L’Internet des objets dans le secteur de la santé est en plein essor. Un hôpital typique possède des centaines d’appareils connectés, allant des implants, des appareils portables, des moniteurs, du flux de travail et de l’imagerie aux systèmes de données des patients. Mais alors que ces appareils aident les prestataires de soins de santé à automatiser les flux de travail et à réduire le risque d’erreur, les vulnérabilités de sécurité courantes trouvées dans ces appareils mettent également en danger les patients.
Le FBI a averti en septembre que plus de la moitié des dispositifs médicaux connectés dans les hôpitaux présentaient des vulnérabilités de sécurité critiques, et ces failles entraînent une recrudescence des attaques contre le secteur de la santé.
Cette augmentation des vulnérabilités a également conduit à une réglementation accrue. Après des retards alimentés par le COVID, la Food and Drug Administration des États-Unis a publié cette année des mises à jour de ses directives de cybersécurité avant et après commercialisation, décrivant des recommandations liées à la conception et à la maintenance des dispositifs médicaux.
« C’est à ce moment-là que nous avons commencé à voir les fabricants d’appareils vraiment commencer à apporter des changements », a déclaré Mike Kijewski, fondateur et PDG de MedCrypt, un fabricant de logiciels de cybersécurité pour les appareils médicaux basé à San Diego. Avant de fonder MedCrypt, Kijewski était le fondateur de Gamma Basics, une startup logicielle axée sur la radio-oncologie.
MedCrypt est un diplômé de Y Combinator qui fournit des logiciels pour tout ce que la FDA considérerait comme un dispositif médical où la cybersécurité pourrait être un problème, des pompes à insuline et des moniteurs de fréquence cardiaque aux outils de radiologie basés sur l’IA et aux robots autonomes. Ces appareils souffrent tous de trois problèmes communs, explique Kijewski à TechCrunch : des logiciels obsolètes, l’authentification des utilisateurs et un manque de bonne cryptographie.
« Historiquement, les entreprises de soins de santé supposaient que, eh bien, si mon appareil fonctionne à l’intérieur d’un hôpital, nous pouvons faire confiance aux personnes à l’intérieur de l’hôpital, et si un méchant entre à l’hôpital, alors ce n’est pas notre problème », a déclaré Kijewski. « Ainsi, ils utiliseraient le même nom d’utilisateur et le même mot de passe pour chaque appareil expédié. »
MedCrypt a annoncé cette semaine avoir levé 25 millions de dollars en financement de série B, dirigé par Intuitive Ventures et Johnson & Johnson Innovation, pour aider les fabricants d’appareils à répondre à ces exigences de la FDA afin de commercialiser plus rapidement les appareils critiques. L’investissement intervient trois ans après avoir levé 5,3 millions de dollars en financement de série A, un écart qui, selon la startup, a été causé par l’incertitude créée par la pandémie de COVID-19.
« Il y avait un écart de 12 à 18 mois dans la progression du marché comme nous l’avions prévu, mais maintenant nous sommes de retour sur la bonne voie », a déclaré Kijewski.
MedCrypt travaille avec la plupart des principaux fabricants de dispositifs médicaux et affirme que son dernier investissement – également soutenu par Section 32, Eniac Ventures, Anzu Partners et Dolby Family Ventures – l’aidera à renforcer à la fois son produit et son équipe pour se mettre entre les mains de même Suite.
Cependant, le but ultime de MedCrypt est bien plus grand. « Je pense qu’il y a une opportunité pour qu’il y ait une très grande société de cybersécurité spécifique aux soins de santé cotée en bourse », a déclaré Kijewski. « Je veux être celui qui construit cette entreprise. »