LES POINTS PRINCIPAUX PAR EMERGO :

• Une nouvelle législation déposée à la Chambre des représentants des États-Unis lancerait un groupe de travail dirigé par la FDA pour élaborer des stratégies visant à atténuer les risques en matière de cybersécurité dans le domaine des technologies médicales.
• Elle s'inspire des recommandations émises par le Groupe de travail sur la cybersécurité dans l'industrie des soins de santé plus tôt en 2017.
• Si elle est adoptée par l'ensemble du Congrès, la législation exigerait que le groupe de travail dirigé par la FDA produise un rapport sur ses démarches dans un délai de 18 mois.

La Chambre des représentants a adopté une nouvelle législation étasunienne visant à créer un groupe de travail dirigé par la Food and Drug Administration pour améliorer les mesures de cybersécurité dans le domaine des technologies médicales.

L'Internet of Medical Things Resilience Partnership Act chargerait la FDA et d'autres organismes gouvernementaux, universitaires et industriels d'élaborer des recommandations et des lignes directrices visant à renforcer la cybersécurité et la résilience des dispositifs médicaux en réseau dans les 18 mois suivant l'adoption de la loi par l'ensemble du Congrès. Le projet de loi semble tenir compte des recommandations récemment publiées par le Health Care Industry Cybersecurity (HCIC) Task Force, un groupe de travail formé par le Congrès pour identifier les principales vulnérabilités du système de santé étasunien et comment atténuer les cyber-menaces.

Membres proposés du groupe de travail

Le projet de loi proposé s'appuierait sur la FDA en tant qu'organisation principale du groupe de travail, en étroite consultation avec le National Institute of Standards and Technology (NIST). Parmi les autres membres du groupe représentant le gouvernement fédéral, mentionnons le Center for Devices and Radiological Health (CDRH) de la FDA, le Bureau du coordonnateur national des technologies de l'information sur la santé, le Bureau de la recherche technologique de la Federal Trade Commission et la Cybersecurity and Communications Reliability Division de la Federal Communications Commission.

En outre, le commissaire de la FDA serait chargé de nommer des représentants du secteur privé au sein du groupe de travail, issus de secteurs tels que les fabricants de dispositifs médicaux, les fournisseurs de soins de santé, les assureurs, les fournisseurs de technologies de l'information sur la santé et les développeurs impliqués dans les applications médicales mobiles, le cloud computing et les réseaux sans fil.

Ce que le rapport du groupe de travail devrait comprendre

Selon le projet de loi, le rapport final du groupe de travail devrait inclure les recommandations suivantes :

• Déterminer quelles normes, cadres et pratiques exemplaires en matière de cybersécurité actuellement disponibles conviennent pour remédier aux vulnérabilités des dispositifs médicaux et des technologies.
• Les normes et pratiques étasuniennes et internationales en matière de cybersécurité actuellement en vigueur ou en cours d'élaboration et qui peuvent atténuer les vulnérabilités.
• Identifier les lacunes hautement prioritaires qui nécessitent des normes de cybersécurité nouvelles ou actualisées
• Plans d'action visant à réduire correctement ces écarts hautement prioritaires

Recommandations du Groupe de travail sur la cybersécurité dans l'industrie des soins de santé             

Comment ce nouveau projet de loi s'harmonise-t-il avec les recommandations du Groupe de travail du HCIC publiées plus tôt en 2017 ?  

Établi par la loi Cybersecurity Act de 2015, le Groupe de travail HCIC a identifié plusieurs domaines critiques qui doivent être abordés afin de réduire la grande vulnérabilité du système de santé du pays aux cyber-menaces :

• Définir le leadership, la gouvernance et les attentes des industries des dispositifs médicaux et de la santé en termes de gestion des efforts de cybersécurité
• Accroître la sécurité et la résilience des dispositifs médicaux ainsi que les technologies et réseaux de santé
• Renforcer la capacité des personnels de santé à améliorer la sensibilisation et le savoir-faire technique en matière de cybersécurité
• Accroître la sensibilisation et l'éducation en matière de cybersécurité parmi les participants du secteur des soins de santé
• Trouver des moyens d'améliorer la protection de la recherche et du développement ainsi que de la propriété intellectuelle contre les cyberattaques ou l'exposition
• Renforcer le partage d'informations sur les menaces, les vulnérabilités et les mesures d'atténuation dans le secteur de la santé

Les propositions de la loi sur l'Internet of Medical Things Resilience Partnership Act visant à former un groupe de travail composé d'organismes de réglementation et de représentants de l'industrie semblent cadrer avec les efforts du Groupe de travail du HCIC en vue d'une collaboration plus étroite entre les secteurs public et privé. Toutefois, le rapport du Groupe de travail HCIC comprend des recommandations et des mesures d'action très détaillées pour améliorer les pratiques en matière de cybersécurité ; dans l'hypothèse où il sera adopté, le groupe de travail de la Loi formulera-t-il des recommandations qui s'inspireront de celles déjà émises par le Groupe de travail, ou se contenteront-ils de les répéter ?

Anura Fernando, ingénieure municipale principale de l'interopérabilité et la sécurité des systèmes médicaux chez UL et membre du Groupe de travail du HCIC, affirme qu'une législation plus rapide comme l'Internet of Medical Things Resilience Partnership Act peut remédier aux vulnérabilités actuelles en matière de cybersécurité des soins de santé.

« Ayant eu le privilège d'être membre du Groupe de travail, j'espère qu'une loi comme celle-ci pourra contribuer à établir rapidement des partenariats public-privé qui répondent aux besoins de l'industrie en matière de gouvernance de la cybersécurité, à offrir des solutions pour assurer la convergence des dispositifs médicaux et des technologies de l'information dans le domaine de la santé et à élargir la base d'intervenants pour le partage de l'information afin d'améliorer la sensibilisation et la préparation à la cybersécurité dans ce secteur », indique A. Fernando.

D'autres ressources Emergo en règlementation et cybersécurité aux États-Unis :

• Appui et conseil pour la conformité en matière de cybersécurité des DM
• Conseil en conformité réseau sans fil pour les entreprises de dispositifs médicaux 
• Consulting FDA des États-Unis pour les entreprises d'équipement médical et de DIV 
• Séminaire web : Correspondance des normes de cybersécurité par rapport aux directives de la FDA sur les dispositifs médicaux
• Livre blanc : obligations FDA en matière de cybersécurité des dispositifs médicaux