En bref: présentation de Defcon 23 sur la sécurité informatique de l’équipement médical

Voici une vidéo d’une présentation à Defcon 23 sur la sécurité informatique d’appareils médicaux.

La présentation parle d’une part de techniques qui pourraient être utilisées pour accéder au réseau informatique d’un centre hospitalier. Les présentateurs discutent également des façons d’accéder aux ordinateurs intégrés dans des appareils médicaux, surtout des appareils de radiologie.

On ne parle pas spécifiquement d’appareils utilisés en pharmacie sauf de pompes à ACP, mais j’aimerais bien savoir si le même genre de vulnérabilité existe avec par exemple, les cabinets automatisés, les pompes à infusion ou les pompes de préparation stérile.

Plateformes de technologie en établissement de santé: BYOD, tablettes et sécurité

Pas de long billet aujourd’hui, vie oblige. Je prends quand même une minute pour mentionner un podcast que j’ai bien apprécié: l’épisode 49 de Healthcare Tech Talk.

C’est une entrevue avec un directeur des produits de santé chez VMWare. La discussion tourne autour des plateformes sur lesquelles sont installées les technologies et les applications cliniques en établissement de santé.

Quelques points tirés de cette entrevue avec lesquels je suis d’accord:

  • Le développement des applications cliniques devrait se faire d’une manière aussi « device-agnostic » que possible. Cela permet d’éviter d’être, par exemple, prisonnier d’un système de tablettes d’un manufacturier particulier dans le futur, ou de permettre l’utilisation sur un appareil mobile pour les gens qui le veulent vraiment.
  • Les tablettes sont souvent très décevantes lorsqu’on tente de les utiliser réellement en pratique clinique. La plupart des applications spécialisées que l’on utilise ne sont simplement pas conçues pour ça.
  • Les stratégies de sécurité basées sur un seul pare-feu, qui une fois franchi donne accès au réseau en entier, présentent un risque important.
  • Les systèmes devraient supporter l’authentification à deux facteurs.
  • Le temps où l’on pouvait déployer des applications sans se soucier d’avoir un plan en cas de défaillance est terminé. Auparavant, on pouvait se permettre de « revenir au papier » lorsque le système plantait. Si l’on veut vraiment utiliser l’informatique comme outil de travail central en santé, on ne peut plus se permettre cela. La fiabilité et la redondance doivent être une priorité.

Un point avec lequel je suis moins d’accord:

  • Le BYOD (bring your own device), que plusieurs personnes interprètent comme la permission d’apporter leur téléphone ou leur tablette personnelle pour accéder aux applications cliniques. Le podcast laisse entendre cela. Pourtant, ce qui risque d’arriver dans un mode BYOD, c’est que l’employeur va installer une application comme AirWatch pour verrouiller en profondeur l’appareil de l’employé afin de le « sécuriser ». L’employé se retrouve à avoir payé un appareil qui devient à toutes fins pratiques la propriété de l’employeur. Regardez par exemple la vidéo sur iOS 9 sur cette page pour voir toutes les possibilités qu’une installation de AirWatch sur un iPhone ou un iPad donnerait à un employeur.

Sécurité informatique et équipement médical

On entend de plus en plus parler des objets connectés et de « l’internet des objets » (internet of things), tous ces appareils domestiques qui se connectent à un réseau et fournissent des données. Un exemple classique est le thermostat Nest. Avec la popularité grandissante de ces objets vient une préoccupation quant à la sécurité. Des hackers pourraient, par exemple, prendre le contrôle d’appareils de domotique à la sécurité informatique déficiente pour causer le chaos dans la maison d’une personne cible, ou bien s’emparer de ses données personnelles.

Dans le domaine de la santé, la même tendance existe avec les appareils médicaux, qui sont de plus en plus connectés. Le problème est que la sécurité informatique de ces appareils ne semble pas suivre la courbe de leur connectivité grandissante.

En mai dernier, je tweetais un article à propos d’une pompe à analgésie contrôlée par le patient dotée d’une connexion WiFi qui, selon un chercheur en sécurité informatique, était l’appareil avec la sécurité la plus déficiente qu’il n’avait jamais vu. Un autre article plus détaillé fait état du même problème. Ceci est quand même troublant quand on sait que le médicament infusé avec ce genre de pompe est pratiquement toujours un opiacé, un médicament à haut risque pouvant causer des effets indésirables graves, comme la dépression respiratoire, lorsque mal utilisé.

De plus en plus de spécialistes en sécurité informatique s’intéressent à ce problème, on en parle lors de conférences d’importance comme Defcon et DerbyCon (si la sécurité informatique vous intéresse, allez sur ces deux derniers liens, c’est complètement fou, on peut notamment trouver des appareils médicaux critiques qui roulent sur des systèmes d’exploitation vulnérables, exposés à l’internet !)

Il y a quelques jours, Bloomberg Businessweek a publié un long article sur les problèmes de sécurité des équipements médicaux. Cet article fascinant montre à quel point il peut être facile de prendre le contrôle d’appareils médicaux, à travers un réseau ou en personne, sans même être un spécialiste.

À la lecture de tous ces articles, voici quelques drapeaux rouges qui, selon moi, sont des indicateurs d’un possible risque de sécurité avec un appareil médical:

  • L’utilisation d’un système d’exploitation intégré ancien ou qui n’est plus supporté (ex: Windows XP, Windows XP Embedded, Windows CE…) – les correctifs de sécurité ne seront pas appliqués.
  • La présence d’une interface web requérant un navigateur dépassé comme Internet Explorer 6 ou 7 – l’interface web ne répond plus aux standards, le code est probablement ancien et vulnérable.
  • La possibilité pour le manufacturier de se connecter à distance avec des identifiants de connexion qui ne sont pas sous le contrôle de l’utilisateur – il existe un backdoor qui échappe à votre contrôle.
  • La présence d’un mot de passe système non modifiable qui permet un accès réseau ou en personne – ce mot de passe est probablement le même pour tous les appareils de ce type et peut probablement être trouvé sur internet !
  • Sur un appareil avec connexion sans fil, la possibilité de se connecter à une interface d’administration avec un mot de passe système non modifiable ou sans mot de passe – n’importe qui avec un accès au réseau peut accéder à l’appareil.

Considérant le constat fait par ces articles, il est probablement utopique de penser actuellement avoir accès à des appareils sans vulnérabilité, mais au moins si les gens qui implantent des technologies dans les hôpitaux (comme les pharmaciens) se mettent à poser des questions sur la sécurité informatique, les manufacturiers auront un incitatif de plus à prendre la chose au sérieux.

Il y a un peu plus d’un an, la FDA a émis un document d’orientation destiné à l’industrie afin d’améliorer la sécurité informatique des équipements médicaux. L’intention est louable, mais plusieurs spécialistes en sécurité n’ont pas été impressionnés.

Liens de la fin de semaine

pont jacques-cartier

Sécurité informatique

Une pratique recommandée pour éviter de voir tous ses comptes en ligne compromis par une seule attaque informatique est d’utiliser un mot de passe différent et aléatoire pour chaque compte. De cette façon, si une fuite de données ou une attaque compromet un de vos comptes, les autres ne peuvent être ouverts avec le même mot de passe. Les logiciels de gestion de mot de passe comme LastPass, 1Password, Dashlane et Keepass vous permettent de stocker tous ces mots de passe et ainsi d’éviter d’avoir à s’en rappeler.

Il faut rappeler que contrairement à ce qui est couramment exigé pour les mots de passe, c’est-à-dire 8 à 12 caractères incluant des majuscules, minuscules, chiffres et caractères spéciaux mélangés, les mots de passe les plus sécuritaires sont tout simplement très longs.

Une attaque informatique de plus en plus courante contre laquelle le commun des mortels devrait se prémunir est la fuite de banques de données provenant de sites web (Adobe et Patreon, par exemple, sans compter Ashley Madison). Les mots de passe de quelques caractères alphanumériques aléatoires sont très faciles à deviner dans ce contexte grâce aux rainbow tables. Les logiciels de gestion de mots de passe permettent de générer des mots de passe très longs et aléatoires, les rendant ainsi plus sécuritaires.

Malheureusement, il a été récemment démontré que ce genre de logiciel est vulnérable à une attaque lorsque le poste sur lequel un utilisateur accède à sa banque de données de mots de passe est compromis.  KeeFarce permettrait ainsi d’obtenir l’ensemble des mots de passe stockés par le logiciel KeePass. Selon plusieurs experts, la technique utilisée pour cette attaque pourrait être adaptée à n’importe quel autre gestionnaire de mot de passe. Ouch.

Chromebooks

Un article du Wall Street Journal rapportait à la fin de la semaine dernière (je lie à l’article de ArsTechnica car celui du WSJ est derrière un paywall) que Google projetterait de fusionner ChromeOS et Android quelque part en 2017. Le résultat s’appellerait encore Android et les Chromebooks changeraient de nom. Ceci inquiète énormément, puisque Android est difficile à mettre à jour et n’est pas du tout adapté à une utilisation sur un ordinateur avec clavier et souris. Ça pourrait être problématique pour tous ceux qui ont investi dans les Chromebooks.

Google ne semble pas avoir apprécié la réaction à cet article puisque 2 jours plus tard, le vice président senior de Android et ChromeOS chez Google a affirmé sur Twitter que les Chromebooks ne seraient pas abandonnés (pouvait-il dire autre chose ?)

Lundi cette semaine, le blogue Google Chrome statuait que ChromeOS est là pour rester.

ArsTechnica a publié mardi une analyse en profondeur de la situation.

Journalisme scientifique et médical

Un article du JAMA Oncology présente une analyse des superlatifs utilisés dans les articles de journaux grand public. Les mots « breakthrough », « game changer », « miracle », « cure », « home run », « revolutionary », « transformative », « life saver », « groundbreaking », et « marvel » ont été recherchés dans les articles de nouvelles publiés sur une période de 5 jours en juin 2015. 94 articles ont été trouvés, la moitié des 36 médicaments ainsi décrits n’étaient pas approuvés par la FDA et 5 n’avaient été étudiés qu’en études précliniques sur des cultures cellulaires ou chez des rongeurs. On peut se questionner sur cette pratique, sachant que ces mots peuvent influencer la perception publique.

Cinéma

Une autre entrevue entre Chris Hadfield, Andy Weir et Adam Savage à propos du film The Martian.

La technologie RFID pour la préparation des plateaux de médicaments en hôpital.

J’ai lu un article dans le dernier numéro du Journal canadien de la pharmacie hospitalière sur l’utilisation de la technologie RFID pour la préparation des plateaux de médicaments.

La technologie

La technologie RFID (radio-frequency identification, radio-identification en français) est une technologie qui repose sur l’utilisation « d’étiquettes » électroniques composées d’une antenne et d’une puce électronique capable de stocker de l’information.  L’information contenue dans la puce peut être écrite ou lue par un émetteur.  Dans le système de santé, cette technologie est encore peu utilisée comparativement à la technologie des code-barres.

Une application évidente de cette technologie en santé est l’identification de médicaments. En 2005, la FDA émettait un communiqué mentionnant l’utilisation de cette technologie pour assurer la protection de l’approvisionnement en médicaments contre la contrefaçon.

Plus récemment,  deux compagnies ont commercialisé des systèmes de vérification des plateaux de médicaments basés sur cette technologie.

Les plateaux de médicaments sont des cabarets (en général de plastique) sur lesquels sont disposés des médicaments selon un système d’organisation prédéterminé.  Leur utilisation est répandue dans les établissements de santé, le plus souvent pour les situations de réanimation et d’autres contextes, comme les salles d’opération ou les procédures mineures.  La préparation des plateaux relève généralement du département de pharmacie.  Selon la complexité des plateaux et le volume d’utilisation de ce système dans un établissement, leur préparation peut être une tâche assez lourde.  Les assistant-techniques en pharmacie qui les préparent doivent être formés et une double vérification est souvent nécessaire pour assurer un contrôle de qualité.

La technologie du code-barre, maintenant courante dans les départements de pharmacie, et en utilisation croissante dans les hôpitaux, pourrait être utilisée pour sécuriser la validation contenant-contenu lors de la préparation des plateaux. Cependant, les codes-barres présents sur les médicaments permettent l’identification des produits mais ne comportent généralement pas le numéro de lot ni la date d’expiration du médicament.  Ces éléments nécessiteront alors une vérification manuelle.

Dans les systèmes RFID commercialisés, une étiquette RFID est apposée sur les médicaments à l’avance de la préparation du plateau et encodée avec l’identification du produit, son numéro de lot et sa date d’expiration.  Les produits identifiés peuvent ensuite être placés dans les plateaux et l’appareil de vérification obtient par RFID une liste complète du contenu préparé.  Cette liste est comparée à la liste attendue et la conformité du plateau est confirmée, éliminant ainsi l’étape de double-vérification et assurant (du moins en théorie) une absence d’erreurs.

À noter, il existe aussi des systèmes où des codes-barres 2D contenant l’identification, le numéro de lot et la date d’expiration du médicament sont apposés sur les médicaments. La validation automatisée dans ce type de système se fait par une photo haute-résolution des codes-barres.

L’étude

Il s’agit d’une étude expérimentale et comparative.  Dans un hôpital académique de 420 lits situé en Ontario, le département de pharmacie a implanté un système de vérification des plateaux de médicaments basé sur la technologie RFID.  Un mois après l’implantation du système, les auteurs ont procédé à une étude de simulation où ils ont comparé la performance d’assistant-techniques en pharmacie pour la préparation des plateaux avec la méthode manuelle ou la technologie RFID.  L’étude a été menée par le département où le système a été implanté, conjointement avec les représentants de l’entreprise ayant fourni le système.

4 assistant-techniques ont vérifié 4 plateaux chacun, d’abord selon la méthode manuelle et ensuite selon la méthode RFID.  56 erreurs avaient été placées dans les 4 plateaux par les employés du fournisseur.  Avec la méthode manuelle, 6 plateaux sur 16 ont été approuvés avec des erreurs restantes, contre 0 avec la méthode RFID.  En moyenne, la vérification d’un plateau était 4.4 minutes plus rapide avec la méthode RFID.

Mon interprétation

Le sujet de l’étude est intéressant.  Mon opinion est que des lacunes dans la méthodologie de l’étude biaisent malheureusement les résultats en faveur du système RFID.

D’abord, il semble que l’étude ait été réalisée en collaboration avec les représentants de l’entreprise ayant fourni le système, ce qui devrait être évité, même si cela est déclaré et même si leur contribution à l’analyse des résultats et à la rédaction de l’article était mineur.

Ensuite, la description de l’étude semble dire que ce sont les mêmes 4 techniciens qui ont validé les plateaux selon les deux méthodes, d’abord manuelle puis RFID.  Je crois comprendre que les mêmes erreurs ont été placées pour les deux méthodes.  Pour les erreurs qui consistaient en un médicament expiré, manquant ou en quantité trop importante, cela a peu d’impact puisqu’il était pratiquement assuré que le système RFID détecterait ces problèmes. Cependant, pour les médicaments ouverts, seule une vérification manuelle permet la détection, même avec la technologie RFID.  Les sujets de l’étude avaient donc beaucoup plus de chances de détecter ces erreurs à la vérification RFID puisqu’ils avaient déjà vu les erreurs.

Enfin, l’introduction de l’article mentionne qu’avant l’implantation du système, certains plateaux en méthode manuelle étaient d’abord préparés par un premier assistant-technique, puis revérifiés par un deuxième.  Dans le contexte de l’étude, ceci ne semble pas avoir été réalisé, ce qui favorise un taux d’erreur plus élevé pour la méthode manuelle.

De façon plus générale, je ne doute absolument pas que la technologie RFID permette une détection complète des erreurs de choix de médicament ainsi que de date d’expiration, pour autant que les étiquettes soient bien encodées et apposées sur les bons produits.  Un gain de temps est également assuré, pour autant que l’appareil lui-même soit rapide et que la procédure d’utilisation qui est développée soit efficiente. Ce que la technologie RFID ne peut détecter, ce sont les médicaments ouverts ou utilisés replacés dans les plateaux, ainsi que la localisation erronée d’un produit dans le plateau (à moins que la technologie ne permette la détection de l’emplacement des produits, ce qui ne semble pas être le cas si je me fie au site web des fabricants). L’étude n’a pas évalué ces points spécifiquement.

Je trouverais plus intéressant une étude rétrospective sur une longue période (un an ou plus) comparant les incidents réels observés avant et après l’implantation du système, afin de comparer non pas les gains d’efficacité et de ressources, qui ne font pas de doute, mais bien l’impact réel de cette technologie sur la sécurité des patients.

Néanmoins, la technologie est très intéressante et je crois qu’elle a un réel potentiel pour la sécurité de l’utilisation des médicaments dans le futur.

Erreurs lors de la validation d’ordonnances par les pharmaciens en établissement de santé

Dans l’édition du 1er septembre 2015 de l’AJHP, j’ai trouvé un article intéressant que je vous résume ici.

Résumé de l’article

Il s’agit d’une étude portant sur la validation des ordonnances par les pharmaciens, ayant évalué les facteurs associés aux erreurs durant la validation.  Les auteurs ont mené une étude rétrospective de base de données dans un centre tertiaire situé à Houston au Texas.  Les données sur les ordonnances validées par les pharmaciens durant une période d’un an (juillet 2011 à juin 2012) et les erreurs associées aux médicaments durant la même période ont été collectées.  Une régression logistique multivariée a été menée afin d’identifier les facteurs associés aux erreurs.

Les facteurs évalués comprenaient:

  • La charge de travail (nombre d’ordonnances validées par quart de travail par pharmacien)
  • L’environnement de travail (quart de travail de jour, soir ou nuit; jour de semaine ou fin de semaine; et nombre de pharmaciens par quart)
  • Le pharmacien (âge, diplôme, années d’expérience totale, années d’expérience au site)

Les erreurs incluses dans l’analyse étaient les erreurs rapportées dans le système de déclaration volontaire de l’hôpital qui avaient été déclarées par un professionnel autre qu’un pharmacien, et qui s’étaient produites durant la validation de l’ordonnance par un pharmacien.

1 887 751 ordonnances, 92 erreurs et 50 pharmaciens ont été inclus dans l’analyse.  Le taux d’erreur global était de 4,87 erreurs par 100 000 ordonnances.  Les facteurs associés aux erreurs étaient le nombre d’ordonnances validées par pharmacien, le type de quart de quart de travail, le type de journée et le nombre de pharmaciens présents par quart. Après la régression multivariée, le seul facteur associé à une augmentation significative du taux d’erreur était le nombre d’ordonnances validées par quart de travail.  La validation de plus de 400 ordonnances par quart était associée au plus grand risque d’erreur.

Mon interprétation

Je vous invite à lire l’article ici.  Vous pouvez également télécharger le podcast AJHP voices pour une entrevue avec les auteurs.

Malheureusement, il existe peu de données sur les erreurs liées à la validation des ordonnances par les pharmaciens en établissement de santé.  Cet article majeur ne cite que 16 références, la plupart n’étant pas des études similaires mais bien des textes sur la sécurité dans le système de santé ou des articles généraux sur les erreurs médicales.  Il est donc impossible de comparer les observations des auteurs à d’autres études.  Néanmoins, la conclusion apparaît logique.

La validation des ordonnances par les pharmaciens dans les établissements de santé est une étape cruciale pour la sécurité de l’utilisation des médicaments.  La validation peut être centralisée, avec des pharmaciens situés à un endroit dans l’hôpital qui reçoivent les ordonnances pour tout le centre; ou décentralisée, avec des pharmaciens qui valident les ordonnances à divers endroits, généralement sur une unité de soins couverte par ceux-ci tant au niveau des soins pharmaceutiques que de la validation des ordonnances.  Ce dernier type de pratique n’est plus très populaire, notamment parce que l’impératif de la validation des ordonnances par les pharmaciens décentralisés devient souvent un frein à la prestation des soins pharmaceutiques.

Dans un modèle de validation centralisée, les pharmaciens recevant les ordonnances doivent traiter en temps opportun toutes les ordonnances du centre, on comprend donc que la charge de travail peut être très importante par moment. Cependant, le contrôle de cette charge de travail est difficile, puisque le nombre d’ordonnances arrivant à la pharmacie à un moment précis est imprévisible.

Je crois qu’il existe ici une belle opportunité de recherche pour confirmer les conclusions de cette étude de manière prospective, dans d’autres centres et dans divers contextes.  Cependant, il risque d’être difficile de planifier une intervention pour diminuer les erreurs, parce que le taux d’erreur rapporté est déjà très bas et parce que le facteur de risque principal est difficile à contrôler.

Mise à jour sur les seringues BD

Depuis hier, j’ai trouvé un avis de l’ISMP qui discute de la problématique des seringues BD dont je parlais hier (voir mon blog d’hier).  L’avis semble indiquer qu’une production pour 24 heures est acceptable, quoi que ce ne soit pas dit très explicitement.

Un podcast sur le sujet a aussi été publié hier en après-midi, je vous invite à l’écouter.  Les ponts clés:

  • L’auteur pense lui aussi qu’une stabilité de 24h est acceptable dans le contexte actuel.
  • Il souligne les conséquences importantes que pourrait avoir ce changement de pratique en pédiatrie, en particulier si les hôpitaux devaient se mettre à dispenser des vials de médicament conçus pour des doses adultes sur des unités de pédiatrie et de néonatologie, au lieu de seringues remplies à la bonne dose.