La cybersécurité dans les dispositifs médicaux : enjeux et impacts

Dans le cadre de l’option TIS 5 « Dispositifs Médicaux Intelligents et Innovants », les étudiant·es ont travaillé sur un sujet lié à la matière "normes et réglementation des dispositifs médicaux ». Cette année, c’est le thème de la cybersécurité qui a été choisi.

L’essor de la connectivité au sein de ce domaine en fait la cible d’attaques pirates. Il devient donc nécessaire de mettre en place des actions afin de protéger les informations médicales sensibles. Tout d'abord, l'article examine le contexte dans lequel la cybersécurité des dispositifs médicaux évolue pour ensuite expliciter les différentes réglementations qui s'y rapportent. Les réglementations strictes de la FDA aux États-Unis et de l'Union européenne imposent des normes aux fabricants, soulignant la nécessité d'une compréhension approfondie de ces directives pour assurer la conformité. Les réglementations spécifiques aux États-Unis et à l'Union Européenne sont détaillées, avec une mise en avant des normes telles que l'EN ISO 14971 et la série de normes IEC 62443.

Cet article explore également les références internationales, notamment les contributions de l'International Medical Device Regulators Forum (IMDRF) et du Medical Device Coordination Group (MDCG) de l'UE.  Diverses conséquences sont mises en évidence, notamment les critères cruciaux de cybersécurité, tels que la disponibilité, la confidentialité, l'intégrité et l'auditabilité, évalués selon les recommandations de l'Agence Nationale de Sécurité du Médicament et des produits de santé (ANSM). Les bonnes pratiques organisées en différentes phases, de la conception à la fin de vie, offrent des directives concrètes pour minimiser les risques. L'impact de la cybersécurité sur la gestion des risques est exploré avec la norme ISO 14971, adaptée pour inclure les dispositifs médicaux connectés.

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) propose la méthode EBIOS, une approche en plusieurs étapes pour une gestion des risques adaptée aux dispositifs médicaux et aux risques informatiques. La dernière partie de cet article met en avant la nécessité d'une surveillance continue dans le domaine de la cybersécurité en santé. Le gouvernement français, à travers l'ANSSI, propose des solutions pour la cybersécurité en santé avec une stratégie nationale basée sur la collaboration avec les groupements hospitaliers de territoires.