Bilan du module 4 : évaluation des risques significatifs

Le « risque » est un événement redouté (perte de propriété de sécurité d’un bien du dispositif) qui se réalise suite à un scénario de menace. Plus le scénario est vraisemblable et l’événement impactant, plus le risque est significatif. Cette pertinence s’obtient ainsi par croisement des niveaux d’impact et de vraisemblance déterminés au cours des modules 2 et 3. Il faut toutefois noter que les niveaux de gravité et de crédibilité qui détermine un niveau de risque sont arbitraires. L’évaluateur a la charge de définir dans l’évaluation des risques la signification de ceux-ci par rapport aux objectifs de sécurité. Nous synthétisons dans le tableau 5 la pertinence des risques identifiés selon cinq niveaux de signification : 0

Les informations contenues dans le présent document sont la propriété des contractants. Il ne peut être reproduit ou transmis à des tiers sans l'autorisation

expresse des contractants. 34 / 123

Tableau 5: Evaluation des risques significatifs Gravité \

Vraisemblance 1 : Faible 2 : Moyenne 3 : Forte 4 - Certaine

1 : Faible

Interception de données de mesure ou injection par écoute passive.

2 : Sérieux Interception des historiques médicaux des DO et DI. 3 : Critique Perte d’intégrité et de disponibilité des circuits matériels du capteur par insertion de cheval de Troie. Dévoilement des clés de chiffrement par brute force.

Perte d’intégrité des clés de sécurité par injection de faute semi- invasive

Perte d’intégrité et d’authenticité du capteur par contrefaçon. Perte d’authenticité de la mesure du capteur par injection de faux message.

Non-disponibilité du capteur ou de la pompe par déni de service. Dévoilement des données de santé par abus des droits d’accès. Perte d’intégrité des données de paramétrage par abus des droits d’accès.

Dévoilement des données de santé par intrusion via interface de débogage. Perte d’intégrité des données de paramétrage par intrusion via interface de débogage 4 : Catastrophique Perte d’intégrité et de disponibilité des circuits de la pompe et du dispositif de contrôle par insertion de cheval de Troie.

Dévoilement ou perte d’intégrité des clés de sécurité par injection de faute invasive

Perte de confidentialité des clefs de sécurité par attaques sur les canaux cachés ou par injection de faute semi-invasive Perte d’intégrité des logiciels, confidentialité des données privée ou des clés par une exploitation de vulnérabilité logicielle. Perte d’intégrité et d’authenticité des circuits du DM par contrefaçon.

Perte d’authenticité des commandes d’insuline par injection de faux message.

Dévoilement des mots de passe par brute force.

Dévoilement des mots de passes et de perte d’intégrité des logiciels et firmwares par non- respect des droits d’accès.

Perte d’intégrité des modules logiciels ; risque de dévoilement des clefs de sécurité par intrusion via interface de débogage Perte de l’authenticité de l’ordre d’injection de la pompe par rejeu.

La synthèse de l’analyse révèle des risques critiques qui doivent être traités pour sécuriser les biens du dispositif médical. Les failles sont de natures diverses : non sécurisation de l’accès physique (risques liés à des intrusions via les interfaces de débogage) qui est exploitée pour accéder à des biens, défauts dans l’authentification des composants électroniques (contrefaçons), manque de sécurisation des communications, mauvaise gestion des droits d’accès.

Les attaques matérielles les plus craintes sont celles mises en œuvre par des adversaires limités ou moyennement équipés ; les attaques hautement intrusives réalisées par des adversaires ayant de fortes ressources sont moins vraisemblables. Les attaques à distance qui doivent être considérées sont celles

Les informations contenues dans le présent document sont la propriété des contractants. Il ne peut être reproduit ou transmis à des tiers sans l'autorisation

expresse des contractants. 35 / 123

concernant la compromission des communications non-sécurisées, ainsi que les attaques exploitant des faiblesses dans la gestion des droits d’accès (mot de passe ou clef d’authentification mal-sécurisé, niveau d’autorisation mal défini).

Au vue de ces risques identifiés nous pouvons établir des exigences de sécurité, celles-ci peuvent être complémentaires, mais peuvent également générer de nouvelles problématiques :

· Etablir des protocoles de sécurité pour authentifier les acteurs et le dispositif au cours des communications, assurer l’intégrité des messages et chiffrer les données.

o Cela implique l’utilisation de clefs de sécurité (clef cryptographique pour le chiffrement, signature pour authentification).

· Intégrer une solution de sécurité qui assure l’authenticité des composants du dispositif et des acteurs face aux scénarios d’attaques matérielles (contrefaçons et intrusion physique).

o Idéalement, cette solution est embarquée dans le circuit du dispositif et permet de prouver l’authenticité du circuit et des acteurs au cours du cycle de vie.

o _{Cela suppose, à priori, une intégration de ce mécanisme dès les premières phases.} · Déployer une politique de sécurité qui distribue et assure les droits d’accès au cours du cycle de vie

sans compromettre le dispositif.

o Cela implique des protocoles d’authentifications sures, ceux-ci pourraient s’appuyer sur les mécanismes qui assure l’authenticité.

o _{Cela impose aussi une flexibilité, répudier ou ouvrir des accès au cours du cycle de vie.} Ces exigences imposent la mise en œuvre d’une solution de génération, stockage et gestion de clefs de sécurité (chiffrement et / ou authentification). Cela nécessite l’exploitation d’une source d’aléa sûre, ou d’une fonction de génération, qui respecte les propriétés de sécurité (notamment en termes d’aléa, de niveau d’entropie et de non-prédictibilité) ; et qui par ailleurs résiste aux attaques matérielles.