médical ou vos dispositifs médicaux. Si un rappel s’impose, avisez Santé Canada en écrivant à hc.meddev-matmed.sc@canada.ca avant d’entamer le rappel.
  • Informez les consommateurs et les patients des mesures d’atténuation des risques pouvant être mises en œuvre avant la diffusion d’un correctif logiciel (p. ex. désactiver la puce Bluetooth Low Energy des dispositifs pour lesquels elle n’est pas essentielle). Si un correctif logiciel est nécessaire, consultez la Directive sur l’interprétation d’une modification importante d’un instrument médical de Santé Canada.
  • Signalez à Santé Canada tout incident concernant un dispositif médical dont vous avez connaissance en téléphonant sans frais au 1-800-267-9675 ou en faisant une déclaration en ligne.
  • Santé Canada a récemment publié une Ligne directrice sur les exigences relatives à la cybersécurité des instruments médicaux avant leur mise en marché pour contribuer à protéger la sécurité des patients. Cette nouvelle ligne directrice décrit quand et comment mettre en œuvre des stratégies pour réduire les possibles risques des dispositifs médicaux qui contiennent des logiciels et des technologies permettant la communication avec des réseaux externes.

Problème

Renseignements importants en matière d'innocuité

Personnes touchées

Grand public, Professionnels de la santé

Renseignements aux médias

  • Santé Canada
  • 613-957-2983
  • hc.media.sc@canada.ca

Renseignements au public

  • 613-957-2991
  • 1-866 225-0709

Information supplémentaire