Quiconque prête la moindre attention aux médias d'aujourd'hui a probablement vu de nombreux rapports sur les risques en matière de cybersécurité associés aux dispositifs médicaux. Certains rapports sont exagérés, d'autres soulèvent des préoccupations plus mesurées et d'autres encore décrivent des risques très précis, comme les rappels de produits cyber-connectés importants. Mais il existe un consensus général parmi les experts en sécurité, les fournisseurs de soins de santé et les autorités de réglementation indiquant que la protection des dispositifs médicaux contre la cybersécurité doit être prise très au sérieux.

Établir des attentes réglementaires en matière de cybersécurité

La FDA des États-Unis a publié un projet de lignes directrices pour les demandes d'autorisation avant la mise en marché à propos de la gestion de la cybersécurité dans les dispositifs médicaux et un projet de lignes directrices finales pour la gestion après commercialisation de la cybersécurité appliquée aux dispositifs médicaux.

Le document d'orientation de la FDA en phase pré-commercialisation devrait être finalisé d'ici la fin de 2019. Chez Emergo by UL, nous avons toujours entendu nos clients fabricants de dispositifs médicaux affirmer que le personnel de la FDA pose maintenant beaucoup de questions sur la cybersécurité pendant le processus de soumission réglementaire. Une grande partie des questions posées par la FDA proviennent des attentes énoncées dans ses documents d'orientation. Les autorités de réglementation d'autres pays, dont le Canada, l'Australie et la Corée du Sud, ont fait ou feront de même avec des directives semblables à celles de la FDA des États-Unis, et nous nous attendons à ce que ces autorités appliquent à leur supervision des niveaux similaires de surveillance de la cybersécurité.

Les organismes de prestation de santé ont également haussé la barre. Ils demandent souvent aux fabricants de dispositifs médicaux de répondre à des enquêtes approfondies comportant des questions de sécurité qui peuvent parfois prendre des mois à remplir et qui comprennent, par exemple, des demandes de résultats de tests détaillés de cybersécurité.

Prendre la cybersécurité au sérieux

Emergo by UL a également entendu nombre de ses clients fabricants dire qu'ils en étaient aux balbutiements et qu'ils commençaient à peine à travailler sérieusement en matière de démarches pour la cybersécurité. Ces discussions ont lieu avec des clients qui cherchent généralement à obtenir des conseils sur la façon d'intégrer des mesures de protection appropriées dans leur technologie et leurs processus connexes, de répondre aux attentes des autorités de réglementation et, surtout, de protéger les patients qui utilisent leurs produits ou qui y sont reliés.

Parmi les questions principales que les consultants en cybersécurité d'Emergo by UL abordent le plus souvent avec les clients à ce sujet, on peut citer :

• Comment les fabricants évaluent-ils les risques en matière de cybersécurité pour leurs produits ?
• Comment les entreprises intègrent-elles la cybersécurité dans leurs systèmes de conception et de gestion de la qualité en tenant compte du cycle de vie complet de leurs produits ?
• Comment les fabricants valident-ils la performance des dispositifs cyber-connectés ?

Les réponses d'un fabricant à ces questions peuvent aider à identifier toute lacune importante en matière de cybersécurité dans ses processus, ainsi que les mesures à prendre pour développer ses capacités en la matière.

James Keller est Directeur du développement commercial chez Emergo by UL.

Plus d'informations Emergo by UL sur la conformité en cybersécurité des dispositifs médicaux :

• Consulting en directives de cybersécurité de la FDA États-Unis
• Assistance à la Gestion des risques liés à la cybersécurité et la fourniture
• Séminaire web : Aligner les normes de cybersécurité aux directives de la FDA