2017年 5月 29日
LES POINTS PRINCIPAUX PAR EMERGO :
Cet atelier de la FDA des États-Unis sur les problèmes de cybersécurité des dispositifs médicaux, qui s'est tenu les 18 et 19 mai 2017, a clairement confirmé les très nombreux défis de l'atténuation des risques dans ce domaine, et indiqué qu'il n'existe pas encore d'outil rapide et facile pour aider les constructeurs et les autres acteurs à y faire face.
Cela dit, certains intervenants de cet atelier ont évoqué des projets en développement, à court et à plus long terme, qui pourraient aller plus loin que les efforts actuels de correction et fournir des garanties de cybersécurité plus robustes et plus globales. Avec, présente à l'esprit des participants à l'atelier, la récente attaque du ransomware WannaCry sur des systèmes de santé dans de nombreux pays, la nécessité de tels projets existants était vive et avérée.
Le projet ISOSCELES (pour Intrinsically Secure, Open, and Safe Control of Essential Layers), est développé par Adventium Labs à Minneapolis, dans le Minnesota, sous l'initiative du Département américain de la sécurité intérieure pour accélérer les progrès en cybersécurité des technologies et systèmes critiques.
Todd carpenter, ingénieur en chef chez Adventium Labs, a présenté ISOSCELES lors de l'atelier, le projet vise à lancer une plateforme pour les dispositifs médicaux qui leur permettra de répondre à toutes les exigences FDA applicables, règlementaires et en matière de sécurité, et que les fabricants peuvent incorporer dans leur conception propriétaire individuelle.
T. Carpenter a expliqué qu'un aspect essentiel d'ISOSCELES serait de fournir une couche de séparation entre les fonctions principales, liées à la santé, d'un dispositif médical et ses composants lui permettant de fonctionner en réseau avec d'autres dispositifs et systèmes.
Une autre direction potentiellement intéressante pour la cybersécurité des dispositifs médicaux a été présentée par Penny Chase, ingénieur en technologie de l'information et cybersécurité, et Steve Christey Coley, ingénieur principal de la sécurité de l'information chez MITRE Corporation.
P. Chase et S. Christey Coley ont expliqué comment utiliser le système d'évaluation de la vulnérabilité par score, le CVSS (pour Common Vulnerability Scoring System), un cadre développé par le Forum des équipes d'intervention et de sécurité des incidents (FIRST) pour identifier la gravité des risques logiciels. Selon le personnel de MITRE, en utilisant le CVSS les fabricants et les professionnels de la santé pourront établir des priorités dans les vulnérabilités et les risques cybersécuritaires qui les attendent et déterminer lesquels sont les plus importants à atténuer.
L'avantage important apporté aux professionnels par le CVSS, selon P. Chase et S. Christey Coley, sera la possibilité aux praticiens et professionnels de santé de les classer et d'agir sur les problèmes de sécurité en fonction du niveau de risque que chaque problème pose aux utilisateurs et patients. Cette approche plus nuancée devrait contribuer à réduire l'impact des menaces cybersécuritaires sans affecter les fonctions médicales des dispositifs.
Les développements d'ISOSCELES et du CVSS sont en cours ; toutefois, malgré le fait que la maîtrise des risques cybersécuritaires vise une cible bougeant constamment, le caractère plus complet de ces projets devrait fournir des moyens plus efficaces aux fabricants, aux professionnels de la santé, aux autorités et aux patients, pour combattre ce problème en évolution perpétuelle.