Medtech doit être «proactif» en matière de cybersécurité, déclare un expert de BD

Les cyberattaques se multiplient, y compris dans le domaine de la santé. Les cyberattaques dans les soins de santé aux États-Unis ont augmenté de plus de 55% en 2020, a rapporté Magazine CPO, une publication axée sur la cybersécurité, la protection des données et la confidentialité.

Les entreprises de dispositifs médicaux peuvent aider les acteurs de la santé à gérer les risques de telles attaques en identifiant les vulnérabilités potentielles du système et en discutant des stratégies de protection. Pour promouvoir la cybersécurité, BD (Becton, Dickinson and Company) est récemment devenue la première entreprise de technologie médicale autorisée en tant qu’autorité de numérotation des vulnérabilités et expositions communes (CVE) par le programme CVE. MD+DI a demandé à Rob Suárez, directeur de la sécurité de l’information pour BD, quelques questions sur la numérotation CVE et pourquoi la cybersécurité est importante aujourd’hui.

Suárez est un professionnel de la cybersécurité et de la confidentialité dans le secteur des dispositifs médicaux et des technologies de l’information dans le domaine de la santé. Chez BD, il occupe le poste de directeur de la sécurité de l’information et supervise la cybersécurité dans l’ensemble des systèmes d’entreprise, informatiques et de fabrication de l’entreprise. Suárez préside actuellement le comité directeur sur la cybersécurité pour le consortium d’innovation des dispositifs médicaux et le groupe de travail sur la cybersécurité pour AdvaMed. Il a également été l’un des trois dirigeants à coprésider le groupe de travail sur la gestion des risques de cybersécurité du Conseil de coordination du secteur de la santé publique et de la santé publique (HSCC), qui a publié le Plan de sécurité conjoint (JSP) pour les dispositifs médicaux et les technologies de l’information dans le domaine de la santé. 2019.

La cybersécurité est-elle une préoccupation croissante pour les entreprises de dispositifs médicaux, et si oui, pourquoi ?

Suárez : Absolument. BD fait progresser le monde de la santé en améliorant les découvertes médicales, les diagnostics et la prestation des soins et a joué un rôle déterminant dans la lutte contre le COVID-19. Nous pensons qu’il y a un patient à la fin de tout ce que nous faisons, c’est pourquoi nous intégrons la cybersécurité à chaque phase du cycle de vie de nos produits, de la R&D à l’assistance à l’utilisation de nos produits. Dans le monde d’aujourd’hui, les soins de santé sont la cible numéro un pour de nombreux cybercriminels. Avec COVID-19, les cyberattaques dans le secteur de la santé ont augmenté à un rythme sans précédent, les acteurs de la menace utilisant des techniques plus sophistiquées, des attaques de phishing aux ransomwares. Notre travail ne consiste pas seulement à protéger les systèmes et les données, mais également à protéger la sécurité et la confidentialité des patients.

Nous comprenons que BD a été parmi les premières entreprises de technologie médicale à développer un programme mature de divulgation coordonnée des vulnérabilités et qu’en 2020, l’entreprise a lancé le BD Cybersecurity Trust Center. Pourquoi BD adopte-t-il une position si proactive en matière de cybersécurité ?

Suárez : Pour BD, être transparent sur les vulnérabilités potentielles est essentiel car les clients ne peuvent pas protéger ce qu’ils ne connaissent pas. Nous avons lancé le BD Cybersecurity Trust Center pour offrir de manière proactive aux clients une source unique de contenu BD sur la cybersécurité. Lorsque des vulnérabilités de cybersécurité apparaissent, que ce soit dans nos produits ou dans des composants tiers, nous fournissons des conseils afin que les clients puissent gérer correctement les risques potentiels.

Comment les développeurs de logiciels médicaux gèrent-ils généralement la numérotation des vulnérabilités et expositions communes (CVE), et pourquoi l’autorité de numérotation CVE (CNA) est-elle importante pour BD ?

Suárez : Nous travaillons en étroite collaboration avec la Cybersecurity & Infrastructure Security Agency (CISA) du département américain de la Sécurité intérieure et la Food and Drug Administration (FDA) des États-Unis pour coordonner les divulgations de vulnérabilités et améliorer la sensibilisation. Avant de devenir une autorité de numérotation CVE, CISA Industrial Control Systems (ICS) attribuait des numéros d’identification CVE aux vulnérabilités des produits BD. En tant qu’autorité de numérotation CVE, BD a désormais le pouvoir d’utiliser le système Common Weakness Enumeration (CWE) pour classer les types de vulnérabilité. En outre, nous continuerons d’appliquer le Common Vulnerability Scoring System (CVSS) pour communiquer les caractéristiques et la gravité des vulnérabilités des produits BD. De plus, lors de la publication de divulgations coordonnées, nous continuerons à travailler en étroite collaboration avec la CISA et la FDA pour l’alignement et la transparence avant de publier les informations sur le BD Cybersecurity Trust Center et de les partager avec des organisations telles que le Health and Information Sharing Analysis Center (H-ISAC). Devenir une autorité de numérotation CVE démontre l’engagement de BD envers la cybersécurité dans les dispositifs médicaux et montre la confiance du secteur dans les pratiques de cybersécurité de BD. De plus, cette reconnaissance fournit une vérification indépendante de nos processus CVD, offrant une assurance supplémentaire aux clients que BD communique de manière complète et rapide les vulnérabilités.

Quels conseils en matière de cybersécurité BD a-t-il pour les autres entreprises de dispositifs médicaux ?

Suárez : En tant que fabricants de dispositifs médicaux, nous avons un rôle essentiel à jouer dans la protection de l’infrastructure des soins de santé dans le monde. Pour garantir que nos produits sont utilisés en toute sécurité, nous devons être proactifs dans le partage d’informations sur les dernières menaces émergentes, les nouvelles vulnérabilités de nos technologies et ce que nos parties prenantes peuvent faire pour se protéger. C’est pourquoi nous devons éliminer la stigmatisation liée aux vulnérabilités, afin que les clients puissent disposer des informations dont ils ont besoin pour gérer correctement les risques grâce à la sensibilisation et aux conseils.

Pouvez-vous partager quelques points importants de votre premier rapport annuel sur la cybersécurité ?

Suárez : BD s’engage à faire ce qui est juste alors que nous poursuivons notre cheminement vers l’avancement de la cybersécurité dans le secteur de la santé. Nous publions un rapport annuel sur la cybersécurité pour informer les parties prenantes de nos pratiques en matière de cybersécurité et de notre engagement avec les groupes de travail sur la cybersécurité dans les soins de santé. De nouvelles menaces de cybersécurité émergent quotidiennement, et dans l’ensemble de l’industrie, nous avons constaté une augmentation des menaces liées au travail à distance, aux vulnérabilités de la chaîne d’approvisionnement logicielle et à l’augmentation des attaques de ransomware. Pour protéger les clients et les patients, nous devons créer une communauté de pratique, où nous travaillons tous ensemble pour faire progresser la maturité en matière de cybersécurité. Il est également important pour les prestataires de soins de santé de savoir quelles initiatives rechercher et prioriser lorsqu’ils confient à un fabricant de dispositifs médicaux la sécurité et la confidentialité des patients. Des politiques et normes matures aux solides processus de gestion des vulnérabilités et des incidents et aux validations par des tiers, nous visons à nous associer à nos clients pour faire progresser la cybersécurité des dispositifs médicaux.