LES POINTS PRINCIPAUX PAR EMERGO :

• Pour être efficace, la gestion des risques en matière de cybersécurité doit impliquer les fabricants, les autorités de règlementation et les utilisateurs finaux.
• Comprendre l'intégration d'un dispositif au sein d'un réseau plus large lié à la santé permet une meilleure compréhension des vulnérabilités de cybersécurité.
• Les établissements de santé les plus petits, disposant de moins de ressources, restent largement mal desservis en ce qui concerne les outils de gestion des risques liés à la cybersécurité pour les technologies et les dispositifs médicaux.

L'efficacité des efforts en cours pour répondre aux risques cybersécuritaires dépendra de l'équilibre que trouveront les parties concernées entre la sécurité, la sûreté et la facilité d'utilisation, ainsi que de la compréhension des environnements utilisateurs, selon les intervenants du nouvel atelier organisé par la Food and Drug Administration étasunienne.

Le 1er jour de l'atelier FDA sur la Cybersecurité des dispositifs médicaux : analyse des lacunes dans le domaine règlementaire, a vu intervenir des animateurs qui ont illustré collectivement comment seuls les efforts concertés et coordonnés des fabricants, des fournisseurs de soins de santé et d'autres utilisateurs finaux et des autorités de réglementation permettront d'atténuer adéquatement les menaces de la cybersécurité (la récente attaque du ransomware WannaCry sur les systèmes de soins de santé dans le monde n'a fait qu'accroître l'importance du sujet de l'atelier, avec les réseaux hospitaliers, certains dispositifs médicaux de fabricants tels que Siemens et Bayer auraient également été touchés par le virus).

Les hôpitaux : des microcosmes du risque cybersécuritaire

Un point clé, que plusieurs intervenants du 1er jour de l'atelier ont souligné, est que l'atténuation collective du risque cybersécuritaire doit prendre place chez les fabricants, qui conçoivent et produisent des dispositifs et des réseaux de santé, où ces dispositifs ne sont pas seulement utilisés dans des cas thérapeutiques mais également intégrés dans des réseaux avec d'autres dispositifs et technologies, aussi en interaction avec d'autres composants de réseau.

« Si vous avez vu un hôpital, vous n'avez vu qu'un seul hôpital » disent Penny Chase et Steve Christey Coley, respectivement ingénieur en technologie de l'information et cybersécurité et ingénieur principal de la sécurité de l'information, chez MITRE Corporation. En ce qui concerne les parties prenantes, chercheurs, fabricants, hôpitaux, patients et régulateurs, le défi pour chacun des intervenants est d'atténuer le risque de cybersécurité de manière ce que cela fonctionne pour tous les autres acteurs, selon Chase et Christey Coley.

Kevin McDonald, directeur de la sécurité de l'information clinique à la clinique Mayo, a insisté sur le fait que tout réseau unique de dispositifs et de technologies interconnectés, d'une seule structure médicale, présente des défis en termes de sécurité. Dans le cas de la clinique Mayo, McDonald a déclaré que les dispositifs médicaux sont le maillon le plus faible pour la sécurité : Mayo dispose d'environ 25 000 appareils connectés, dont plusieurs présentent leurs propres défis de sécurité pour le réseau plus large de la clinique.

McDonald supervise une équipe de sécurité informatique pour gérer les correctifs, les mises à jour et le remplacement des dispositifs lorsque nécessaire. La clinique utilise maintenant une procédure d'intégration puissante pour tout nouveau dispositif ajouté à son réseau. Mais, note McDonald, les ressources de la plupart des établissements de santé ne sont pas aussi spécialisées et étendues, ce qui rend leurs démarches pour atténuer les risques plus difficiles.

Adapter les outils de gestion en matière de risque cybersécuritaire afin que les établissements les plus petits puissent réellement les utiliser est quelquechose qui reste à faire, selon Todd Carpenter, ingénieur en chef chez Adventium Labs.

Selon Carpenter, 80 % des hôpitaux et cliniques des États-Unis emploient 50 personnes ou moins, il ajoute que la plupart de ces établissements n'ont aucun personnel dédié à la sécurité, ou une équipe très réduite. « Nous attendons toujours des solutions pouvant être utilisées par ces établissements. »

Sécuriser les dispositifs : des défis inhérents

L'analogie du maillon faible utilisée par McDonald de la clinique Mayo pour décrire les dispositifs médicaux illustre les défis majeurs auxquels font face les fabricants en essayant de développer des produits sécurisés capables de fonctionner correctement dans divers environnements de santé.

Ken Hoyme, directeur de la sécurité des systèmes d'ingénierie et des produits chez Boston Scientific, a relevé plusieurs obstacles importants que les fabricants ainsi que leurs clients devraient garder à l'esprit pour atténuer ou éviter les vulnérabilités informatiques, notamment :

• Modularité : votre solution sécuritaire est-elle trop complexe à utiliser pour de petits établissements — c'est-à-dire la plupart d'entre eux ?
• Ressources utilisées : quel logiciel ou contenu de tiers utilisez-vous, et cela présente-t-il un problème en matière de sécurité ?
• « Composabilité » : pouvez-vous concevoir un système sûr et sécurisé à partir de composants non sûrs et non sécurisés ? Également, les appareils individuels sont conçus, examinés et autorisés ou approuvés indépendamment, comment évaluez-vous la sûreté et la sécurité d'un dispositif qui fonctionne en s'intégrant dans un réseau plus large de dispositifs ?

K. Hoyme a également affirmé que l'utilisation répandue de logiciels commerciaux et de systèmes d'exploitation avec des cycles de vie de trois à sept ans pour soutenir des dispositifs médicaux qui ont généralement des cycles de vie de 10 à 15 ans présente un risque de sécurité majeur ; les fabricants devraient plutôt intégrer des systèmes d'exploitation à plus long terme pour leurs produits afin de réduire le besoin de mises à jour et de correctifs.

D'autres compte-rendus d'Emergo sur cet atelier sont en préparation.

Services et renseignements connexes par Emergo :

• Services conseil FDA des États-Unis pour les entreprises d'équipement médical et de DIV
• Conseil en gestion des risques ISO 14971 pour les dispositifs médicaux
• Livre blanc : obligations FDA en matière de cybersécurité des dispositifs médicaux