La firme est visée depuis l'été 2016 par des accusations sur la potentielle vulnérabilité aux cyberattaques de ses pacemakers et défibrillateurs (voir dépêche du 8 novembre 2016), ce qui a amené la Food and Drug Administration (FDA) américaine a publié fin décembre des recommandations afin de protéger les dispositifs médicaux (DM) déjà commercialisés des cyberattaques (voir dépêche du 5 janvier)
Merlin* est utilisé avec les pacemakers implantables et les défibrillateurs. Les "améliorations" incluent des mises à jours de sécurité qui "complètent les mesures existantes de la société et réduisent encore les risques extrêmement faibles de cyber sécurité". St Jude explique que tous les dispositifs utilisant un dispositif de gestion à distance sont "exposés" au risque d'attaque.
Il ajoute qu'il a procédé lors de ces trois dernières années à sept mises à jour du logiciel du transmetteur Merlin@home* et que la dernière a été mise en place la semaine dernière. Elle inclut une "validation et une vérification additionnelle" entre Merlin@home* et le site internet du dispositif, ce qui constitue un verrou supplémentaire.
D'autres mises à jour son prévues au cours de l'année.
La nouvelle filiale d'Abbott réitère sa position selon laquelle elle n'a pas été informée d'un quelconque incident en la matière, ni même de la possibilité que l'un de ses produits ait été ciblé. Elle justifie ces mises à jour par le "changement" du paysage en matière de cybersécurité et "l'attention publique croissante" sur ce point.
Une porte-parole de la FDA a considéré que le rapport bénéfice/risque des dispositifs de St Jude reste positif, mais elle a toutefois précisé que l'agence "maintient son attention" sur la question car tous les problèmes de cybervulnérabilité ne sont pas réglés.
Justine Bone, la directrice générale de la société de cybersécurité MedSec -qui a la première porté les accusations-, a réagi dans un communiqué en jugeant qu'il demeure une "multitude de vulnérabilités sérieuses" malgré ces mises à jour.
Vos réactions