AVIS PUBLIC. Santé Canada informe les patients et les fournisseurs de soins de santé que certains modèles anciens de pompes à insuline Medtronic MiniMed 508 et MiniMed Paradigm distribués de 2010 à la fin de 2015 peuvent être vulnérables aux cyberattaques. Selon Medtronic, 2620 de ces pompes à insuline ont été vendues au Canada.
Le risque ne réside pas dans le fonctionnement normal du dispositif, mais dans la faible possibilité d’une cyberattaque. Il est conseillé aux patients diabétiques qui utilisent un modèle en cause de déterminer si le dispositif qu’ils utilisent est touché et de prendre les précautions énumérées ci‑après. On recommande aussi de parler à leurs fournisseurs de soins de santé lors de leur prochaine consultation, pour savoir si le remplacement de leur dispositif par un modèle plus récent bénéficiant d’une cybersécurité accrue est l’option qui leur convient.
«Une personne non autorisée (autre qu’un patient, un soignant ou un fournisseur de soins de santé) pourrait modifier le réglage de la pompe parce que sa cybersécurité pourrait être compromise. Les modifications apportées au réglage de la pompe pourraient aboutir à ce que trop d’insuline soit administrée à un patient, ce qui se solderait par une baisse du taux de glycémie (hypoglycémie), ou à l’arrêt de l’administration d’insuline, ce qui provoquerait une hyperglycémie et une acidocétose diabétique.» Selon ce que Santé Canada a appris à ce jour, aucun préjudice imputable à ce risque d’une possible cyberattaque n’a été causé aux patients, et le Ministère considère que la probabilité et le risque que cela se produise sont faibles.
D’après l’entreprise, le réglage ne peut être modifié par une personne non autorisée que si elle connaît le numéro de série de la pompe en question et qu’elle peut se connecter sans fil en se trouvant à proximité. Elle doit également posséder les compétences techniques nécessaires, de même que le bon équipement de radiofréquence si elle a l’intention malveillante d’effectuer le piratage.
Medtronic à fait savoir que les vulnérabilités du système de cybersécurité ont été repérées en premier par des chercheurs externes en sécurité, puis confirmées par les essais que l’entreprise a effectués. Or, elle ne peut mettre à jour le logiciel des pompes à insuline MiniMed 508 et Paradigm pour contrer ces risques de cyberattaque. L’entreprise a envoyé un avis aux clients canadiens et aux professionnels de la santé.
Personnes touchées
Les patients diabétiques qui utilisent un des modèles de pompe à insuline Medtronic MiniMed 508 ou MiniMed Paradigm énumérés ci-dessous.
Produits touchés
Les pompes à insuline Medtronic MiniMed 508 ou MiniMed Paradigm suivantes sont visées par le présent avis:
| Modèle de pompe | Version logicielle |
| MiniMed 508 | Toutes les versions |
| MiniMed Paradigm 511 | Toutes les versions |
| MiniMed Paradigm 512/712 | Toutes les versions |
| MiniMed Paradigm 515/715 | Toutes les versions |
| MiniMed Paradigm 522/722 | Toutes les versions |
| MiniMed Paradigm Veo 554/754 | Version 2.6A ou version précédente |
| MiniMed Paradigm Veo 554CM/754CM | Version 2.7A ou version précédente |
Ce que doit faire le consommateur
- N’arrêtez pas d’utiliser votre pompe à insuline, car cela pourrait entraîner des changements de votre glycémie. La probabilité et le risque que le fonctionnement de la pompe soit altéré par une cyberattaque sont faibles.
- Vérifiez si le modèle et la version logicielle de votre pompe à insuline Medtronic sont touchés.
- Le numéro de modèle de votre pompe figure sur l’étiquette au dos de la pompe.
- Pour trouver la version logicielle des pompes MiniMed Paradigm, consultez l’écran ÉTAT :
- Pour ouvrir cet écran, appuyez sur ESC jusqu’à ce que l’écran ÉTAT s’affiche.
- Pour afficher plus de texte à l’écran ÉTAT, appuyez sur la flèche vers le haut ou vers le bas pour faire défiler et afficher tous les renseignements.
- Pour quitter l’écran ÉTAT, appuyez sur ESC jusqu’à ce que l’écran disparaisse.
- Si vous utilisez un dispositif touché, demandez à votre fournisseur de soins de santé s’il est opportun que vous passiez à un modèle plus récent de pompe offrant une protection accrue contre les cyberattaques.
- Si vous avez un dispositif touché et que vous souhaitez poser des questions, adressez-vous à un fournisseur de soins de santé ou appelez Medtronic au 1-800-284-4416.
Si vous avez un dispositif touché prenez les précautions suivantes afin de vous protéger contre les risques de cyberattaque :
- Gardez votre pompe à insuline et les accessoires qui y sont reliés en permanence à votre portée.
- Ne communiquez à personne le numéro de série de votre pompe.
- Soyez attentif aux avis, aux alarmes et aux alertes concernant les pompes.
- Annulez immédiatement tout bolus imprévu.
- Surveillez attentivement votre glycémie et agissez comme il se doit.
- N’utilisez pas de dispositifs de tierces parties pour vous brancher, ni un logiciel non autorisé par Medtronic.
- Débranchez votre dispositif USB CareLink de votre ordinateur lorsqu’il ne sert pas à télécharger des données de votre pompe.
Obtenez immédiatement de l’aide médicale si vous :
- présentez des symptômes d’hypoglycémie grave (transpiration excessive, sensation de grande fatigue, étourdissements et faiblesse, pâleur et sensation soudaine de faim);
- présentez des symptômes d’acidocétose diabétique (soif excessive, miction fréquente, nausées et vomissements, sensation de grande fatigue et de faiblesse, essoufflement);
- pensez que le réglage de votre pompe à insuline ou l’administration d’insuline ont changé de façon inattendue.
Signalez un problème lié à la santé ou à la sécurité
- Signalez les plaintes relatives aux instruments médicaux à Santé Canada.
- Restez branché aux points de contact de Santé Canada et recevez les plus récents avis et rappels de produits.
Ce que fait Santé Canada
Santé Canada continue de faire un suivi auprès de l’entreprise pour faire en sorte que les mesures appropriées d’atténuation des risques soient prises. Le Ministère surveillera le rappel et informera les Canadiens si de nouveaux renseignements importants deviennent disponibles.
Le monde des instruments médicaux est en constante évolution, et le gouvernement du Canada veille à ce que ses règlements et ses directives suivent ce rythme. Santé Canada a récemment publié des lignes directrices sur les exigences relatives à la cybersécurité des instruments médicaux avant leur mise en marché, afin de protéger la sécurité des patients. Le nouveau guide décrit comment et quand mettre en œuvre des stratégies visant à réduire les risques possibles associés aux instruments médicaux qui contiennent des logiciels et des technologies permettant la communication avec des réseaux externes.
Ce guide complète les travaux qui sont en cours dans le cadre du Plan d’action de Santé Canada sur les instruments médicaux qui présente une stratégie en trois volets visant à améliorer davantage la façon dont les instruments médicaux sont mis sur le marché; à renforcer la surveillance et le suivi des appareils déjà utilisés; et à fournir aux Canadiens plus d’information sur les instruments médicaux sur lesquels ils comptent.
Liens connexes:
- Centre canadien pour la cybersécurité
- Avis de sécurité de Medtronic (en anglais seulement)
(Source: Santé Canada)