À une époque où les hôpitaux sont confrontés à des attaques de ransomware paralysantes et où des dispositifs médicaux qui maintiennent des patients en vie sont la proie des cybercriminels, de nombreux fabricants de DM se retrouvent sur un champ de bataille numérique. Avec la croissance continue des menaces de cybersécurité, la surveillance réglementaire liée à la cybersécurité des dispositifs médicaux s'est rapidement intensifiée partout dans le monde. La cybersécurité est devenue un sujet brûlant dans notre secteur, amenant une multitude de nouvelles terminologies intégrées au quotidien des chefs de produit, des ingénieurs de développement et des spécialistes de la réglementation et de la qualité. Ces termes paraissent souvent « étrangers » ou mystérieux aux jeunes professionnels en cybersécurité, et la manière dont ils s’intègrent au développement de dispositifs médicaux tels qu’établis par exemple dans l'ISO 14971 n’est pas toujours limpide. Un de ces termes est la modélisation des menaces. Qu'est-ce qu'une menace à la cybersécurité ? Pourquoi devoir la modéliser ? Qu'est-ce qu’exactement le STRIDE et comment l'utiliser ?
Dans ce blog, nous allons étudier la modélisation des menaces dans le but d’apporter plus de clarté et des recommandations pratiques sur ce concept clé de la cybersécurité des dispositifs médicaux.
Comprendre les menaces de cybersécurité des dispositifs médicaux et leurs relations avec les vulnérabilités
Une menace à la cybersécurité est définie comme le potentiel d'une violation de la sécurité, découlant de circonstances, de capacités, d'actions ou d'événements qui pourraient porter atteinte à la sécurité et causer des dommages à la confidentialité, à l'intégrité et à la disponibilité des actifs informationnels (CEI 81001-5-1). En termes plus simples, c'est ce qui pourrait mal tourner avec les informations. Une violation de la sécurité ne se produit que lorsque des vulnérabilités sont présentes et exploitées par un acteur malveillant. Les vulnérabilités sont des faiblesses ou des failles dans un système, une application, un réseau ou un appareil qui peuvent être exploitées pour compromettre la confidentialité, l'intégrité et la disponibilité du système. Ces vulnérabilités peuvent exister dans le code logiciel, les configurations, les protocoles ou même les processus humains et peuvent être introduites par inadvertance ou intentionnellement.
L'importance de la modélisation des menaces dans la cybersécurité des dispositifs médicaux
Qu'est-ce que la modélisation des menaces et pourquoi devons-nous modéliser les menaces ? Qu'est-ce qu'on y gagne ? La modélisation des menaces est une approche qui permet d'analyser les menaces auxquelles un dispositif est confronté de manière structurée afin d'identifier, d'énumérer et de hiérarchiser les vulnérabilités (ou bogues) possibles associées à chaque menace. En d’autres termes, une fois que nous comprenons ce qui pourrait mal tourner (les menaces), nous modélisons les menaces, en fonction de la conception d'un dispositif, pour voir comment ces menaces peuvent se manifester dans un appareil et son système informatique connecté. Prenons l'exemple d'un appareil qui utilise Bluetooth pour transférer des données de santé sans fil. Une menace prévisible dans ce contexte est la divulgation d'informations sur la santé. En modélisant cette menace, nous identifions que la transmission de données Bluetooth non chiffrées est une vulnérabilité qu'un attaquant pourrait exploiter pour mettre à exécution cette menace. Par conséquent, nous ajoutons une exigence de conception pour le cryptage des données Bluetooth afin d'atténuer cette vulnérabilité et, par conséquent, la menace. Cet exemple simplifié illustre que la modélisation des menaces consiste à comprendre le modus operandi des menaces dans la conception d'un dispositif, dans le but d'identifier et de traiter les vulnérabilités pour assurer sa sécurité et sa sûreté.
Jeter les bases pour commencer : description des fonctions du dispositif
En toute logique, la question suivante est de savoir comment modéliser les menaces ? Avant toute chose, avant d’entamer la modélisation, il est essentiel de bien comprendre le fonctionnement du dispositif. Sans cette compréhension, il est difficile d'identifier et de modéliser de manière exhaustive les menaces, en tenant compte de ses surfaces d’attaque (points de vulnérabilité), des flux de données et des composants critiques. La représentation doit être dans un format facile à utiliser car la modélisation des menaces est un travail de groupe qui nécessite une équipe interfonctionnelle.
Une description textuelle très détaillée mais longue de la conception de l'appareil n'est peut-être pas le choix le plus productif pour une session de modélisation des menaces.Une méthode couramment utilisée pour la représentation des dispositifs dans la modélisation des menaces est le diagramme de flux de données (DFD). Cette méthode fournit à l'équipe de modélisation des menaces un moyen efficace de visualiser le dispositif. La version 3 de DFD utilise cinq symboles simples pour permettre à un utilisateur de décrire les composants internes et externes impliqués dans le fonctionnement d'un dispositif, comment ils interagissent (c'est-à-dire comment les données circulent entre elles) et leurs limites de confiance qui sont des lignes imaginaires qui séparent les composants en fonction du niveau de confiance qui leur est accordé.
La figure ci-dessous illustre le DFD d'un dispositif fictif : un capteur qui mesure un paramètre physiologique du patient et le transmet ensuite à une application sur son téléphone. L'application pour téléphone mobile télécharge les données de mesure du patient sur un système de stockage Cloud, où le patient et son prestataire de soins de santé peuvent accéder via une interface Web.
Le DFD ci-dessus n'est pas exhaustif, car il ne comprend pas tous les flux de données et interactions possibles, et les composants du système sont décrits à un niveau élevé et non en détail. Cependant, cela est suffisant pour le démarrage de l’exercice de modélisation des menaces. Comme souvent dans le développement des dispositifs médicaux, la modélisation des menaces est un processus itératif. Au fur et à mesure de l'identification des menaces, des composants, l’équipe intègre des flux et des détails supplémentaires dans le diagramme.
Lancement de la modélisation des menaces avec STRIDE
Grâce au diagramme de système fonctionnel, nous pouvons commencer
la modélisation des menaces. C'est ici que le concept STRIDE entre en jeu. STRIDE est l'abréviation de Spoofing (usurpation d’identité), Tampering (falsification), Repiation (repudiation), Information disclosure (divulgation d’information), Denial of service (déni de service), and Elevation of privilege (élévation de privilège). Ces six catégories représentent les types courants de menaces auxquelles les systèmes informatiques sont confrontés, similaires aux dangers décrits dans l'ISO 14971 pour les dispositifs médicaux. Développée par des chercheurs en sécurité de Microsoft en 1999, STRIDE est sans doute la technique de modélisation structurée des menaces la plus utilisée.
Lors de l'application de STRIDE, l'équipe doit prendre en compte la présence potentielle de chacun des six types de menaces dans le dispositif. Cela peut être abordé de différentes manières : par élément, par flux de données, par interaction, par flux de travail/cas d'utilisation ou par dépassement des limites de confiance. Dans le cas de notre dispositif fictif, la première itération de modélisation de la menace selon STRIDE sera réalisée avec une approche par franchissement de limites. Cette méthode nous permet de nous concentrer sur les surfaces d'attaque tout en mettant temporairement de côté les complexités internes au sein d'une limite de confiance.
Le tableau ci-dessous liste plusieurs menaces identifiées pour des flux de données dépassant les limites de confiance dans notre dispositif fictif, comme le montre le DFD ci-dessus après le premier tour de brainstorming en session de modélisation des menaces. Le premier tableau indexe les menaces pour chaque flux de données franchissant les limites en fonction des catégories STRIDE. Le tableau suivant fournit des descriptions pour chaque menace.
Notez que la description de chaque menace peut sembler générique et manquer de détails techniques. C'est souvent le cas pour les modèles de menace après un premier cycle de modélisation, comme aux premières étapes du processus de R&D, quand les informations de conception sont parcellaires. Cela indique qu'une analyse plus approfondie est sans doute nécessaire pour étayer ces modèles de menaces avec des vulnérabilités identifiées, s’il y en a. Pour un dispositif déjà conçu, les éléments pertinents sur le DFD doivent être développés pour une analyse plus approfondie. Pour un dispositif toujours en phase de conception, la modélisation des menaces doit être itérée pour intégrer les nouveaux détails de conception au fur et à mesure qu'ils sont disponibles, et les informations sur les menaces dérivées doivent être réintégrées dans le processus de conception afin de traiter ou de prévenir toute vulnérabilité.
Le processus continu de modélisation des menaces et les prochaines étapes
La modélisation des menaces est un processus itératif qui doit se poursuivre tout au long du cycle de vie d'un dispositif. Chaque itération intègre des informations supplémentaires, telles que de nouveaux détails de conception, des modifications de conception et des vulnérabilités nouvellement découvertes depuis diverses sources telles que les tests d'intrusion, la surveillance post-commercialisation, les référentiels publics de menaces et les bases de données de vulnérabilités. De plus, les modèles de menace peuvent être améliorés à l'aide de méthodes de modélisation supplémentaires qui offrent différentes perspectives pour une menace donnée.
Par exemple, les arbres d'attaque peuvent être utilisés pour compléter STRIDE en explorant plusieurs vecteurs d'attaque, en évaluant l'exploitabilité des vulnérabilités et en analysant les composants ou les flux de travail à haut risque. De même, la Cyber Kill Chain est souvent utilisée avec STRIDE pour comprendre le cycle de vie complet des attaques potentielles, en particulier pour les menaces persistantes avancées ciblant les appareils, et pour analyser les menaces provenant d'acteurs malveillants sophistiqués susceptibles d'employer des attaques en plusieurs étapes.
La modélisation des menaces ne s'arrête pas à l'identification des menaces et de leurs vulnérabilités associées. Dans notre opus sur la cybersécurité, nous nous pencherons sur les étapes suivantes cruciales du processus de modélisation des menaces : l'évaluation et la hiérarchisation des menaces et des vulnérabilités identifiées, et l'intégration des informations sur les menaces dans le système de gestion des risques d'un dispositif. Embarquez avec nous pour ce voyage au cœur de l’univers passionnant de la cybersécurité des dispositifs médicaux.
Pour plus d'informations sur les méthodologies de modélisation des menaces et leur application dans le développement de dispositifs médicaux, une excellente ressource demeure le Playbook for Threat Modeling Medical Devices écrit par l'organisation MITRE, réalisé avec le soutien de la FDA (US).
Comment Qserve peut vous aider
Qserve a une équipe internationale de consultants experts dans divers domaines techniques du secteur des dispositifs médicaux. Cela inclut une équipe dédiée exclusivement aux SaMD composée de consultants qui ont une solide expérience QA/RA et qui peuvent vous accompagner sur le sujet de la cybersécurité, comme en intelligence artificielle et le développement de software. Demandez-nous comment nous pouvons vous aider pour accélérer le développement de vos dispositifs, simplifier vos soumissions réglementaires et garantir le respect des exigences relatives à la cybersécurité qui ne cessent d’évoluer.