EBIOS Risk Manager pour la cybersécurité des dispositifs médicaux
En septembre 2022, l'ANSM (Agence Nationale de Sécurité du Médicament et des produits de santé) a publié la version finale de ses recommandations sur la cybersécurité des dispositifs médicaux (DM ou DMDIV).
Parmi les points abordés, ces recommandations citent la méthode EBIOS Risk Manager pour la gestion des risques de cybersécuté des dispositifs médicaux (DM ou DMDIV).
Quelles sont les particularités de la méthode EBIOS Risk Manager (ou EBIOS RM) dans le cadre des dispositifs médicaux ?
Traitons ce sujet à l'occasion de cet article.
Notion de cybersécurité d'un dispositif médical
Les considérations de cybersécurité concernent les logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device") et les dispositifs médicaux incorporant du logiciel (DMIL).
Dans le cadre de cet article, la notion de cybersécurité fait référence à la protection des données et la protection des dispositifs médicaux en tant que cibles potentielles de cyberattaques.
En effet, dans ses recommandations sur la cybersécurité, l'ANSM précise que la nouvelle réglementation applicable aux dispositifs médicaux amène les fabricants à
- établir des mesures qui assurent une inviolabilité du dispositif contre des actes ou des influences hostiles intentionnelles et
- protéger le dispositif en le considérant comme relai ou point d’entrée potentiel d'une intrusion dans le système d'information (SI).
Pour ce faire, l'ANSM renvoie vers la méthode EBIOS Risk Manager (ou EBIOS RM).
La méthode EBIOS Risk Manager
La méthode EBIOS Risk Manager (ou EBIOS RM) a été publiée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) avec le soutien du Club EBIOS.
Il s'agit d'une méthode applicable aux dispositifs médicaux pour la gestion des risques de cybersécurité.
Et cette méthode se concentre sur les risques liés à des causes intentionnelles en déléguant la gestion des risques liés à des causes accidentelles ou environnementales à une approche par conformité réglementaire et normative.
On peut représenter cette approche sous la forme d'une pyramide de gestion du risque numérique.
Dans le cadre des dispositifs médicaux (DM ou DMDIV), on peut relever deux caractéristiques importantes de la méthode EBIOS Risk Manager :
- il s'agit d'une méthode itérative et
elle peut être documentée suivant les exigences réglementaires applicables aux dispositifs médicaux.
Une démarche itérative pour la gestion des risques de cybersécurité
La méthode EBIOS Risk Manager (ou EBIOS RM) est conçue pour être mise en œuvre de manière itérative afin d'assurer la cybersécurité d'un logiciel.
Et ce principe d'itération est important pour les dispositifs médicaux.
En effet, dans le cadre de la surveillance après commercialisation (SAC) du dispositif médical, les itérations permettent
- d'améliorer la gestion des risques de cybersécurité dans le temps et
de coupler la gestion des risques de cybersécurité du dispositif avec les mises à jour du logiciel (de) dispositif médical.
Pour chaque itération, 5 ateliers sont prévus afin d'assurer la cybersécurité du logiciel.
La figure ci-dessous présente les finalités et l'agencement de ces ateliers.
Pour assurer une maîtrise des risques de cybersécurité initiale, la méthode EBIOS Risk Manager (ou EBIOS RM) prévoit deux cycles constitués de ces 5 ateliers :
- un premier cycle qui s'attarde sur l'étude des scénarios stratégiques et
- un deuxième cycle pour revenir sur les scénarios opérationnels.
En parallèle, pour assurer la conformité à la réglementation applicable, les fabricants de dispositifs médicaux (DM ou DMDIV) doivent documenter la mise en œuvre de ces itérations.
La documentation doit être adaptée à la réglementation applicable
Si la méthode EBIOS Risk Manager est choisie pour assurer la maîtrise des risques de cybersécurité d'un dispositif médical (DM ou DMDIV), elle doit aboutir à une documentation de la gestion des risques conforme aux exigences réglementaires applicables aux dispositifs médicaux.
Un point positif est que cette méthode d'identification, d'évaluation et de maîtrise des risques de cybersécurité peut être mise en œuvre dans le cadre d'un système de management de la qualité (SMQ) conforme aux exigences de la norme harmonisée EN ISO 13485 (Dispositifs médicaux – Systèmes de management de la qualité – Exigences à des fins réglementaires).
Cependant, la documentation de cette méthode doit être adaptée aux exigences des normes harmonisées qui impactent la gestion des risques des logiciels (de) dispositifs médicaux.
En effet, cette approche confère aux fabricants de dispositifs médicaux une présomption de conformité à la réglementation applicable.
Implications pour les fabricants de dispositifs médicaux
Dans ses recommandations sur la cybersécurité des dispositifs médicaux, l'ANSM indique que la méthode EBIOS Risk Manager est une approche parmi d'autres pour la gestion des risques de cybersécurité d'un dispositif médical (DM ou DMDIV).
Et, comme approches alternatives, l'ANSM cite la méthode MEHARI et un processus de gestion des risques conforme à l'ISO 27005 (Sécurité de l'information, cybersécurité et protection de la vie privée – Préconisations pour la gestion des risques liés à la sécurité de l'information).
Quelle que soit l'approche choisie, la gestion des risques de cybersécurité d'un dispositif médical est une exigence réglementaire que les organismes officiels soulignent depuis plusieurs années.
De ce fait, il est important que les fabricants de dispositifs médicaux la mettent en œuvre et la documentent pour, le cas échéant, être en mesure de prouver la prise en compte de la cybersécurité de leur(s) dispositif(s).
Au besoin, n'hésitez pas à prévoir du consulting.
Pour en savoir plus
Les recommandations de l'ANSM sur la cybersécurité des dispositifs médicaux complètent le guide MDCG relatif à la cybersécurité des dispositifs médicaux.
Par ailleurs, le système d'exploitation est important dans le cadre de la cybersécurité d'un logiciel (de) dispositif médical.
Autres articles
Intérêt des normes harmonisées dans le cadre des logiciels dispositifs médicaux
EBIOS Risk Manager pour la cybersécurité des dispositifs médicaux
Prestations de conception et développement de logiciel (de) dispositif médical
Impact des logiciels SOUP sur les dispositifs médicaux (DM ou DMDIV)
Certification Qualité Hôpital Numérique (QHN) pour logiciel de santé
Langue du dossier technique d'un logiciel dispositif médical
Surveillance après commercialisation d'un logiciel dispositif médical (DM ou DMDIV)
Dispositions transitoires du Règlement (UE) 2017/745 pour les logiciels dispositifs médicaux
Conformité réglementaire de logiciel (de) dispositif médical
Qu'est-ce qu'un système de management de la qualité (SMQ) EN ISO 13485 ?
L'intelligence artificielle dans les logiciels (de) dispositifs médicaux
Attestation de conformité de logiciel dispositif médical (DM ou DMDIV)
Langue d'interface graphique de logiciel (de) dispositif médical
Utilité de la spécification d'utilisation d'un logiciel dispositif médical
Validation des logiciels pour les systèmes qualité des dispositifs médicaux
Norme CEI EN 82304-1 pour logiciel dispositif médical (DM ou DMDIV)
Dispositifs médicaux avec fonction de mesurage : identification et réglementation
Un guide sur la cybersécurité des dispositifs médicaux dans l'Union Européenne
Classification des logiciels (de) dispositifs médicaux (A, B, C…)
Les systèmes d'exploitation au regard de la cybersécurité des dispositifs médicaux
Cybersécurité des logiciels (de) dispositifs médicaux en France
Particularités de la gestion de risques de logiciel (de) dispositif médical
Détermination de besoins logiciels pour dispositifs médicaux : cas d'étude
Comment réduire le coût d'un logiciel (de) dispositif médical ?
Norme CEI 62366-1 et conception d'interfaces graphiques de logiciels (de) dispositifs médicaux
Norme EN 62304 et interface utilisateur des logiciels (de) dispositifs médicaux
Réglementation applicable aux logiciels (de) dispositifs médicaux