Pour les concepteurs de produits de santé et de technologies de dispositifs médicaux, assurer un soutien efficace à la conformité en matière de cybersécurité devient une étape clé pour obtenir l'approbation réglementaire et l'accès au marché.

Les cyber-attaques ne font plus la une des journaux, mais font désormais partie du quotidien de nombreuses entreprises, y compris les hôpitaux. Cependant, pour de nombreuses équipes de développement de produits, concevoir des produits avec la sécurité à l'esprit est un défi nouveau et intimidant, et lorsqu'on y ajoute les défis liés à la façon dont les approches peuvent être perçues par les autorités de réglementation, les préoccupations augmentent encore davantage.

En 1997, la FDA étasunienne a officiellement commencé à examiner le rôle des logiciels dans la sécurité et l'efficacité des dispositifs médicaux. En 2008, d'importants investissements ont commencé à être réalisés, non seulement aux États-Unis, mais dans le monde entier, pour créer de nouvelles technologies qui réduiraient les coûts des soins de santé et les rendraient plus facilement accessibles à la population croissante, où la proportion de personnes âgées souffrant de maladies chroniques dépassait la capacité de prestation des soins. Ces technologies étaient principalement basées sur des logiciels.

Les débuts d'une approche de cyber-réglementation dans la santé

En 2013, la FDA, la Federal Communications Commission des États-Unis et l'Office of the National Coordinator for Health Information Technology (ONC) se sont réunis avec le secteur privé pour examiner l'ensemble des risques associés aux nouvelles technologies, notamment les applications médicales mobiles, les logiciels d'aide à la décision clinique, les dispositifs de télémédecine et bien d'autres. Cette évaluation a été effectuée en vertu de la Loi sur la sécurité et l'innovation de la FDA et, en fin de compte, lorsqu'elle a été suivie de la Loi 21^stCentury Cures Act, elle a établi des limites assez claires pour distinguer les technologies qui seraient soumises à un examen réglementaire important de celles qui ne le seraient pas. Au cours de cette même période, on a assisté dans le secteur de la santé à une recrudescence soudaine de l'exploitation des vulnérabilités et des faiblesses des logiciels, phénomène que l'on connaît bien aujourd'hui sous le nom de « cyberattaques ».

Même si la tentative de « déréglementation » visait à faciliter le déploiement sur le marché de nouvelles technologies innovantes en matière de soins de santé, de nombreux fabricants se demandaient comment ils allaient faire face à l'absence d'un filet de sécurité réglementaire pour les aider à établir la confiance du marché dans la sécurité des produits innovants qui étaient lancés.

L'émergence de normes de cybersécurité dans le domaine de la santé

C'est devenu le rôle des normes consensuelles nationales volontaires, telles que ANSI/CAN/UL 2900-1 et ANSI/CAN/UL 2900-2-1 (Norme de sécurité - Software Cybersecurity for Network-Connectable Products, Part 2-1 : Exigences particulières pour les composants connectables au réseau des systèmes liés à la santé et au bien-être), qui ont également été officiellement reconnues par la FDA ainsi que par plusieurs autres autorités de réglementation à travers le monde pour le rôle qu'elles pourraient jouer dans l'assurance de la sécurité.

Les exigences de ces normes portent sur les points principaux suivants afin d'assurer un niveau acceptable d'hygiène en matière de cybersécurité :

• Établir que les fabricants ont caractérisé et documenté les technologies utilisées dans leurs produits qui pourraient constituer une « surface d'attaque ».
• Exiger une modélisation de la menace fondée sur l'utilisation prévue et l'exposition relative.
• Démontrer la mise en œuvre efficace de contrôles de sécurité protégeant à la fois les données sensibles (informations protégées...) et d'autres éléments tels que les données de commande et de contrôle.
• Fournir des preuves objectives que les faiblesses et les vulnérabilités des logiciels ont été convenablement corrigées et vérifiées par le biais de tests d'intrusion.
• Promouvoir la conception défensive (p. ex. défense profonde, cloisonnement, etc.).
• Aider à assurer la robustesse du système (p. ex. test de fuzz / entrées malformées).
• Surveiller les événements liés à la sécurité.
• Enregistrement des événements liés à la sécurité.
• Gestion des journaux de sécurité.
• Mise à jour du logiciel pour traiter les questions de sécurité, de performance essentielle et de sécurité.
• Gestion des défaillances dans le processus de mise à jour du logiciel (p. ex. roll-back).
• Contrôle de la sécurité des composants achetés.
• Gestion des données sensibles.
• Sécurisation de la fonctionnalité de gestion à distance des produits.
• Déclassement d'une manière qui protège les données des patients (p. ex. purge des informations confidentielles...).

Ces normes ont été élaborées par le Standards Technical Panel, un organisme de consensus national multipartite réuni dans le cadre du processus ANSI Canvass pour représenter les divers intérêts du secteur envers la cybersécurité, notamment les hôpitaux, les universités, les fabricants, les fournisseurs de composants, les cliniciens, les patients et de nombreux autres.

Ce qu'il faut rechercher dans l'aide à la gestion de la cybersécurité par des tiers

Pour les développeurs de dispositifs médicaux et de technologies connectés qui recherchent le soutien d'une tierce partie pour le développement de produits, l'accès au marché et la conformité réglementaire, il est crucial d'identifier des partenaires ayant l'expérience et la capacité de travailler avec eux ainsi qu'avec leurs fournisseurs de composants et intégrateurs de systèmes de santé. Des consultants et des conseillers tiers viables auprès des concepteurs de produits médicaux devraient être en mesure de fournir un soutien pendant toutes les phases du cycle de vie d'un produit :

• Conception de produits - aider les innovateurs à comprendre les cyber risques et le paysage réglementaire.
• Ingénierie des exigences et développement architectural - intégrer des concepts tels que la « défense profonde » de la sécurité dans les premières conversations sur le développement des produits.
• Conception détaillée - aider les fabricants à comprendre comment « construire la sécurité » de façon proactive plutôt que d'essayer de « reboucher » de façon réactive lorsqu'il y a un problème sur le terrain.
• Mise en œuvre - en répondant à des questions telles que « Comment gérer les faiblesses du langage de programmation » et « Qu'est-ce que les régulateurs vont attendre de moi ? »
• Vérification, validation et test - des tests d'intrusion, une analyse binaire statique, une analyse statique du code source, des tests de logiciels malveillants, des tests d'entrées malformées (alias "fuzzing") et de nombreuses autres activités de V&V sont nécessaires pour garantir au marché que les produits connectables répondent aux normes de sécurité.
• Exploitation et maintenance - contrairement à la sécurité traditionnelle des produits (par exemple les aspects électriques et mécaniques), où les modes de défaillance des produits sont assez statiques, la cybersécurité a introduit la notion d'un paysage de menaces en constante évolution où de nouveaux adversaires et vecteurs d'attaque apparaissent constamment à mesure que de nouvelles failles sont découvertes dans les logiciels.

Ken Modeste est Administrateur et Directeur Général, Santé numérique, Sciences de la Vie et la Santé chez UL.

Autres ressources Emergo by UL pour la cybersécurité et la règlementation :

• Assistance à la Gestion des risques liés à la cybersécurité et la fourniture dans la Santé
• Consulting en directives de cybersécurité de la FDA États-Unis
• Séminaire web : Aligner les normes de cybersécurité aux directives de la FDA