Selon RunSafe, l’un des principaux facteurs de l’augmentation des cyberattaques sur les dispositifs médicaux est l’importance des technologies existantes dans les environnements de soins de santé.
Les cyberattaques contre les dispositifs médicaux sont de plus en plus fréquentes et plus perturbatrices, selon un rapport publié aujourd'hui (29 avril) par la société américaine de cybersécurité RunSafe Security.
L'indice de cybersécurité des dispositifs médicaux 2026, basé sur une enquête de mars 2026 auprès de 551 professionnels de santé aux États-Unis, au Royaume-Uni et en Allemagne impliqués dans les décisions d'achat d'appareils, a révélé que 24 % des établissements de santé interrogés ont subi une cyberattaque sur un dispositif médical, soit une augmentation de 2 % par rapport à l'année dernière.
Parmi ceux qui ont subi une attaque, 80 % ont signalé un impact modéré ou significatif sur les soins aux patients, et un quart de la cohorte a signalé un impact significatif.
Selon le rapport, les systèmes les plus fréquemment touchés comprenaient les systèmes de dossiers de santé électroniques (cités par 35 % des organisations concernées), les dispositifs de surveillance des patients (23 %), les équipements de laboratoire et de diagnostic (18 %), les équipements chirurgicaux en réseau (10 %) et les systèmes d'imagerie (8 %).
Les méthodes de cyberattaque les plus dominantes observées dans ces incidents étaient les infections par des logiciels malveillants nécessitant la mise en quarantaine des appareils – qui étaient responsables de près de la moitié des incidents (48 %) – et les intrusions sur le réseau nécessitant l’isolement des appareils (41 %), ces deux types d’incidents conservant leur popularité dominante depuis 2025.
Cependant, un type d’incident que RunSafe a noté comme émergeant particulièrement en 2026 était l’exploitation de l’accès à distance, qui a été observée dans 38 % des incidents. RunSafe a déclaré que cela signalait que les attaquants « s’adaptent à l’empreinte croissante de l’accès à distance des appareils connectés ».
« Les organisations qui n'ont pas mis en œuvre la segmentation du réseau, les contrôles d'accès et les protections d'exécution sont exposées », a déclaré l'entreprise.
Pour les organisations ayant subi une cyberattaque contre un dispositif médical, la récupération n’a pas été si simple.
Selon le rapport, près de la moitié (49 %) des incidents signalés ont entraîné « des séjours prolongés ou des solutions manuelles nécessaires », le scénario de récupération le plus courant – vécu par 39 % des organisations touchées – impliquant cinq à 12 heures d'indisponibilité. Parallèlement, 5 % des organisations concernées ont connu des interruptions de service de plus de trois jours.
Problèmes hérités
Selon RunSafe, l’un des principaux facteurs de la cybermenace croissante liée aux dispositifs médicaux est la prédominance des appareils existants qui ne peuvent pas être corrigés ou facilement remplacés.
Le rapport révèle que trois organisations interrogées sur dix utilisent des dispositifs médicaux dont la date de fin de support fixée par le fabricant est dépassée. Selon RunSafe, une proportion importante de ces appareils comportent des vulnérabilités connues et non corrigées.
Les raisons évoquées pour expliquer pourquoi ces établissements de santé continuent d’exploiter des appareils existants à risque concernaient des contraintes cliniques, financières et structurelles.
38 % des personnes interrogées ont déclaré qu'il n'y avait pas encore de remplacement « acceptable » disponible pour l'ancien appareil en question, tandis que 36 % ont déclaré qu'elles ne pouvaient pas se permettre un remplacement.
34 % ont cité les contraintes réglementaires ou d'approbation comme obstacle, 33 % ont déclaré que le remplacement de l'appareil ou du système entraînerait trop de perturbations et, fait intéressant, 17 % ont déclaré que le risque présenté par cette technologie héritée a été formellement accepté par les dirigeants.
« L’incapacité à mettre à jour les correctifs, combinée à la dépendance clinique continue à l’égard des appareils vulnérables, crée une lacune de sécurité structurelle qui ne peut être comblée uniquement par les seuls achats », a déclaré RunSafe dans une analyse du sujet des appareils existants.
« Cet écart est presque certainement un facteur clé de l’augmentation de l’adoption de la protection d’exécution observée en 2026. Les technologies de protection d’exécution – qui protègent les appareils sans nécessiter de correctif – agissent comme un contrôle compensatoire pour un problème que l’achat de nouveaux appareils ne peut pas résoudre.
Comme le reconnaît le rapport, les technologies de protection d'exécution apparaissent comme un « contrôle compensatoire » critique, avec 82 % des personnes interrogées déclarant avoir largement déployé ou piloter une protection contre les exploits d'exécution.
Un secteur vulnérable
L'augmentation des cyberattaques sur les dispositifs médicaux mise en évidence par ce rapport survient alors que le secteur de la santé continue de subir des violations et des attaques de gravité variable, comme l'a noté le fondateur et PDG de RunSafe, Joseph M Saunders.
« Les résultats s'inscrivent dans un contexte de cyberincidents à grande échelle dans le domaine des soins de santé qui ont perturbé la prestation des soins et les flux de revenus, soulignant la rapidité avec laquelle les attaques contre les systèmes adjacents aux appareils peuvent se traduire par des préjudices pour les patients », a-t-il déclaré.
« La cybersécurité des dispositifs médicaux prend de plus en plus d’importance pour les acheteurs de soins de santé, car ils la considèrent comme un impératif réglementaire et en matière de sécurité des patients. »
Le mois dernier, le géant de la fabrication d’équipements médicaux Stryker a été touché par une cyberattaque qui a provoqué une perturbation du réseau mondial. Les rapports de l'époque suggéraient que l'usine de Cork, qui emploie plus de 4 000 personnes, avait été touchée par l'attaque, dont le cybergroupe pro-iranien Handala avait revendiqué la responsabilité.
Pendant ce temps, il y a quelques semaines à peine, la plateforme de recrutement de Dublin Healthdaq – utilisée par les fiducies de santé d'Irlande du Nord – aurait été victime d'une cyberattaque de la part du groupe de pirates informatiques relativement nouveau XP95, qui prétendait avoir accédé à des centaines de milliers de fichiers.
