Demander une démo
Demander une démo
Demander une démo
oodrive-blog
Cybersécurité

Cybersécurité « by design » des dispositifs médicaux : l’ANSM lance un projet de recommandations

20 août 2019
6min
Sommaire
    Partager l’article sur :

    Assurer la cybersécurité des dispostifs médicaux dès leur développement

    Vol de données de santé, piratages d’implants connectés, ransomwares contre des hôpitaux… Les menaces qui pèsent sur le secteur médical sont nombreuses. Les conséquences d’une attaque informatique sur un hôpital peuvent être lourdes. Pour assurer la sécurité des données de santé et des patients, il faut intégrer la cybersécurité dans les dispositifs médicaux (DM), dès leur conception. C’est ce que recommande l’Agence nationale de sécurité du médicament et des produits de santé (ANSM).

    La cybersécurité, enjeu majeur du secteur de la santé

    Pompes à insuline ou à perfusion, pacemakers, prothèses, implants… il existe de très nombreux dispositifs médicaux. Et ils sont de plus en plus souvent connectés aujourd’hui. La cybersécurité est donc devenue un enjeu majeur pour tout le secteur de la santé. Avoir accès aux données de santé représente une véritable mine d‘or pour les hackers. Elles sont parmi celles qui valent le plus cher sur le darknet.

    D’après une étude menée par Fortinet, les hôpitaux américains auraient su 32 000 attaques par jour en 2017 contre 14300 en moyenne dans les autres secteurs de l’industrie. « La donnée de santé a de la valeur. Un dossier médical, sur le marché noir, se vend autour des 20-30 dollars. Un hôpital de province, en France, peut héberger 200 00 dossiers, soit 2 à 3 millions à la revente », a expliqué Vincent Trély, président de l’association pour la sécurité des systèmes d’information santé (APSSIS).

    La santé 2.0

    Des études ont montré qu’un hôpital américain possède en moyenne 15 objets « intelligents » par chambre. Il s’agit par exemple de pompes à perfusions ou de systèmes de surveillance de l’état des patients. Et les risques liés à l’utilisation de ces objets ne se limitent pas à l’enceinte des établissements de santé. En effet, les patients rentrent chez eux avec des appareils connectés tels que des pacemakers ou défibrillateurs connectés. Un rapport de 2017 avait identifié jusqu’à 1400 vulnérabilités dans un seul implant connecté.

    Ces vulnérabilités peuvent être extrêmement dangereuses pour la santé des patients. Bien qu’aucun incident n’ait été rapporté jusqu’à aujourd’hui, les chercheurs affirment qu’il est possible de délivrer une décharge fatale à un pacemaker, de fausser les résultats d’un moniteur cardiaque ou encore de modifier le dosage d’une pompe à insuline.

    Protéger les biens et les données de santé

    Dans le secteur de la santé, la protection des biens et des données est une nécessité. En effet, l’exploitation d’une vulnérabilité peut avoir des conséquences néfastes jusqu’à impacter directement la sécurité des soins et la santé des patients. En 2017, la ransomware WannaCry a touché des milliers d’entreprises à travers le monde.

    A l’époque, les systèmes informatiques de plusieurs hôpitaux du service national de santé britannique (National Health Service) ont été touchés. Conséquences : des milliers d’opérations ont dues être reportées, les réseaux téléphoniques ont été paralysés, ainsi que des services d’imagerie à rayons X. Afin d’assurer un service minimum, le personnel hospitalier avait été contraint de revenir aux supports papier.

    Imposer le « security by design » pour les dispositifs médicaux

    Le 19 juillet 2019, l’ANSM a lancé un projet de recommandation pour la cybersécurité des dispositifs médicaux. A destination des fabricants de dispositifs médicaux intégrant du logiciel, ce projet doit permettre la prise en compte de la cybersécurité lors du développement des produits. L’objectif est de réduire au maximum le risque d’attaque informatique.

    Le projet de recommandation lancé par l’ANSM fait suite aux travaux menés par l’Agence sur la cybersécurité des DM qui avaient abouti en 2017 à la création d’un comité d’experts spécialisé dans la cybersécurité. L’année 2017 a également permis une revue en profondeur de la réglementation relative aux dispositifs médicaux. Deux nouveaux règlements ont vu le jour : l’un concerne les dispositifs médicaux et le second les dispositifs médicaux de diagnostic in vitro. Ils entreront en vigueur respectivement le 26 mai 2020 et le 26 mai 2022.

    L’article 2.1 du nouveau règlement DM définit le dispositif médical comme « tout instrument, appareil, équipement, logiciel, implant, réactif, matière ou autre article, destiné par le fabricant à être utilisé, seul ou en association, chez l’homme pour l’une ou plusieurs des fins médicales précises suivantes :

    • Diagnostic, prévention, contrôle, prédiction, pronostic, traitement ou atténuation d’une maladie.
    • Diagnostic, contrôle, traitement, atténuation d’une blessure ou d’un handicap ou compensation de ceux-ci.
    • Investigation, remplacement ou modification d’une structure ou fonction anatomique ou d’un processus ou l’état physiologique ou pathologique.
    • Communication d’informations au moyen d’un examen in vitro d’échantillons provenant du corps humain, y compris les dons d’organes, de sang et de tissus et dont l’action principale voulue dans ou sur le corps humain n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens.

    Faire face aux nouvelles menaces associées aux nouvelles technologies

    Pour l’ANSM, la mise sur le marché des dispositifs médicaux est bien encadrée d’un point de vue réglementaire. En revanche, l’organisme estime que la culture de la cybersécurité est encore très hétérogène chez les fabricants de ces produits. « Si les dispositifs médicaux intégrant du logiciel sont de plus en plus connectés (wifi, radiofréquence, bluetooth, etc), ils devront faire face aux nouvelles menaces engendrées par les progrès technologiques notamment dans le domaine des malveillances informatiques », a indiqué l’ANSM.

    Qu’est-ce qu’in dispositif médical connecté ? Il s’agit d’un dispositif connecté directement ou à distance à un système d’information de santé. Il est composé de matériel (serveurs, périphériques, dispositifs électroniques spécifiques), de logiciels et de données (fichiers, bases de données, etc). il s’inscrit fans une activité de production de soins en réalisant des fonctions de traitement médical, d’analyse médicale, de surveillance médicale, de diagnostic ou de supervision.

    Prévenir toutes les attaques malveillantes

    Le projet de recommandation a été rédigé afin de permettre aux fabricants de dispositifs médicaux de prendre les mesures nécessaires pour prévenir toute attaque malveillante à l’encontre de leurs DM et ainsi empêcher la compromission des données et l’utilisation détournées des DM qu’ils mettent sur le marché. Les recommandations sont divisées en 5 grands axes basés sur le cycle de vie du logiciel (conception, développement, distribution et mise en service, post-market, fin de vie). Le projet de recommandation est soumis à consultation publique jusqu’au 30 septembre 2019.

     

    Partager l’article sur :
    Articles en relation
    Youtube

    Produits

    Essai gratuit

    La signature électronique

    La collaboration sécurisée

    La gestion de réunion de gouvernance

    Solutions par secteur

    Solutions par département

    A propos

    Ressources

    © Oodrive 2023 - Tous droits réservés

    Twitter Youtube

    © Oodrive 2022 - All rights reserved

    Twitter Youtube
    popup-newsletter
    vague-newsletter
    Inscription à la newsletter

    Abonnez-vous pour recevoir toutes les actualités autour du numérique de confiance

    PAR SECTEUR
    PAR EQUIPE
    Solutions
    INFRASTRUCTURE
    SERVICES
    Demander une démo
    This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.