2019年 9月 14日
Pour les concepteurs de produits de santé et de technologies de dispositifs médicaux, assurer un soutien efficace à la conformité en matière de cybersécurité devient une étape clé pour obtenir l'approbation réglementaire et l'accès au marché.
Les cyber-attaques ne font plus la une des journaux, mais font désormais partie du quotidien de nombreuses entreprises, y compris les hôpitaux. Cependant, pour de nombreuses équipes de développement de produits, concevoir des produits avec la sécurité à l'esprit est un défi nouveau et intimidant, et lorsqu'on y ajoute les défis liés à la façon dont les approches peuvent être perçues par les autorités de réglementation, les préoccupations augmentent encore davantage.
En 1997, la FDA étasunienne a officiellement commencé à examiner le rôle des logiciels dans la sécurité et l'efficacité des dispositifs médicaux. En 2008, d'importants investissements ont commencé à être réalisés, non seulement aux États-Unis, mais dans le monde entier, pour créer de nouvelles technologies qui réduiraient les coûts des soins de santé et les rendraient plus facilement accessibles à la population croissante, où la proportion de personnes âgées souffrant de maladies chroniques dépassait la capacité de prestation des soins. Ces technologies étaient principalement basées sur des logiciels.
En 2013, la FDA, la Federal Communications Commission des États-Unis et l'Office of the National Coordinator for Health Information Technology (ONC) se sont réunis avec le secteur privé pour examiner l'ensemble des risques associés aux nouvelles technologies, notamment les applications médicales mobiles, les logiciels d'aide à la décision clinique, les dispositifs de télémédecine et bien d'autres. Cette évaluation a été effectuée en vertu de la Loi sur la sécurité et l'innovation de la FDA et, en fin de compte, lorsqu'elle a été suivie de la Loi 21stCentury Cures Act, elle a établi des limites assez claires pour distinguer les technologies qui seraient soumises à un examen réglementaire important de celles qui ne le seraient pas. Au cours de cette même période, on a assisté dans le secteur de la santé à une recrudescence soudaine de l'exploitation des vulnérabilités et des faiblesses des logiciels, phénomène que l'on connaît bien aujourd'hui sous le nom de « cyberattaques ».
Même si la tentative de « déréglementation » visait à faciliter le déploiement sur le marché de nouvelles technologies innovantes en matière de soins de santé, de nombreux fabricants se demandaient comment ils allaient faire face à l'absence d'un filet de sécurité réglementaire pour les aider à établir la confiance du marché dans la sécurité des produits innovants qui étaient lancés.
C'est devenu le rôle des normes consensuelles nationales volontaires, telles que ANSI/CAN/UL 2900-1 et ANSI/CAN/UL 2900-2-1 (Norme de sécurité - Software Cybersecurity for Network-Connectable Products, Part 2-1 : Exigences particulières pour les composants connectables au réseau des systèmes liés à la santé et au bien-être), qui ont également été officiellement reconnues par la FDA ainsi que par plusieurs autres autorités de réglementation à travers le monde pour le rôle qu'elles pourraient jouer dans l'assurance de la sécurité.
Les exigences de ces normes portent sur les points principaux suivants afin d'assurer un niveau acceptable d'hygiène en matière de cybersécurité :
Ces normes ont été élaborées par le Standards Technical Panel, un organisme de consensus national multipartite réuni dans le cadre du processus ANSI Canvass pour représenter les divers intérêts du secteur envers la cybersécurité, notamment les hôpitaux, les universités, les fabricants, les fournisseurs de composants, les cliniciens, les patients et de nombreux autres.
Pour les développeurs de dispositifs médicaux et de technologies connectés qui recherchent le soutien d'une tierce partie pour le développement de produits, l'accès au marché et la conformité réglementaire, il est crucial d'identifier des partenaires ayant l'expérience et la capacité de travailler avec eux ainsi qu'avec leurs fournisseurs de composants et intégrateurs de systèmes de santé. Des consultants et des conseillers tiers viables auprès des concepteurs de produits médicaux devraient être en mesure de fournir un soutien pendant toutes les phases du cycle de vie d'un produit :
Ken Modeste est Administrateur et Directeur Général, Santé numérique, Sciences de la Vie et la Santé chez UL.