La Food and Drug Administration des États-Unis recommande un effort accru après commercialisation pour la gestion des risques liés à la cybersécurité pour certains dispositifs médicaux et produits logiciels.

Une nouvelle directive préliminaire de l'autorité de réglementation reconnaît les limites/insuffisances de la gestion des risques liés à la cybersécurité avant la commercialisation, soulignant ainsi que les fabricants de dispositifs qui utilisent un logiciel ou micrologiciel ou qui contiennent une programmation logique, ou d'un logiciel qui fonctionne comme un dispositif médical, doivent aborder de manière plus approfondie ces risques une fois que leurs produits sont entrés sur le marché US. Bien entendu, les efforts des entreprises pour la gestion des risques en matière de cybersécurité doivent également se conformer aux exigences 21 CFR Part 820 du système qualité.

Six composants critiques pour la gestion des risques en matière de cybersécurité​

La directive identifie six éléments essentiels de ce que la FDA considère comme un programme de gestion des risques cybersécuritaires adéquat :

• La surveillance des sources de données cybersécuritaires pour détecter toute vulnérabilité
• L'évaluation de l'impact de toute vulnérabilité d'un dispositif
• La mise en place de processus pour gérer les vulnérabilités
• La définition de la performance clinique essentielle d'un dispositif pour atténuer les risques en matière de cybersécurité
• L'établissement d'une politique de divulgation de vulnérabilités coordonnée
• La mise en place de pratiques d'atténuation pour faire face aux risques cybersécuritaires avant que les vulnérabilités ne soient exploitées

En outre, la FDA recommande aux fabricants de concevoir leurs programmes de gestion des risques cybersécuritaires en intégrant des éléments du cadre pour l'amélioration de la cyberscurité du NIST, un cadre plus large du gouvernement fédéral américain conçu pour aborder les questions de cybersécurité au sein des infrastructures critiques.

 « Performance clinique essentielle » est défini

L'expression « performance clinique essentielle » utilisée dans la directive a trait au fonctionnement nécessaire d'un dispositif pour éviter tout risque clinique inacceptable tel que défini par le fabricant de l'appareil.

La FDA indique que les fabricants devraient définir la performance clinique essentielle de leur dispositif dans le cadre de leurs programmes étendus de gestion des risques cybersécuritaires, et cartographier les résultats possibles si cette performance est compromise.

Évaluation de l'exploitabilité et de la gravité​

Selon la directive, les processus de gestion des risques devraient évaluer l'exploitabilité des vulnérabilités des dispositifs en matière de cybersécurité ainsi que le niveau de gravité que toute exploitation d'une vulnérabilité aurait sur la santé des patients.

Bien que la FDA juge les approches de gestion des risques pour les dispositifs médicaux classiques comme « acceptables » pour évaluer l'exploitabilité des vulnérabilités en matière de cybersécurité, l'agence recommande l'utilisation d'outils plus spécifiques tels que le Common Vulnerability Scoring System développé par le Forum of Incident Response and Security Teams (forum regroupant les équipes de sécurité et de réponse aux incidents) afin de déterminer plus efficacement les exploitations possibles des vulnérabilités d'un dispositif.

Lors de l'évaluation de la gravité de l'impact sur la santé, les fabricants devraient utiliser la série de niveaux de gravité qualitative énoncée dans la norme ISO 14971 : 2007 / (R) 2010, Dispositifs médicaux — application de la gestion des risques aux dispositifs médicaux.  

Suivre les évolutions​

Cette nouvelle directive illustre l'avis le plus récent de la FDA sur la façon de traiter les risques de cybersécurité, mais ne devrait pas être considérée comme définitive. Les dispositifs médicaux en réseau et basés sur des logiciels continuent à se révéler comme « un objectif mobile » pour les régulateurs du marché des dispositifs médicaux, de sorte que les responsables de la FDA et du CDRH continueront sans aucun doute à affiner et, si nécessaire, redéfinir ce qu'ils considèrent comme des approches adaptées de la gestion du risque dans ce secteur en constante évolution.

Emergo propose d'autres informations à ce sujet, comprenant un livre blanc sur les normes des logiciels des dispositifs médicaux et un tableau sur le processus réglementaire pour l'enregistrement des dispositifs médicaux auprès de la FDA des États-Unis.