L'intégration des technologies de l'information avancées dans les dispositifs médicaux a transformé le secteur des soins de santé, entraînant des améliorations spectaculaires de l'efficience et de l'efficacité des soins de santé et des services connexes. Mais cette intégration a favorisé l'émergence d'un nouvel ensemble de défis pour les patients, les fournisseurs de soins de santé, les développeurs et les fabricants de dispositifs. Aujourd'hui, ce secteur est une cible importante pour les pirates informatiques et les cybercriminels, ce qui peut compromettre des données privées et confidentielles sur les soins de santé et mettre la sécurité et la santé des patients en danger.

Le renforcement de la sécurité des dispositifs médicaux connectés contre les cyberattaques est une responsabilité partagée par tous les acteurs de ce secteur, comprenant les fournisseurs de soins de santé, les fabricants et les autorités de réglementation. Ces dernières ont commencé à appliquer des exigences plus strictes en matière de cybersécurité à l'échelle mondiale.

Bien que la FDA des États-Unis ait publié des directives finales sur les attentes avant la mise en marché liées à la cybersécurité en 2014, le paysage en évolution rapide et la compréhension accrue des menaces et de leurs mesures d'atténuation potentielles exigeaient une approche actualisée. La FDA a été la première à publier, en octobre 2018, un nouveau projet de directives pour la gestion de la cybersécurité avant la commercialisation. Les lignes directrices de Santé Canada sur les exigences relatives à la cybersécurité des instruments médicaux avant leur mise en marché, publiées en juin 2019, et maintenant les lignes directrices de la TGA sur la cybersécurité des matériels médicaux pour l'industrie, publiées en juillet 2019, sont entrées en vigueur, mais celles de la FDA doivent encore être finalisées, ce qui devrait survenir en 2019.

Pour les besoins de cet article, nous examinerons la convergence des exigences de cybersécurité en matière de réglementation médicale avant la mise en marché pour l'Australie, le Canada et les États-Unis, tel que décrit dans les documents d'orientation ci-dessus. Cet article se concentre sur les sujets suivants :

• Portée des lignes directrices
• Exigences en matière de processus organisationnels
• Recommandations concernant les contrôles de sécurité et les capacités des produits
• L'utilisation des normes
• Renseignements à inclure dans les demandes préalables à la mise en marché

Portée des lignes directrices

Examinons la portée des documents d'orientation avant d'examiner les exigences individuelles en matière de cybersécurité.

Les directives de la FDA s'appliquent aux dispositifs médicaux et aux DIV qui contiennent un logiciel (y compris un micrologiciel) ou une logique programmable ainsi qu'un logiciel en tant que dispositif médical (SaMD / LIM) nécessitant des présentations avant la commercialisation. La FDA note également que les principes de cybersécurité pourraient également s'appliquer aux demandes d'exemption de dispositifs expérimentaux (Investigational Device Exemption - IDE) ainsi qu'aux dispositifs exemptés d'examen avant commercialisation.

Les lignes directrices de Santé Canada (SC) s'appliquent aux instruments médicaux et aux DIV qui sont constitués d'un logiciel ou qui contiennent un logiciel et qui sont réglementés à titre d'instruments médicaux (de classe I à classe IV) en vertu du Règlement sur les instruments médicaux du Canada. Les matériels médicaux des classes III et IV doivent faire l'objet d'un examen des preuves d'innocuité et d'efficacité soumises avant que leur demande d'homologation ne soit finalisée.

Les directives de la TGA (Therapeutics Goods Administration) de l'Australie s'appliquent à tous les dispositifs médicaux et les DIV qui contiennent un logiciel et un SaMD. Le niveau d'examen d'un dispositif par la TGA avant son inscription au registre australien des produits thérapeutiques (ARTG) dépend du risque posé par le dispositif. Bien que les dispositifs de classe I ne soient pas évalués par la TGA, pour toutes les catégories d'instruments médicaux, des preuves doivent être fournies à la demande de la TGA pour démontrer que le risque lié aux instruments médicaux, y compris le risque de cybersécurité, est géré par des cadres appropriés de gestion de la qualité et du risque.

Exigences en matière de processus organisationnels

Essentiellement, les trois autorités de réglementation cherchent maintenant à s'assurer que les fabricants ont intégré la cybersécurité dans leurs systèmes de gestion des risques et de la qualité, comprenant les processus du cycle de vie du développement logiciel. On s'attend à ce que la gestion du risque soit une activité continue qui devrait être considérée, contrôlée et documentée à toutes les étapes d'un instrument médical, de la conception initiale à la mise au point et aux essais, à l'autorisation de mise en marché, à l'utilisation après la mise en marché, à la fin de vie et à l'obsolescence.

Alors, qu'est-ce que cela signifie concrètement pour les fabricants ? Un fabricant devra examiner les systèmes existants et déterminer quels processus doivent être modifiés ou nouvellement établis pour tenir compte de la cybersécurité. Voici quelques considérations, pour n'en citer que quelques-unes :

• La responsabilité de la cybersécurité des produits a-t-elle été clairement définie au sein de l'organisation ?
• Les exigences relatives à la conception des produits comprennent-elles des exigences en matière de sécurité ?
• Les protocoles d'essai des logiciels comprennent-ils des activités de vérification et de validation pour assurer l'efficacité des contrôles de sécurité mis en œuvre ?
• Le processus de gestion des risques pour la sécurité a-t-il été modifié pour inclure également les risques pour la cybersécurité ?
• L'organisation fournit-elle un personnel adéquat et compétent en matière de cybersécurité ?
• L'organisation a-t-elle publié une politique de divulgation des vulnérabilités ?
• Les processus de surveillance après la mise en marché comprennent-ils la surveillance des vulnérabilités connues ?

Recommandations pour les contrôles et les capacités de sécurité

Un autre schéma commun est que les trois autorités de réglementation recommandent une série de contrôles de sécurité qu'un fabricant devrait envisager au début du cycle de vie du produit lorsque les exigences de conception sont élaborées, la FDA étant la plus spécifique. Pour de plus amples renseignements, voir la section 2.1.1 de la ligne directrice de SC, la section V du document directeur de la FDA et la section sur les considérations techniques de cybersécurité (Technical cyber security considerations) du document directeur de la TGA.

Il est acceptable de s'écarter de ces exigences de base si le fabricant peut fournir des justifications adéquates et fondées sur les risques. Les justifications pourraient être fondées sur des facteurs tels que l'utilisation prévue, l'environnement d'utilisation, le profil de risque et le type de dispositif.

Afin d'éviter de coûteux remaniements de produits ou des retards dans l'accès au marché dus à des solutions de conception inappropriées ou à des documents de cybersécurité, il est recommandé ce qui suit :

1. Déterminer les exigences réglementaires et standard en matière de cybersécurité en fonction des marchés cibles.
2. Déterminer les capacités souhaitées des produits de cybersécurité pour les clients qui dépassent les exigences réglementaires
3. Déterminer les contrôles / capacités de sécurité recommandés et les enregistrer dans le cadre des spécifications d'entrée de la conception
4. Établir un dossier de gestion des risques, par exemple selon ISO 14971 ou AAMI TIR57, contenant tous les risques, y compris les menaces à la cybersécurité, les risques et les mesures de contrôle des risques de cybersécurité. S'assurer que les mesures de contrôle des risques sont vérifiées et validées avec succès et que la traçabilité entre le risque, la mesure de contrôle et les activités de V&V est maintenue. Documenter les justifications fondées sur les risques pour (ne pas) mettre en œuvre l'un ou l'autre des contrôles de sécurité recommandés
5. Consulter les autorités de réglementation et les experts d'une tierce partie au début du cycle de vie de la conception afin de déterminer les contrôles de sécurité nécessaires, en cas de doute.
6. Élaborer le produit dans un environnement contrôlé, par exemple selon ISO 13485 et CEI 62304
7. Vérifier et valider les contrôles des risques de sécurité au moyen d'essais et d'examens fondés sur les normes recommandées et les pratiques exemplaires comme ANSI/CAN/UL 2900-1 et ANSI/CAN/UL 2900-2-1.
8. Compiler les rapports d'essais de cybersécurité et les classer dans le dossier de l'historique de conception ainsi que dans les dossiers d'autorisation précommercialisation avec le niveau de détails requis dans les documents d'orientation individuels.

L'utilisation des normes

Les trois autorités de réglementation recommandent une approche fondée sur des normes, bien que l'utilisation de normes ne soit pas obligatoire comme pour les documents d'orientation. Les dispositifs médicaux qui présentent des risques de cybersécurité sont très variables dans leurs composants et fonctionnent dans une variété d'environnements, ce qui donne lieu à de nombreuses normes pertinentes.

La FDA, Santé Canada et la TGA ont chacun publié une liste de normes et de documents directeurs qui ont été reconnus comme étant appropriés pour répondre aux exigences réglementaires en matière de cybersécurité des matériels médicaux.

Les documents importants suivants ont été reconnus dans les trois juridictions et aident les fabricants à aborder le processus de cybersécurité, la conception des produits et/ou les exigences de test :

• ISO 14971 pour l'application de la gestion des risques aux dispositifs médicaux
• AAMI TIR57 : principes pour la sécurité des dispositifs médicaux (gestion des risques)
• Série IEC 80001 : l'application de la gestion des risques pour les réseaux informatiques intégrant des dispositifs médicaux
• ANSI CAN UL 2900-1, Exigences générales pour la cybersécurité des logiciels
• ANSI/CAN/UL 2900-2-1, exigences particulières pour les composants à connexion réseau des systèmes de soins de santé
• ISO 13485, Conseil en système de gestion de la qualité
• IEC 62304 – Processus du cycle de vie des logiciels

Renseignements à inclure dans les demandes préalables à la mise en marché

La FDA et Santé Canada fournissent tous deux une liste très détaillée des renseignements à inclure dans les demandes d'homologation d'instruments médicaux à la FDA avant la mise en marché (voir la section VII) et les demandes d'homologation d'instruments médicaux à SC (voir la section 2.3). Le niveau de détail requis dépend parfois de la classe de risque du produit. Voici quelques exemples de renseignements que les autorités de réglementation évalueront pour les nouvelles présentations et demandes :

• Nomenclature des matériels de cybersécurité (CBOM)
• Antécédents de commercialisation en ce qui concerne les incidents liés à la cybersécurité (SC seulement)
• Dossier de gestion des risques de sécurité avec matrice de traçabilité
• Une liste des normes appliquées, en tout ou en partie, en matière de cybersécurité
• Preuves de tests de cybersécurité (p. ex. tests de vulnérabilité connus, tests de logiciels malveillants, tests d'entrée malformés / fuzzing, tests de pénétration, code source statique / analyse de code binaire, etc.)
• Plan de maintenance, p. ex. pour la vigilance après la mise en marché, les correctifs, les politiques de divulgation des vulnérabilités, etc.
• Documentation de conception démontrant que le dispositif est fiable, comprenant la documentation des caractéristiques de conception de la section V des lignes directrices de la FDA ainsi que les diagrammes du système (FDA seulement).

La TGA ne décrit pas explicitement le type d'information qui doit être présenté dans le cadre du processus d'examen avant commercialisation. Les fabricants doivent cependant démontrer qu'ils se conforment aux principes essentiels. Les principes essentiels exigent que le fabricant réduise au minimum les risques associés à la conception, à la sécurité à long terme et à l'utilisation du dispositif, ce qui comprend implicitement la minimisation des risques de cybersécurité. Comme nous l'avons déjà mentionné, il est recommandé d'adopter une approche fondée sur des normes comme moyen de démontrer la conformité aux principes essentiels. Veuillez vous reporter aux tableaux 1 et 2 de la ligne directrice pour plus de détails.

Conclusion

En résumé, il est encourageant de constater que les autorités de réglementation appliquent maintenant des exigences plus strictes en matière de cybersécurité afin de rendre les dispositifs médicaux plus sûrs tout en permettant une approche fondée sur les risques. Les lignes directrices de la TGA s'alignent étroitement sur les approches réglementaires élaborées par la FDA et Santé Canada, fondées sur les principes du cycle de vie complet du produit pour la gestion du risque et de la qualité. La convergence des exigences en matière de cybersécurité de la TGA avec les directives provisoires de la FDA des États-Unis avant la mise en marché et les directives finales après la mise en marché sur la gestion des risques liés à la cybersécurité et avec les directives de Santé Canada en matière de cybersécurité finalisées en juin 2019 montrent une réponse réglementaire de plus en plus harmonisée aux nouveaux risques et menaces à la cybersécurité dans les environnements de santé connectés.

Marco Deuschler est responsable du développement commercial dans le service Santé numérique des Sciences de la Vie et de la Santé d'UL, qui se concentre sur la cybersécurité, l'interopérabilité et la confidentialité des données.

Autres ressources Emergo by UL pour la cybersécurité des dispositifs médicaux :

• Conseil pour la cybersécurité des dispositifs médicaux de la FDA des États-Unis
• Assistance à la Gestion des risques liés à la cybersécurité et la fourniture
• Séminaire web : Aligner les normes de cybersécurité aux directives de la FDA