Article en vedette

Dispositifs médicaux et pourquoi la cybersécurité n'est pas négociable

Les autorités réglementaires s'attendent depuis longtemps à ce que les entreprises de matériel médical gèrent efficacement la cybersécurité de leurs produits.

Publié le:
12 septembre 2024

Cet article a été initialement publié en Nouvelle électronique.

À cette fin, la Food and Drug Administration (FDA) a publié en 2005 sa première directive sur la cybersécurité des instruments médicaux, qui porte principalement sur les dispositifs médicaux en réseau dotés d'un logiciel hors réseau.

Cependant, au fil des ans, les directives précommercialisation de la FDA ont considérablement évolué, passant d'un document de 9 pages en 2014 à une directive complète de 57 pages en 2023. Cette évolution démontre à elle seule l'importance croissante de la cybersécurité dans l'industrie des instruments médicaux.

La Loi consolidée des crédits de 2023 a toutefois transformé les recommandations traditionnellement informelles de la FDA sur la cybersécurité des dispositifs médicaux en exigences formelles et légales. Associé aux lignes directrices mises à jour de la FDA de 2023 sur la cybersécurité dans les matériels médicaux: considérations relatives au système qualité et contenu des présentations préalables à la commercialisation, ce développement signifie des normes accrues en cybersécurité des matériels médicaux. Ensemble, ces changements représentent une avancée importante dans le contexte réglementaire de la cybersécurité des instruments médicaux.

Assurer la sécurité des dispositifs médicaux

Comme le montrent les initiatives du monde entier, ces attentes ne sont pas exclusives aux États-Unis. Par exemple, la directive UE 2022/2555 sur la sécurité des réseaux et des systèmes d'information (NIS2) impose désormais aux fabricants de produits médicaux, y compris les produits chimiques, les produits pharmaceutiques et les dispositifs médicaux, de mettre en œuvre des mesures globales de gestion des risques de cybersécurité et de respecter les exigences de déclaration.

Ensuite, en Australie, la Therapeutic Goods Administration (TGA) a publié le Medical Device Cybersecurity Guidance for Industry 2022, qui prévoit une approche du cycle de vie total des produits (TPLC) en matière de cybersécurité. Cette approche exige que les fabricants intègrent les essais de pénétration, la modélisation des menaces et d'autres mesures proactives dans leur processus d'évaluation de la gestion des risques.

À Singapour, le Cybersecurity Eteignment Scheme for Medical Device s (CLS-MD) introduit un système de notation des dispositifs médicaux basé sur leurs dispositions de cybersécurité. Dans le cadre de ce système, les dispositifs médicaux sont évalués et étiquetés en fonction de leur robustesse en matière de cybersécurité, fournissant des informations précieuses au grand public et aux prestataires de soins de santé. Ce système d'étiquetage permet de prendre des décisions d'achat éclairées, ce qui permet aux intervenants d'identifier et de sélectionner des instruments médicaux répondant à des normes élevées de cybersécurité.

Ces initiatives mondiales reflètent un consensus international croissant sur l'importance de mesures de cybersécurité robustes dans l'industrie des matériels médicaux.

Les avantages de l'interconnexion ne sont pas sans faiblesses

Lorsqu'un appareil médical comprend un logiciel, surtout s'il peut se connecter électroniquement à d'autres appareils ou réseaux, il devient crucial de donner la priorité à la cybersécurité. L'interconnexion des dispositifs médicaux dans le paysage médical moderne, facilitée par des dispositifs médicaux intelligents grâce à des logiciels, et le passage à un Internet des objets (IoT) offre indéniablement l'avantage de soins pratiques et opportuns.

Par exemple, les patients avec des implants cardiaques peuvent être surveillés à distance, ce qui réduit le besoin de visites fréquentes chez le médecin. De même, de nouveaux outils de gestion du taux de sucre dans le sang permettent aux pompes à glucose et à l'insuline d'interagir de façon transparente. Les hôpitaux adoptent également des dispositifs plus interconnectés pour améliorer les soins et l'efficacité en partageant les données de façon transparente. Cependant, en même temps, cela rend les dispositifs médicaux plus vulnérables aux cyberattaques et aux atteintes à la sécurité en cas de liens faibles dans les systèmes de santé.

Les risques accrus proviennent d'acteurs malveillants ciblant les organismes de santé pour exploiter les dispositifs vulnérables, accéder aux dossiers des patients, perturber les opérations, demander des rançons ou infiltrer les réseaux. Par exemple, les dispositifs tels que les pompes à insuline, les stimulateurs cardiaques et les portables sont plus vulnérables en raison de leur suivi en temps réel des données du patient et de la transmission immédiate d'informations aux patients et aux médecins. Par conséquent, de solides mesures de cybersécurité sont essentielles pour protéger ces dispositifs critiques et assurer la sécurité des patients.

Conséquences pratiques pour les développeurs

Les lignes directrices et la portée de la cybersécurité de la FDA englobent un large éventail de fonctionnalités logicielles, y compris le stockage, le transfert et l'analyse des données. Tout appareil médical ou diagnostique doté d'un logiciel upgradable, d'un port USB ou même d'une technologie de disque compact est désormais classé comme un appareil connecté et relève de la nouvelle réglementation.

Tant la FDA que les principes de conception NCSC-Secure du Royaume-Uni soulignent l'importance des fabricants en tenant compte de l'écosystème plus large et de l'interconnexion des dispositifs.

Plutôt que de fonctionner isolément, les objectifs de sécurité devraient être intégrés à l'ensemble de l'architecture du système des dispositifs médicaux.

Les fabricants d'appareils médicaux (MDM) devraient effectuer une modélisation des menaces sur les appareils bien avant leur libération afin d'identifier rapidement les menaces et les vulnérabilités en matière de sécurité, de les évaluer et de les prioriser afin de s'assurer que les appareils sont sécurisés avant leur mise sur le marché. La création d'une liste hiérarchisée des principales préoccupations permet aux équipes de s'attaquer efficacement aux problèmes critiques et de les résoudre avant leur soumission. De plus, il établit un registre documenté des considérations de sécurité que les équipes peuvent systématiquement aborder dans les futures itérations.

Il est également important de s'attaquer aux problèmes systémiques afin d'éviter la nécessité de solutions singulières plus tard. Il peut s'agir de réviser les procédures opérationnelles normalisées, d'harmoniser le système de gestion de la qualité et d'élaborer des stratégies globales de sécurité couvrant l'ensemble du cycle de développement, en respectant les normes de cybersécurité et les exigences réglementaires.

En fin de compte, le non-respect des critères explicites fixés par la FDA pour les mesures de cybersécurité non seulement met la sécurité des patients en danger et compromet l'intégrité des données, mais pourrait aussi compromettre les délais d'entrée sur le marché, entraînant des pertes financières et des dommages à la réputation. De même, dans l'UE, les fabricants qui ne se conforment pas à l'Acte pour la cyberrésilience pourraient se traduire par une suppression du marché unique ou par des amendes substantielles comparables à celles prévues par le règlement général sur la protection des données (RGPD).

Afin d'atténuer les risques, la FDA recommande la mise en œuvre d'un programme d'évaluation des matériaux logiciels (SBOM) en tant qu'élément fondamental de la sécurité des logiciels et de la gestion de la chaîne d'approvisionnement. Le SBOM fournit une liste complète de tous les composants logiciels d'un appareil, permettant un suivi et une gestion efficaces des vulnérabilités.

Il est essentiel que les fabricants comprennent et s'alignent sur les exigences et les attentes en matière de cybersécurité dans les marchés cibles pour naviguer efficacement dans les paysages réglementaires et assurer la sécurité et l'intégrité de leurs appareils médicaux.

La prévention vaut mieux que la guérison

Il est important de noter que la cybersécurité ne devrait pas être un post-pensée mais devrait être tissée dans la fondation du développement des dispositifs médicaux.

La cybersécurité doit être une priorité dans toutes les facettes de l'entreprise, y compris l'affectation du budget, l'affectation des ressources, la formation, etc. Il ne s'agit pas seulement de respecter les règlements et d'éviter les sanctions; il s'agit de reconnaître que le véritable avantage des dispositifs avancés et interconnectés ne brillera que si les utilisateurs finaux peuvent faire confiance aux dispositifs qui sont si étroitement intégrés dans leur vie. Le logiciel derrière ces appareils, s'il n'est pas construit avec la cybersécurité à l'esprit, peut devenir vulnérable aux cybermenaces, exposant ainsi les patients qui comptent sur eux aux mêmes risques. Ça va à l'encontre du but.

Les questions systémiques doivent également être abordées lors de l'élaboration d'une stratégie de sécurité afin d'éviter les corrections ultérieures. Accorder l'importance voulue à ces processus permettra aux promoteurs de prévoir tout risque potentiel et de prendre des mesures correctives bien à l'avance, ce qui permettra d'éviter les problèmes de réputation, les pertes financières, les retards sur le marché et les problèmes de sécurité des patients.

Abonnez-vous à la newsletter
Abonnez-vous pour recevoir notre bulletin mensuel dans votre boîte de réception.
En vous inscrivant, vous acceptez notreConditions générales.
Je vous remercie! Votre soumission a été reçue!
Oups! Quelque chose a mal tourné en soumettant le formulaire.
Obtenez votre estimation instantanée
Compilation de dossiers assistée par IA et représentation locale, le tout pour un forfait annuel fixe.
Obtenir une estimation
Lire plus

Parlons,
N'importe où vous êtes.

Que vous cherchiez plus d'information ou que vous soyez prêt à travailler en partenariat avec nous, nous sommes là pour vous guider à chaque étape du processus réglementaire.

Contactez-nous