Cybersécurité des logiciels (de) dispositifs médicaux en France
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
La consultation de l'ANSM (Agence nationale de sécurité du médicament et des produits de santé) au sujet de recommandations pour la cybersécurité des dispositifs médicaux (DM ou DMDIV) arrive à son terme fin septembre 2019.
L'ANSM prévoit la version finale de ces recommandations pour décembre de cette même année. Elle les adressera alors aux fabricants de dispositifs médicaux (DM ou DMDIV).
Quelles sont la teneur et les implications de ces recommandations pour les fabricants de dispositifs médicaux ?
C'est le sujet traité dans cet article.
En quoi consiste la cybersécurité des dispositifs médicaux ?
Pour préciser l'objectif de ses recommandations, l'ANSM indique qu'il s'agit d'assurer la sûreté des dispositifs médicaux (DM ou DMDIV). A savoir, "s'assurer que le dispositif médical est protégé contre les attaques extérieures pouvant compromettre le fonctionnement du dispositif médical".
L'ANSM apporte aussi une définition de cybersécurité : "ensemble des mesures techniques ou organisationnelles mises en place pour assurer l'intégrité et la disponibilité d'un dispositif médical ainsi que la confidentialité des informations contenues ou issues de ce dispositif médical contre le risque d'attaques dont il pourrait faire l'objet".
Sur cette base, assurer la cybersécurité des dispositifs médicaux consiste à mettre en œuvre des mesures proactives de protection dans les dispositifs médicaux qui sont susceptibles de subir des attaques informatiques.
Les considérations de cybersécurité impactent donc les dispositifs médicaux intégrant du logiciel et les logiciels dispositifs médicaux en soi, logiciel embarqué (ou firmware) compris.
Approche conseillée par l'ANSM pour prendre en compte la cybersécurité dans les logiciels (de) dispositifs médicaux
Suivant les recommandations de l'ANSM, la prise en compte de la cybersécurité dans les logiciels (de) dispositifs médicaux doit se faire dès la conception du dispositif médical et tout au long de son cycle de vie.
Pour ce faire, l'ANSM conseille de passer par l'analyse de risques du dispositif médical afin de déterminer les mesures de cybersécurité adéquates.
Deux cas de figure sont à prendre en considération :
le dispositif médical est la cible directe d'une cyberattaque dont la conséquence possible, directe ou indirecte, est la détérioration de la santé de patients,
le dispositif médical est une voie d'accès vers la réelle cible de la cyberattaque (la base de données de l'établissement de santé dans lequel se trouve le dispositif médical par exemple).
Pour la traçabilité de l'approche, l'ANSM demande de compléter le dossier de gestion des risques du dispositif médical avec "un rapport de sécurité qui évalue les activités liées à la sécurité du logiciel et la prise en compte des exigences de sécurité émises dans le plan de prévention des menaces et qui statue sur la sécurité du Logiciel".
Implications de la prise en compte de la cybersécurité dans les logiciels (de) dispositifs médicaux
Pour les entreprises du secteur biomédical, la prise en compte des recommandations de l'ANSM pour la cybersécurité des logiciels (de) dispositifs médicaux emporte des conséquences à trois niveaux :
- sur le système de management de la qualité (SMQ),
- sur le dossier technique des dispositifs médicaux et
- sur l'ingénierie des logiciels (de) dispositifs médicaux.
Implications sur le système de management de la qualité
Dans les systèmes de management de la qualité (SMQ) fondés sur la norme EN ISO 13485 (Dispositifs médicaux – Systèmes de management de la qualité – Exigences à des fins réglementaires), les procédures vont devoir évoluer pour inclure explicitement la cybersécurité dans les processus de l'entreprise.
Il s'agit notamment des processus prévus pour la gestion des risques ainsi que pour la conception, le développement et la maintenance de logiciel (de) dispositif médical.
Une mise à jour des modèles de documents (ou formulaires) s'en suivra par voie de conséquence.
Implications sur le dossier technique des dispositifs médicaux
Pour répondre aux recommandations de l'ANSM, le dossier technique des dispositifs médicaux impactés par les considérations de cybersécurité devra être complété avec les enregistrements demandés : rapport de sécurité, plan de prévention des menaces…
Implications sur l'ingénierie des logiciels (de) dispositifs médicaux
Pour l'ingénierie des logiciels (de) dispositifs médicaux, la prise en compte de la cybersécurité implique d'adapter les fonctionnalités des logiciels pour maîtriser les risques liés à de possibles cyberattaques.
Jusqu'à maintenant, les évolutions de la réglementation applicable aux logiciels (de) dispositifs médicaux avaient pour avantage d'améliorer la fiabilité des dispositifs, notamment en réduisant la probabilité de dysfonctionnements du logiciel.
Malheureusement, les fonctionnalités de cybersécurité répondent à une contrainte de l'environnement d'exécution des logiciels (de) dispositifs médicaux mais n'améliorent pas les fonctionnalités premières des dispositifs :
une connexion par mot de passe ne rend un dispositif de diagnostic ni plus sensible ni plus spécifique,
le cryptage des données d'un dispositif de traitement ne raccourcit pas la durée du traitement et n'améliore pas non plus son efficacité…
Par ailleurs, les statistiques le prouvent : l'ajout de fonctionnalités à un logiciel augmente sa probabilité de dysfonctionnement (voir "Comment réduire le coût d'un logiciel de dispositif médical ?").
Pour réduire les probabilités de dysfonctionnements logiciels liées à l'ajout de fonctionnalités, une attention particulière doit être portée à l'analyse de risques du dispositif. Le but : opter pour les moyens de maîtrise des risques de cybersécurité les plus efficaces afin d'en réduire le nombre au maximum.
De même, il faut veiller à choisir les architectures de logiciel qui, malgré la présence de fonctionnalités annexes, n'entravent pas la maintenance évolutive et n'augmentent pas significativement le temps de mise en œuvre des essais.
Intérêt de la cybersécurité du logiciel pour les fabricants de dispositifs médicaux
Les recommandations de l'ANSM marquent un tournant dans la conception et le développement de logiciel (de) dispositif médical en France et, probablement, dans l'Union Européenne.
Auparavant, il était courant de considérer que les dispositifs médicaux étaient utilisés en zone démilitarisée (au sens réseau informatique de l'expression, à savoir DMZ). Mais l'évolution des technologies introduites dans les dispositifs médicaux et l'actualité de ces dernières années ont changé la donne.
Dans ce contexte, la cybersécurité peut faire partie d'un argumentaire commercial à l'attention des établissements de santé : connexion sécurisée, résilience du dispositif, fonctionnement dégradé en cas de cyberattaque… De plus, le fabricant aura tout mis en œuvre pour ne pas faire la une des journaux au titre de responsable des problèmes d'un système d'information hospitalier par exemple.
Mais le véritable intérêt de la cybersécurité pour les fabricants de dispositifs médicaux réside dans la commercialisation du dispositif au niveau international.
En effet, la FDA (U.S. Food and Drug Administration) s'occupe des problématiques de cybersécurité depuis plus de 10 ans. De ce fait, sa prise en compte en France et dans l'Union Européenne ne fera que simplifier l'obtention des autorisations de commercialisation aux USA.
Pour en savoir plus
L'Union Européenne a publié un guide sur la cybersécurité des dispositifs médicaux.
Les considérations de cybersécurité des logiciels (de) dispositifs médicaux impactent les systèmes d'exploitation des dispositifs.