Linux pour le développement de dispositifs médicaux sécurisés

Le 09/09/2020 à 14:16 par Camille LE FLOCH

Le système d’exploitation open source Linux a été déployé en toute sécurité dans une grande variété de dispositifs médicaux. La sûreté de fonctionnement et la sécurité sont toutes deux nécessaires au développement de dispositifs médicaux, mais tous les aspects de la sécurité ne sont pas liés à la sûreté de fonctionnement et la différence entre les deux concepts n’est pas toujours claire. La sécurité consiste à protéger l’appareil des menaces du monde extérieur, tandis que la sûreté de fonctionnement consiste à protéger le monde extérieur de l’appareil. 

Si le dispositif médical n’est pas sécurisé, les pirates peuvent nuire au déroulement des opérations et accéder aux données des patients, ce qui compromet gravement à la santé de ces derniers. Si un appareil n’est pas sûr, la sécurité du patient est clairement compromise.

En tant que système d’exploitation le plus utilisé pour les appareils du monde entier, la base de développeurs Linux veille à ce qu’il fonctionne comme prévu dans toutes les conditions, et de manière aussi sûre que possible. Les développeurs de logiciels embarqués travaillent consciencieusement à l’amélioration de Linux et d’autres packages open source, mais un petit nombre de pirates informatiques cherchent des moyens de pénétrer dans Linux à leurs fins personnelles. La sécurité des applications utilisant l’open source est une lutte constante entre ces forces opposées.

Les éléments essentiels des logiciels open source dans les dispositifs médicaux sont aujourd’hui beaucoup plus stables et sûrs. Cette amélioration est due au travail acharné et à la diligence des ingénieurs du monde entier pour identifier les possibilités d’exploits (failles de sécurité) et les réparer lorsqu’elles sont trouvées, ainsi qu’à la communauté mondiale qui recherche des problèmes similaires dans ses propres projets. S’il est plus difficile de trouver des failles exploitables, il s’agit là d’une tâche permanente.

Les problèmes de sécurité de Linux (y compris les logiciels comme OpenSSL) sont généralement détectés par les ingénieurs sous forme de bogue découverts dans le cadre de leur travail. Il arrive qu’une faille de sécurité soit découverte lors de l’analyse post-mortem d’une attaque. Habituellement, le découvreur ou le membre de la communauté en informe le groupe Common Vulnerability and Exposures (CVE), géré par MITRE, une organisation liée à la National Vulnerability Database (NVD) américaine gouvernée par le National Institute of Standards and Technology (NIST).

Lorsqu’une vulnérabilité est découverte et qu’une solution est disponible, le CVE est rendu public. S’il est suffisamment sérieux, le problème est discuté par la communauté de sécurité dans le monde entier. C’est là que les dispositifs médicaux sont potentiellement les plus vulnérables. Les personnes ou organisations mal intentionnées (les « méchants ») peuvent prendre connaissance de ces failles (comme le reste du monde) et profiter de la vulnérabilité nouvellement découverte. Toutefois, le processus de divulgation est essentiel, car il alerte la communauté mondiale sur le problème et la solution, de sorte qu’une entreprise peut déterminer si cet exploit particulier pourrait affecter ses appareils. Si c’est le cas, elle peut régler le problème avant qu’une attaque se produise.

Les logiciels open source en général, et Linux en particulier, sont souvent considérés comme inadaptés aux applications sensibles en matière de sécurité ou de sûreté. Toutefois, l’énorme base d’utilisateurs de Linux garantit que toute violation de sûreté/sécurité est rapidement corrigée.

Mentor est l’un des principaux fournisseurs d’outils de développement de logiciels embarqués, de systèmes d’exploitation (y compris Mentor Embedded Linux et Nucleus RTOS) et de services de conseil, avec de nombreux clients travaillant dans le secteur des dispositifs médicaux..

 

Pour en savoir plus, visitez le site https://www.mentor.com/embedded-software/linux/.

 

Auteur :

Scot Morrison

Directeur général – Platform Business Unit, Mentor Embedded Systems Division

Mentor, une entreprise Siemens

Scot Morrison est le directeur général de la division General Embedded Systems de Mentor, une entreprise Siemens. Scot supervise les gammes de produits d’exécution Linux®, Nucleus® et Mentor Embedded Hypervisor, ainsi que les outils, middleware et services professionnels associés. Avant de rejoindre Mentor en 2012, il a occupé les fonctions de directeur général et de vice-président senior des produits chez Wind River Systems, Inc. Avant cela, il a travaillé chez Integrated Systems Inc. où il a occupé le poste de vice-président et de directeur général de l’unité commerciale des solutions d’automatisation de la conception en 1999, responsable de MATRIXx et du système d’exploitation embarqué pSOS. Scot Morrison est titulaire d’une licence de sciences appliquées en ingénierie obtenue à l’université de Toronto et d’une maîtrise en ingénierie aérospatiale (spécialisation en systèmes de contrôle) obtenue au Massachusetts Institute of Technology.

Copy link
Powered by Social Snap