Écrit par Stewart Eisenhart

LES POINTS PRINCIPAUX PAR EMERGO :

• La pression des autorités étasuniennes de réglementation et des groupements d'achat de matériel médical pour prouver des capacités de chiffrement adéquates augmente.
• La conformité à la norme FIPS 140-2 (Federal Information Publications Standard) permet aux fabricants de présenter des outils de chiffrement adéquats pour leurs dispositifs.
• La conformité à la norme FIPS 140-2 est mieux traitée au début de la phase de conception des dispositifs médicaux.

Alors que les vulnérabilités en matière de cybersécurité deviennent une préoccupation de plus en plus urgente pour l'industrie des dispositifs médicaux, les exigences relatives au chiffrement apparaissent comme un outil essentiel pour répondre à ces préoccupations. Aux États-Unis, la conformité à la norme FIPS 140-2 peut aider les fabricants de dispositifs et de logiciels connectés en réseau à démontrer des capacités de chiffrement capables de protéger les données des patients et des utilisateurs.

Nous abordons ici plusieurs questions courantes sur le rôle de la FIPS 140-2 et des pratiques de chiffrement associées dans les démarches pour gérer la cybersécurité des entreprises de dispositifs médicaux.

Le chiffrement

Tout d'abord, le chiffrement est généralement défini comme une transformation secrète des données en utilisant une clé de chiffrement pour convertir des données lisibles en une forme illisible ; le chiffrement dissimule les données afin d'éviter leur exposition, leur vol ou leur mauvaise utilisation.

Comment le chiffrement s'applique-t-il aux dispositifs médicaux ?

Dans le domaine des dispositifs médicaux, le chiffrement est nécessaire pour protéger la vie privée et la sécurité des patients. À cette fin, la FDA américaine a publié des directives relatives à la cybersécurité avant et après la mise sur le marché des dispositifs médicaux qui recommandent l'utilisation du chiffrement pour assurer la sécurité des transmissions de données à destination et en provenance des dispositifs en réseau.

Qu'est-ce que la norme FIPS 140-2 ?

La norme FIPS 140-2 est une norme fédérale (des États-Unis) pour la publication d'informations publiée par le National Institute of Science and Technology (NIST) ; elle définit spécifiquement la qualité du chiffrement et énonce les exigences relatives à la mise en œuvre des capacités de chiffrement dans les dispositifs et autres produits. Ces exigences visent à garantir la protection des données lorsque l'appareil est au repos et lorsque les données sont reçues ou envoyées par celui-ci.

Quand la conformité FIPS 140-2 est-elle nécessaire pour les  dispositifs médicaux ?

Pour un fabricant de DM, la conformité à la norme FIPS 140-2 serait une façon de démontrer les capacités de chiffrement requises par de nombreux acheteurs, comme les hôpitaux et les cliniques. À titre d'exemple, la Veterans Health Administration (VA) des États-Unis, exige la conformité FIPS 140-2 pour tous les appareils et logiciels médicaux qui transmettent des données par le biais de technologies sans fil. Étant donné que la VA est l'un des plus gros acheteurs de produits de santé aux États-Unis, la conformité à la norme FIPS 140-2 n'est pas facultative pour tout fabricant ou développeur de dispositifs qui cherche à commercer avec la VA.

Entreprises : les points importants à prendre en compte quant à la FIPS 140-2

Les fabricants d'instruments médicaux qui souhaitent se conformer à la norme FIPS 140-2 devraient tenir compte des facteurs suivants :

• Les entreprises devraient appliquer la norme dès le début de la phase de conception de leurs dispositifs afin de s'assurer que tous les composants utilisés pour le chiffrement répondent aux exigences de qualité et de performance appropriées.
• Un fabricant peut devoir tenir compte de caractéristiques de conception spécifiques, tels que les preuves d'altération/falsification du dispositif qui sont indépendantes des composants de chiffrement logiciel ou matériel du produit.
• Comme la norme CEI 60601, la conformité à la norme FIPS 140-2 est plus difficile et coûteuse à ajouter à un dispositif une fois que sa conception est terminée, et devrait être prise en compte dès le début de la phase de conception d'un dispositif.

Comment la FDA étasunienne aborde-t-elle la conformité FIPS 140-2 et le chiffrement des dispositifs médicaux ?

Bien que les autorités de réglementation étasuniennes n'exigent pas encore la conformité à la norme FIPS 140-2 pour les titulaires d'homologation pour appareils sans fil ou en réseau, les entreprises devraient s'attendre à ce que la FDA accorde plus d'attention à ces questions à mesure que la cybersécurité prend de plus en plus d'importance.

« La FDA a écrit plusieurs lettres d'information complémentaire (AI, Additional Information) en réponse aux nouvelles demandes d'avis préalables à la mise en marché 510 (k) pour les produits connectés en réseau, qui demandent plus de données sur la qualité et la sécurité des logiciels des demandeurs », explique Laura Élan, chef de pratique, santé numérique et cybersécurité chez UL.  

Elle ajoute que de plus en plus de groupements d'achat des hôpitaux et d'autres grands fournisseurs de soins de santé demandent des preuves détaillées que les fabricants s'intéressent à la sécurité, y compris les capacités de chiffrement, dans leurs offres.

D'autres ressources Emergo sur la règlementation et la cybersécurité :

• Appui en cybersécurité pour les logiciels et les dispositifs médicaux connectés 
• Conseil en conformité des réseaux sans fil pour les entreprises de dispositifs médicaux 
• Assistance à la conception, aux procédures et à la validation de logiciels de dispositifs médicaux 
• Séminaire Web : Aligner les normes de cybersécurité aux directives de la FDA