St Jude est visé depuis l'été 2016 par des accusations sur la potentielle vulnérabilité aux cyberattaques de ses pacemakers et défibrillateurs (voir dépêche du 8 novembre 2016), ce qui a amené la Food and Drug Administration (FDA) américaine à publier fin décembre 2016 des recommandations afin de protéger les dispositifs médicaux (DM) déjà commercialisés des cyberattaques (voir dépêche du 5 janvier).

De premières mesures de cybersécurité avaient été annoncées sur les systèmes de télésurveillance de St Jude en janvier dernier (voir dépêche du 17 janvier 2017).

Le système de télésurveillance pour défibrillateurs cardiaques implantables Merlin.net permet de recueillir au domicile du patient les données relatives au fonctionnement de son défibrillateur et de les transmettre aux professionnels de santé chargés de son suivi.

Il se compose d'un transmetteur fixe Merlin@Home confié au patient, d'un kit wifi et filaire pour assurer la connectivité du transmetteur, d'un logiciel et d'une plateforme web sécurisée Merlin.net assurant le stockage et la transmission des données enregistrées.

Dans la lettre de St Jude aux utilisateurs publiée par l'ANSM le 13 avril, la société annonce la mise à disposition en Europe de la version logicielle 8.2.2 du transmetteur patient Merlin@Home, bénéficiant de mises à jour "qui complètent les mesures de sécurité existantes et réduisent encore davantage les risques déjà très faibles de cybersécurité".

Concernant ces risques, St Jude note que si un agresseur arrivait à obtenir un accès non autorisé aux protocoles de communications du transmetteur Merlin@Home, il "pourrait potentiellement exploiter la vulnérabilité et modifier le transmetteur".

Cela pourrait passer par l'émission ou la modification des commandes de programmation du dispositif implanté du patient, "ce qui pourrait entraîner un épuisement prématuré ou rapide de la batterie et/ou une administration de stimulations ou de chocs inappropriés", détaille St Jude.

Il est toutefois précisé qu'à ce jour, "il n'y a eu aucun cas rapporté d'une telle attaque se produisant dans un transmetteur Merlin@Home".

Les patients utilisateurs du système "doivent s'assurer que leur transmetteur Merlin@Home est branché et connecté" afin de recevoir la dernière mise à jour, indique St Jude, précisant que la procédure d'actualisation "peut prendre plusieurs heures".

Les professionnels de santé doivent quant à eux "continuer à effectuer les suivis en consultation et sur Merlin.net des patients porteurs d'un implant cardiaque suivi par télécardiologie avec le transmetteur Merlin@Home, selon leur habitude", a complété la société.

En cas d'échec de l'actualisation du logiciel ou de "fonctionnement inattendu après la mise à jour", "Abbott essaiera d'informer votre établissement pour que vous contactiez les patients afin de les assister en dépannant ou remplaçant leur transmetteur avec le logiciel le plus récent", est-il précisé.

Consulter la lettre de St Jude aux utilisateurs du système Merlin.net relayée par l'ANSM