Les progrès de la médecine sur le plan du diagnostic, du traitement ou du déploiement des traitements évoluent rapidement chaque jour. Même se rendre au cabinet d'un médecin pour une visite de soins urgents de routine évolue pour permettre aux patients d'accéder aux soins par télémédecine depuis le confort de leur domicile. Les méthodes de traitement des patients au cabinet d'un médecin, aux urgences, dans un centre chirurgical ou dans tout autre établissement de soins de santé font l'objet d'innovations constantes.

Par exemple : un équipement d'imagerie qui permet à un technicien en radiologie de partager des images avec un radiologiste en temps réel vers un appareil intelligent ou un ordinateur personnel ; la capacité d'extraire des données de dosage précises pour une pompe à perfusion directement du cloud ; ou l'introduction de la robotique dans un environnement chirurgical. Ce sont là autant d'exemples de la façon dont la technologie a permis aux cliniciens de traiter les patients de manière plus efficiente et efficace dans l'espoir d'obtenir des résultats encore meilleurs.

Innovation et cyber-risque

Tout ça a l'air fantastique, non ? Quel pourrait être l'inconvénient de toute cette innovation ? Beaucoup de lecteurs voient probablement déjà où cette question mène. La réponse est que toutes ces grandes innovations ont entraîné un risque accru de cyberattaque contre les réseaux de dispositifs médicaux et d'organismes de prestation de soins de santé (OSS), tout en introduisant potentiellement de nouveaux risques pour la sécurité des patients. Le risque en matière de cybersécurité est un défi qui doit être relevé par les fabricants de dispositifs médicaux, les OSS et les acteurs réglementaires, et c'est le cas.

Pour l'objet de cet article, nous examinerons le rôle que jouent les autorités de réglementation, en particulier la FDA des États-Unis, en matière de cybersécurité, et les effets que cela a sur les processus de soumission de développement de produits pour les fabricants de dispositifs qui veulent mettre sur le marché des produits connectés ou dotés de logiciels. À partir de 2014, avec la première version des directives avant commercialisation pour la gestion de la cybersécurité, puis avec la dernière version de ces directives publiée en octobre 2018, la FDA a expliqué comment elle allait évaluer les dispositifs médicaux connectés ou utilisant des logiciels.

Principaux critères FDA en matière de cybersécurité

Pour l'essentiel, les critères d'évaluation décrits dans les documents guides de la FDA comportent quatre concepts principaux :

• Processus organisationnels
• Approche fondée sur les risques;
• Confiance en la fiabilité
• Fonctionnement en toute sécurité

Alors, que signifient concrètement chacun de ces concepts pour les fabricants, et quelles sont les considérations qu'ils pourraient vouloir suivre ? Si vous regardez simplement, les deux premiers éléments sont des critères très axés sur les processus, tandis que les deux derniers portent sur des critères vérifiables pour évaluer si les contrôles de risque d'un fabricant sont mis en œuvre efficacement tout au long du processus de conception.

1. Processus organisationnels

• Quelqu'un au niveau de la direction (RSSI, directeur technique, agent de la sécurité des produits) a-t-il été chargé de veiller à ce qu'il y ait une culture de prise en compte de la cybersécurité tout au long du cycle de vie des produits ?
• Le concept de prise en compte des risques liés à la cybersécurité a-t-il été intégré dans les modes opératoires normalisés du système de gestion de la qualité, et des dispositions ont-elles été prises pour en assurer l'exécution ?

2. Approche fondée sur les risques;

• A-t-on établi un cadre de gestion des risques liés aux produits pour faire face au risque de cybersécurité, depuis la conception jusqu'au lancement du produit ? Peut-être s'appuyer sur l'analyse des risques en matière de sécurité existante.
• A-t-on élaboré des modèles de menace pour évaluer les façons dont un mauvais acteur peut vouloir attaquer votre dispositif ? Intégrez-vous ensuite cette information dans votre modèle de risque ?

3. Confiance en la fiabilité

• Évaluez-vous la composition de votre logiciel tout au long du processus de développement afin de mieux comprendre les vulnérabilités et les faiblesses potentielles qui peuvent exister ?
• Comment intégrez-vous cette information dans votre modèle de risque afin d'assurer au mieux la fiabilité et la résilience du dispositif ?

4. Fonctionnement en toute sécurité

• Intégrez-vous et testez-vous de façon adéquate les mesures de contrôle des risques qui ont été mises en place afin de démontrer l'assurance de sécurité ?

Ayant aidé de nombreux fabricants et concepteurs à évaluer et à atténuer les risques, nous avons rencontré des organisations de différents niveaux de maturité en matière de cybersécurité. On nous demande souvent quelles sont les ressources dont les organisations peuvent tirer parti pour mieux s'attaquer aux quatre piliers soulignés dans la directive guide d'avant commercialisation.

• Une approche fondée sur des normes est recommandée, et la FDA a reconnu des normes telles que UL 2900-1, UL 2900-2-1, et AAMI TIR57, pour n'en nommer que quelques-unes.
• Récemment, le Conseil de coordination du secteur des soins de santé a lancé un plan de sécurité conjoint dans le cadre d'une approche dirigée par le secteur pour accroître la maturité professionnelle globale en matière de cybersécurité.

Toutes les normes susmentionnées sont des ressources précieuses dont les organisations peuvent tirer parti à n'importe quel stade de la maturité de la cybersécurité au niveau des produits.

Essentiellement, la FDA et d'autres autorités de réglementation cherchent maintenant à s'assurer que les fabricants ont tenu compte des risques liés à la cybersécurité tout au long du cycle de développement des produits et ont intégré des stratégies pour atténuer ces risques. La prise en compte des risques liés à la cybersécurité dès les premières étapes du développement d'un produit et tout au long de son cycle de vie permet de réaliser des gains d'efficacité et de rentabilité bien supérieurs à ceux réalisés plus tard dans le processus de développement. D'après notre expérience, cette approche permettra aux fabricants d'être mieux préparés et de mettre leurs produits sur le marché plus rapidement.

Christopher Beeman est Directeur du développement des affaires du service Santé et Santé numérique des Sciences de la Vie d'UL.

Ressources Emergo by UL pour la règlementation des dispositifs médicaux numériques :

• Consulting en critères de cybersécurité de la FDA étasunienne pour les entreprises de dispositifs médicaux et de SaMD (LIM)
• Assistance à la Gestion des risques liés à la cybersécurité et la fourniture
• Séminaire web : Aligner les normes de cybersécurité UL 2900 aux directives de la FDA