Mise à jour - Vulnérabilités de cybersécurité associées à certains dispositifs médicaux dotés de puces Bluetooth Low Energy English

Résumé

Produit : Certains dispositifs médicaux dotés de puces Bluetooth Low Energy
Problème : Vulnérabilités de cybersécurité
Ce qu'il faut faire : Vérifiez que votre dispositif fonctionne comme il le doit. Si vous croyez que ce n'est pas le cas, communiquez avec un professionnel de la santé.

OTTAWA, le 11 mars 2020 /CNW/ - Santé Canada informe les Canadiens, les professionnels de la santé et les fabricants de vulnérabilités de cybersécurité appelées « SweynTooth ». Les dispositifs qui utilisent des protocoles Bluetooth Low Energy pourraient être touchés. Compte tenu de ces vulnérabilités, certains dispositifs médicaux dotés de puces Bluetooth Low Energy sont susceptibles de faire l'objet de cyberattaques. Les dispositifs médicaux touchés comprennent des stimulateurs cardiaques, des glucomètres, des systèmes d'échographie et des pompes à insuline.

Santé Canada n'a connaissance d'aucun signalement de conséquences néfastes pour les patients associées à ces vulnérabilités ni au Canada ni ailleurs. Le Ministère juge que le risque de cyberattaque est faible. Les utilisateurs ne sont exposés à un risque seulement lorsqu'une personne non autorisée cherche expressément à exploiter ces vulnérabilités.

Les vulnérabilités SweynTooth pourraient permettre à un utilisateur non autorisé :

• de provoquer une panne du dispositif : le dispositif peut cesser de communiquer ou de fonctionner;
• de bloquer le dispositif : le dispositif peut geler et cesser de fonctionner correctement;
• de contourner les mesures de sécurité : un utilisateur non autorisé pourrait essayer d'accéder aux fonctionnalités du dispositif qui sont habituellement réservées à un utilisateur autorisé.

Santé Canada sait que de nombreux fabricants de puces Bluetooth Low Energy sont touchés par ces vulnérabilités en matière de cybersécurité, notamment les suivants :

• Texas Instruments
• NXP
• Cypress
• Dialog Semiconductors
• Microchip
• STMicroelectronics
• Telink Semiconductor

Santé Canada est en train de travailler avec les fabricants pour déterminer quels dispositifs médicaux sont touchés au Canada, pour évaluer les risques et pour veiller à ce que les mesures requises soient prises. Le Ministère tiendra les Canadiens au courant si de nouveaux renseignements importants sont révélés.

Information pour les patients, les parents et les aidants

• Si vous avez ce type de dispositif et qu'il fonctionne mal, communiquez avec votre professionnel de la santé ou le fabricant de votre dispositif afin de vous aider à déterminer si votre dispositif est touché et si vous devez prendre des mesures.
• Suivez les directives du fabricant de votre dispositif pour gérer le problème, y compris de procéder à l'installation de correctifs logiciels, à mesure qu'elles sont communiquées.
• Signalez à Santé Canada tout problème ou tout effet indésirable concernant votre dispositif, y compris ceux qui concernent la cybersécurité.

Information pour les professionnels de la santé

• Travaillez avec les fabricants de dispositifs pour déterminer quels dispositifs médicaux pourraient être à risque.
• Conseillez les patients qui utilisent des dispositifs touchés quant aux mesures qu'ils peuvent prendre pour atténuer les risques associés à cette vulnérabilité.
• Rappelez aux patients qui utilisent des dispositifs médicaux pouvant être touchés de demander immédiatement des soins médicaux s'ils croient que leur dispositif médical ne fonctionne soudainement plus comme d'habitude.

Information pour les fabricants et les importateurs

• Déterminez si l'un ou plus d'un de vos dispositifs médicaux est ou sont touchés. Le cas échéant, signalez les dispositifs médicaux touchés par cette vulnérabilité de la cybersécurité à Santé Canada en écrivant à [email protected].
• Faites une évaluation des risques, puis cernez et mettez en œuvre toute mesure d'atténuation des risques requise.
• Évaluez s'il convient de rappeler votre dispositif médical ou vos dispositifs médicaux. Si un rappel s'impose, avisez Santé Canada en écrivant à [email protected] avant d'entamer le rappel.
• Informez les consommateurs et les patients des mesures d'atténuation des risques pouvant être mises en œuvre avant la diffusion d'un correctif logiciel (p. ex. désactiver la puce Bluetooth Low Energy des dispositifs pour lesquels elle n'est pas essentielle). Si un correctif logiciel est nécessaire, consultez la Directive sur l'interprétation d'une modification importante d'un instrument médical de Santé Canada.
• Signalez à Santé Canada tout incident concernant un dispositif médical dont vous avez connaissance en téléphonant sans frais au 1-800-267-9675 ou en faisant une déclaration en ligne.
• Santé Canada a récemment publié une Ligne directrice sur les exigences relatives à la cybersécurité des instruments médicaux avant leur mise en marché pour contribuer à protéger la sécurité des patients. Cette nouvelle ligne directrice décrit quand et comment mettre en œuvre des stratégies pour réduire les possibles risques des dispositifs médicaux qui contiennent des logiciels et des technologies permettant la communication avec des réseaux externes.

Liens connexes

• U.S. Food and Drug Administration Safety Communication (en anglais seulement)
• ICS-ALERT-20-063-01 SweynTooth Vulnerabilities (en anglais seulement)

Also available in English

SOURCE Santé Canada

Renseignements aux médias : Santé Canada, 613-957-2983, [email protected]; Renseignements au public, 613-957-2991, 1-866-225-0709