Assurer la cybersécurité des dispositifs médicaux
Suite à des recherches sur Internet, je suis récemment allé sur le site de l'Hôpital Nord-Ouest. Une jolie page d'accueil temporaire indiquait que le site était en maintenance suite à "une cyber-attaque majeure".
Cette observation m'a fait penser à des échanges que j'ai pu avoir avec mes clients. J'ai ainsi réalisé que la cybersécurité, dans le cadre des dispositifs médicaux, n'est pas forcément une notion évidente.
Pour y pallier, je vous propose que nous traitions du sujet à l'occasion de cet article.
Qu'est-ce qu'un risque de cybersécurité ?
En toute rigueur, suivant les définitions fournies par les normes EN ISO 14971 et CEI EN 62304, la notion de sécurité recouvre la notion de cybersécurité (ou sûreté).
En effet,
- la sécurité fait référence à l'absence de risque inacceptable, indépendamment de l'objet du risque, et
- la cybersécurité (ou sûreté) désigne la protection des informations et des données.
Dans les faits, quand on traite de sécurité dans le cadre des dispositifs médicaux, on fait le plus souvent référence à la sécurité pour les personnes et, par voie de conséquence, on fait reposer l'estimation des risques du dispositif médical sur ce critère.
On peut donc considérer que les risques de sécurité se rapportent aux situations dangereuses susceptibles de faire que le dispositif médical génère une atteinte à la santé des personnes.
Quant aux risques de cybersécurité, ils se rapportent aux situations dangereuses susceptibles de faire que le dispositif médical porte atteinte ou permette de porter atteinte à l'intégrité, la confidentialité ou la disponibilité de données ou des informations.
Sur cette base, si une cyber-attaque du dispositif médical est uniquement susceptible de porter atteinte à la santé des personnes, il s'agira d'un risque de sécurité et pas d'un risque de cybersécurité du dispositif.
Pourquoi gérer les risques de cybersécurité des dispositifs médicaux ?
En l'absence de dispositifs médicaux connectés dans les centres de santé, les fabricants pouvaient se dire que leurs produits étaient prévus pour des infrastructures mises en place et maintenues par leurs clients.
Les structures d'accueil assumaient donc la responsabilité de protéger leur système d'information contre l'intrusion de tiers.
Mais l'arrivée sur le marché des dispositifs médicaux connectés a modifié la situation :
- les possibilités d'intrusion via les dispositifs médicaux se sont démultipliées et
- les organismes officiels ont rappelé que la réglementation prévoit la gestion des risques de cybersécurité dans les dispositifs médicaux.
1. Les logiciels (de) dispositifs médicaux peuvent faciliter l'intrusion de tiers dans le système d'information
Les cyber-attaques des centres de santé se sont multipliées ces dernières années. A titre d'exemple, on peut citer :
- le cas de l'Hôpital Nord-Ouest abordé en début d'article,
- le cas du groupement hospitalier des Hauts-de-France en avril 2021 ou encore
- le cas des hôpitaux de Paris pendant l'été 2020.
Par ailleurs, le dossier d'information sur la cybersécurité dans le secteur de la santé diffusé par l'ANS (Agence du Numérique en Santé) indique que 369 incidents de cybersécurité ont été déclarés par les établissements de santé en 2020.
Cette situation pose un problème de disponibilité des soins pour la population et parmi les causes identifiées figurent
- les dispositifs médicaux incorporant du logiciel (DMIL) et
- les logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device").
En effet, les fonctionnalités qui caractérisent ces dispositifs médicaux (notamment l'interopérabilité et la communication requises pour aboutir aux soins du patient) introduisent dans les systèmes d'information des centres de santé des possibilités de connexions malveillantes.
2. La réglementation prévoit que les risques de cybersécurité des dispositifs médicaux soient maîtrisés
L'ANSM (Agence Nationale de Sécurité du Médicament et des produits de santé) l'a rappelé dans son projet de recommandations pour la cybersécurité des dispositifs médicaux : la réglementation applicable aux dispositifs médicaux prévoit des exigences relatives à la cybersécurité.
Cette position a été confirmée par le guide du MDCG (Medical Device Coordination Group) sur la cybersécurité des dispositifs médicaux et par l'ENISA (European Union Agency for Cybersecurity) via son guide sur les bonnes pratiques pour la cybersécurité dans les hôpitaux.
En effet, quand on considère le Règlement (UE) 2017/745 relatif aux dispositifs médicaux (DM), on remarque que l'article 14.2 de son annexe I précise que
Les dispositifs sont conçus et fabriqués de manière à éliminer ou à réduire autant que possible […] tout risque associé à une éventuelle interaction négative entre les logiciels et l'environnement informatique dans lequel ceux-ci fonctionnement et avec lequel ils interagissent
Source : Règlement (UE) 2017/745, Annexe I, article 14.2
et que l'article 14.5 de cette même annexe indique que
Les dispositifs qui sont destinés à être mis en œuvre avec d'autres dispositifs ou produits sont conçus et fabriqués de manière à ce que leur interopérabilité et leur compatibilité soient fiables et sûres.
Source : Règlement (UE) 2017/745, Annexe I, article 14.5
Bien que cette liste ne soit pas exhaustive, elle montre que la cybersécurité est un besoin effectivement pris en compte par les exigences de la réglementation applicable aux dispositifs médicaux.
Mettre en œuvre la gestion des risques de cybersécurité des dispositifs médicaux
Les dispositifs médicaux incorporant du logiciel (DMIL) et les logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device") présentent des risques de sécurité et des risques de cybersécurité.
Quand on considère ces deux types de risques on remarque une différence fondamentale :
- les risques de sécurité sont en rapport avec les personnes alors que
- les risques de cybersécurité sont en rapport avec les données et les informations.
De ce fait, il est nécessaire de prévoir deux processus distincts pour pouvoir évaluer de façon adéquate ces deux types de risques.
Ces deux processus présentent des similarités car les exigences des normes EN ISO 14971 et CEI EN 62304 sont applicables dans les deux cas de figure.
De plus, ces processus sont communicants. En effet, la maîtrise des risques de sécurité peut induire des risques de cybersécurité et réciproquement.
Enfin, quand on considère un dispositif médical donné, une même situation peut présenter des risques pour la sécurité et des risques pour la cybersécurité du dispositif.
La figure ci-dessous représente schématiquement le déroulement de ces deux processus.
Par ailleurs, pour assurer la conformité avec la dernière version de la norme EN ISO 14971, il faudra traiter la cybersécurité dans la politique du fabricant pour l'établissement des critères d'acceptabilité des risques.
Implications pour les fabricants de dispositifs médicaux
La gestion des risques de cybersécurité d'un dispositif médical est un processus hautement technique : la majeure partie des mesures de maîtrise à mettre en œuvre concerne la conception et l'implémentation du logiciel. Il faut donc choisir parmi les options possibles en fonction de leur complexité de mise en œuvre et eu égard à leur efficacité.
De ce fait, tenir compte de la cybersécurité est nécessaire dès le début du projet de conception et le développement du logiciel (de) dispositif médical.
Cette mise en œuvre est d'autant plus importante que les organismes officiels poussent en ce sens.
Ainsi, l'ENISA (European Union Agency for Cybersecurity), dans son guide de bonnes pratiques pour la cybersécurité dans les hôpitaux, incite ces derniers à demander à leurs fournisseurs des justificatifs de cybersécurité de leurs produits.
De plus, dans l'actualité récente, des poursuites contre des fabricants de logiciels de santé qui ne prenaient pas de précautions pour la cybersécurité de leurs produits ont commencé à se faire jour.
C'est par exemple le cas de la société Francetest qui a fait la une des journaux en août 2021.
Pour en savoir plus
Le MDCG a rédigé un guide sur la cybersécurité des dispositifs médicaux dans l'Union Européenne.
Les systèmes d'exploitation jouent un rôle important dans le cadre de la cybersécurité des dispositifs médicaux.
Evolution de la notion de cybersécurité
Il est fort possible que la définition de cybersécurité (ou sûreté) soit bientôt étendue pour couvrir les systèmes d'information (SI).
De plus, le recouvrement entre les notions de sécurité et de cybersécurité va probablement être accentué.
En effet, le projet de norme internationale IEC 62304 ED2 prévoit de définir la cybersécurité comme suit :
SURETE
CYBERSECURITE
Etat de protection des informations et des systèmes contre les activités non autorisées, telles que l'accès, l'utilisation, la divulgation, l'interruption, la modification ou la destruction, à un degré auquel les risques associés pour la confidentialité, l'intégrité et la disponibilité sont maintenus à un niveau acceptable tout au long du cycle de vie.
Autres articles
Intérêt des normes harmonisées dans le cadre des logiciels dispositifs médicaux
EBIOS Risk Manager pour la cybersécurité des dispositifs médicaux
Prestations de conception et développement de logiciel (de) dispositif médical
Impact des logiciels SOUP sur les dispositifs médicaux (DM ou DMDIV)
Certification Qualité Hôpital Numérique (QHN) pour logiciel de santé
Langue du dossier technique d'un logiciel dispositif médical
Surveillance après commercialisation d'un logiciel dispositif médical (DM ou DMDIV)
Dispositions transitoires du Règlement (UE) 2017/745 pour les logiciels dispositifs médicaux
Conformité réglementaire de logiciel (de) dispositif médical
Qu'est-ce qu'un système de management de la qualité (SMQ) EN ISO 13485 ?
L'intelligence artificielle dans les logiciels (de) dispositifs médicaux
Attestation de conformité de logiciel dispositif médical (DM ou DMDIV)
Langue d'interface graphique de logiciel (de) dispositif médical
Utilité de la spécification d'utilisation d'un logiciel dispositif médical
Validation des logiciels pour les systèmes qualité des dispositifs médicaux
Norme CEI EN 82304-1 pour logiciel dispositif médical (DM ou DMDIV)
Dispositifs médicaux avec fonction de mesurage : identification et réglementation
Un guide sur la cybersécurité des dispositifs médicaux dans l'Union Européenne
Classification des logiciels (de) dispositifs médicaux (A, B, C…)
Les systèmes d'exploitation au regard de la cybersécurité des dispositifs médicaux
Cybersécurité des logiciels (de) dispositifs médicaux en France
Particularités de la gestion de risques de logiciel (de) dispositif médical
Détermination de besoins logiciels pour dispositifs médicaux : cas d'étude
Comment réduire le coût d'un logiciel (de) dispositif médical ?
Norme CEI 62366-1 et conception d'interfaces graphiques de logiciels (de) dispositifs médicaux
Norme EN 62304 et interface utilisateur des logiciels (de) dispositifs médicaux
Réglementation applicable aux logiciels (de) dispositifs médicaux