Secure by Design : Développement de dispositifs médicaux cybersécurisés

Les dispositifs médicaux sont de plus en plus connectés à d’autres dispositifs, à Internet ou aux réseaux hospitaliers pour remplir des fonctions qui améliorent les soins de santé et les options de traitement. Selon les estimations, un dispositif médical sur quatre est déjà connecté à Internet ou au réseau hospitalier. En 2017, ils totalisaient environ 337 millions, avec un taux de croissance annuel composé (TCAC) attendu de 20,8 % jusqu’en 2030, y compris les applications de santé numérique. Leur développement est guidé par la loi allemande sur la santé numérique (DVG) et des initiatives similaires à travers l’Europe. ¹ Les applications de santé numérique jouent un rôle de plus en plus important dans les soins de santé, avec environ 200 nouvelles applications de santé ajoutées chaque jour aux magasins d’applications. ²

Cependant, la connectivité augmente également le risque de menaces potentielles de cybersécurité. Chaque appareil médical connecté ou appareil faisant partie de l’Internet des objets médicaux (IoMT) est une cible potentielle pour les cyberattaques qui peuvent compromettre la sécurité des patients ou des utilisateurs ou divulguer des données de santé hautement sensibles. Par exemple, Amnesty International a découvert une faiblesse critique dans la configuration de l’application de recherche de contacts EHTERAZ utilisée par le Qatar pour ralentir la propagation du COVID-19. En exploitant cette vulnérabilité, les cybercriminels auraient pu accéder aux informations personnelles hautement sensibles de plus d’un million d’utilisateurs, notamment leurs noms, leurs identifiants nationaux, leur état de santé et leurs données de localisation. ³ Heureusement, cette faille de sécurité a été rapidement corrigée.

Dans une récente enquête, quatre fabricants de dispositifs médicaux sur cinq ont déclaré avoir été la cible d’au moins une cyberattaque en 2019. ⁴ Outre les risques pour la santé et les sanctions élevées en cas d’éventuelles violations de la protection des données, les cyberattaques réussies ou les failles de sécurité qui deviennent publiques peuvent également nuire à la réputation des fabricants. Des entités telles que l’Institut fédéral allemand des médicaments et des dispositifs médicaux (BfArM), le Centre national d’intégration de la cybersécurité et des communications (NCCIC) des États-Unis et la Food and Drug Administration (FDA) des États-Unis fournissent des informations détaillées sur les risques de sécurité connus dans les dispositifs médicaux et nomment le produit ainsi que le fabricant. ⁵ Une fois perdue, la confiance est difficile à regagner, en particulier dans des domaines très sensibles tels que les soins de santé.

La gestion des risques de cybersécurité est obligatoire

Le sujet est de plus en plus abordé par les principaux organismes de réglementation du monde entier, tels que l’Agence de l’Union européenne pour la cybersécurité (ENISA) et la FDA. La principale exigence de tous les principaux actes législatifs et documents d’orientation est la mise en œuvre d’un processus de gestion des risques de sécurité et d’une approche « sécurisée dès la conception ». De plus, les fabricants de dispositifs médicaux sont tenus de rester vigilants pour identifier tous les risques et dangers associés à leurs dispositifs médicaux, y compris les risques liés à la cybersécurité. Compte tenu de cela, la cybersécurité est plus qu’un simple facteur de coût dans le développement de dispositifs médicaux – c’est un élément essentiel d’un dispositif médical sûr, sécurisé et conforme et une pierre angulaire du succès commercial.

Cependant, de nombreux fabricants et développeurs manquent d’expérience dans le développement de produits logiciels dans un environnement de marché hautement réglementé. Pour aggraver les choses, il n’y a pas de directives claires sur la façon d’assurer la sécurité dès la conception dans les dispositifs médicaux et d’adopter les normes actuelles. Différents ensembles de réglementations et de normes avec des exigences qui ne se chevauchent que partiellement augmentent encore la complexité.

La portée des normes actuelles

Le règlement (UE) 2017/745, également connu sous le nom de règlement sur les dispositifs médicaux (MDR), fournit le cadre réglementaire pour tous les acteurs du marché des dispositifs médicaux. Remplaçant les directives 93/42/CEE et 90/385/CEE précédemment en vigueur, le MDR est devenu applicable le 26 mai 2021 dans les États membres de l’Union européenne ainsi qu’en Norvège, en Islande et au Liechtenstein. Le MDR classe les dispositifs médicaux (y compris les logiciels) en fonction de leur destination médicale et du risque associé et exige que tous les dispositifs soient enregistrés dans une base de données sur les dispositifs médicaux (Eudamed). Les fabricants d’appareils des classes de risque Is, Im, Ir et supérieures sont soumis à la surveillance d’organismes notifiés.

L’accès au marché en Europe exige le respect des exigences générales de sécurité et de performance définies à l’annexe I. Contrairement aux directives modifiées ou abrogées par le MDR, le règlement définit plusieurs exigences en matière de cybersécurité. L’utilisation de normes et de spécifications communes garantit que toutes les exigences sont satisfaites. Le rapport technique récemment publié IEC TR 60601-4-5:2021 (« Appareils électromédicaux – Partie 4-5 : Orientations et interprétation – Spécifications techniques de sécurité liées à la sécurité ») définit les exigences de sécurité pour les dispositifs médicaux, y compris les logiciels autonomes en tant que dispositif médical.

Pour approbation aux États-Unis, la FDA publie ses propres directives, par exemple « Gestion post-commercialisation de la cybersécurité dans les dispositifs médicaux », qui fournit des conseils utiles sur les aspects post-commercialisation de la cybersécurité et est donc une lecture incontournable non seulement pour les fabricants ciblant les États Unis. De plus, la FDA publie des normes consensuelles volontaires pour lesquelles elle acceptera une déclaration de conformité. ⁶

Garder un œil sur l’ensemble du cycle de vie

Le MDR nécessite un développement « selon l’état de l’art » en tenant compte de la sécurité informatique et de la définition de mesures de sécurité pour se protéger contre des aspects tels que l’accès non autorisé (Annexe I 17.2 et 17.4) [7]. Cela implique également la mise en place d’une gestion des risques de sécurité. Le document d’orientation utile MDCG 2019-16 précise en outre la mise en œuvre d’un processus de gestion des risques de sécurité. ⁸ La nouvelle édition de la norme de gestion des risques ISO 14971:2019 peut être appliquée pour gérer les risques associés à la sécurité des données et des systèmes. Cependant, selon les auteurs de la norme, la gestion des risques de sécurité des dispositifs médicaux ne nécessite pas de processus distinct. Ceci est conforme aux informations contenues dans les directives du MDCG.

De nouvelles vulnérabilités sont généralement découvertes après la mise sur le marché du dispositif médical. Par conséquent, la gestion des risques doit couvrir l’ensemble du cycle de vie, jusqu’à et y compris le déclassement du dispositif médical. Les exigences spécifiquement mentionnées dans le guide comprennent la surveillance post-commercialisation, la réponse aux incidents et un processus de résolution de problèmes.

À l’heure actuelle, il n’existe pas de normes spécifiques régissant un cycle de vie sécurisé des dispositifs médicaux. Cependant, la norme IEC 81001-5-1:2020 (« Sûreté, efficacité et sécurité des logiciels de santé et des systèmes informatiques de santé – Sécurité – Activités dans le cycle de vie du produit ») devrait être publiée au troisième trimestre 2021 et suit l’approche définie dans la série de normes IEC 62443 qui est largement acceptée dans l’industrie.

Sommaire

Le développement de dispositifs médicaux connectés et pilotés par logiciel ou de logiciels médicaux autonomes doit prendre en compte la cybersécurité dès les premières étapes de la conception et du développement. Ceci est nécessaire, requis et obligatoire pour l’accès au marché en Europe, aux États-Unis et sur d’autres marchés clés. Les normes et directives pertinentes existent déjà ou sont en cours d’élaboration. Les aspects clés pour assurer la « défense en profondeur » sont les processus de gestion des risques de cybersécurité et les processus de cycle de vie sécurisés. Le principal moyen de vérification et de validation de la sécurité est le test, avec des méthodes possibles telles que l’analyse des vulnérabilités, les tests de pénétration et le fuzzing du système. Les preuves objectives de la sécurité d’un dispositif médical et de son efficacité doivent faire partie du dossier technique qui est soumis aux régulateurs ou aux organismes notifiés dans le cadre du processus de certification.

Les références

1. IHS Markit, L’Internet des objets : un mouvement, pas un marché, e-paper, consulté le 14/06/2021 : https://cdn.ihs.com/www/pdf/IoT_ebook.pdf
2. Institut IQVIA pour la science des données humaines : La valeur croissante de la santé numérique, consulté le 21/06/2021 : https://www.iqvia.com/insights/the-iqvia-institute/reports/the-growing-value-of-digital-health
3. Amnesty International, Qatar : une faille de sécurité de l’application de recherche des contacts a révélé des données personnelles sensibles de plus d’un million, consulté le 14/06/2021 : https://www.amnesty.org/en/latest/news/2020/05/qatar-covid19-contact-tracing-app-security-flaw/
4. Irdeto, Enquête mondiale sur la cybersécurité des industries connectées. Les cyberattaques IoT sont la norme – l’état d’esprit de la sécurité ne l’est pas, consulté le 14/06/2021 : https://go.irdeto.com/connected-industries-cybersecurity-survey-report/
5. Bundesinstitut für Arzneimittel und Medizinprodukte, Cybersicherheit von Medizinprodukten, consulté le 14/06/2021 : https://www.bfarm.de/DE/Medizinprodukte/RisikoerfassungUndBewertung/Cybersicherheit/kundeninfos_cybersicherheit_node.html
6. FDA Center for Devices and Radiological Health, Postmarket Management of Cybersecurity in Medical Devices, décembre 2016 : https://www.fda.gov/regulatory-information/search-fda-guidance-documents/postmarket-management-cybersecurity-medical- dispositifs
7. Règlement (UE) 2017/745 sur les dispositifs médicaux, annexe I.17. Systèmes électroniques programmables — dispositifs qui incorporent des systèmes électroniques programmables et des logiciels qui sont des dispositifs en eux-mêmes, consulté le 15/06/2021 : https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32017R0745
8. MDCG 2019-16, Guide sur la cybersécurité pour les dispositifs médicaux, consulté le 15/06/2021 : https://ec.europa.eu/docsroom/documents/41863