Si la mise sur le marché des dispositifs médicaux est bien encadrée d’un point de vue réglementaire, la culture de la cybersécurité est très hétérogène au sein des fabricants de DM

C'est en ces termes que l'Agence nationale du médicament et des produits de santé (ANSM) dresse un état des lieux de la lutte contre les malveillances informatiques par les fabricants de « dispositifs médicaux intégrant du logiciel » (DMIL). 

Des « lacunes » que l'agence explique de plusieurs manières : manque de connaissance sur les exigences en termes de cybersécurité, absence d’intégration de ces exigences dans les processus de conception et de développement du DM, et inexistence de recommandations dédiées précisément à la cybersécurité informatique...  

Dont acte pour l'ANSM. Celle-ci corrige le tir en publiant une série de « bonnes pratiques », à destination des fabricants de DMIL bien entendu, mais aussi des utilisateurs, des établissements de santé et des patients... En somme, pour toutes les « parties prenantes » ayant une « responsabilité conjointe ». 

Car l’enjeu est majeur. Avec des DM toujours plus connectés (via le wifi, le Bluetooth, etc.), les « nouvelles menaces engendrées par les progrès technologiques » sont réelles. Les industriels du DM devront entreprendre des démarches de sécurisation de leurs produits afin d’anticiper et bloquer ces menaces. 

Quatre critères de cybersécurité

Les recommandations de l’ANSM doivent permettre aux industriels de respecter les objectifs généraux à atteindre dans le domaine de la cybersécurité, tels que définis par le Référentiel général de sécurité (RGS), à savoir :

  • La disponibilité, c'est-à-dire la « faculté d’un système à rendre un service dans des conditions prédéterminées d’exploitation et de maintenance, tout en respectant des critères de performance et droit de réponse »
  • La confidentialité : consistant à restreindre les accès en lecture aux seules personnes autorisées à connaître l’information
  • L'intégrité. Les données ne peuvent être modifiées, altérées ou supprimées de façon « illégitime »

À ces « trois lois de la cybersécurité », l’ANSM ajoute « l’auditabilité  », c'est-à-dire la capacité d’un système à garantir l’enregistrement et la traçabilité des opérations effectuées, afin de répondre le cas échéant à des actions de contrôle et d’investigation.

Une double approche 

La norme ISO 14971 détermine les modalités d’application de la gestion des risques pour les DM. Pour les fabricants de DM, l’enjeu est d’effectuer une analyse de risques alliant deux approches :

  • l’analyse de risques liée aux systèmes d’information ;
  • et celle liée aux DM telle que déterminée par la norme ISO 14971 (le bien doit répondre aux exigences de sûreté et de performance tout au long du cycle de vie du produit).

En d’autres mot, l’analyse de risques « classique » devra insérer des critères de cybersécurité tout au long du cycle de vie du produit.

Il est à noter que les recommandations de l’ANSM découlent de cette analyse de risques. Elle sont classées en fonction du cycle de vie du produit, de la conception du logiciel jusqu'à la fin de vie du DMIL.

 

Comprendre les enjeux de la cybersécurité des DM

Vous évoluez au sein d'une entreprise de DM incluant des logiciels ? Face aux risques patients, impossible désormais de faire l'impasse sur la cybercriminalité.

Obligations réglementaires, normes, référentiels, risques potentiels, sécurisation des dispositifs médicaux, méthodologie pour transposer la réglementation son organisation de travail... Tous les aspects de la lutte contre la malveillance informatique sont abordés dans la formation Dispositif médical et cybersécurité : comprendre les enjeux et maîtriser les risques.