EBIOS Risk Manager pour la cybersécurité des dispositifs médicaux
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
En septembre 2022, l'ANSM (Agence Nationale de Sécurité du Médicament et des produits de santé) a publié la version finale de ses recommandations sur la cybersécurité des dispositifs médicaux (DM ou DMDIV).
Parmi les points abordés, ces recommandations citent la méthode EBIOS Risk Manager (ou EBIOS RM) pour la gestion des risques de cybersécuté des dispositifs médicaux (DM ou DMDIV).
Quelles sont les particularités de la méthode EBIOS Risk Manager (ou EBIOS RM) dans ce contexte ?
Traitons ce sujet à l'occasion de cet article.
Notion de cybersécurité d'un dispositif médical
Les considérations de cybersécurité concernent les logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device") et les dispositifs médicaux incorporant du logiciel (DMIL).
Dans le cadre de cet article, la notion de cybersécurité fait référence à la protection des données et la protection des dispositifs médicaux en tant que cibles potentielles de cyberattaques.
En effet, dans ses recommandations sur la cybersécurité, l'ANSM précise que la nouvelle réglementation applicable aux dispositifs médicaux amène les fabricants à
- établir des mesures qui assurent une inviolabilité du dispositif contre des actes ou des influences hostiles intentionnelles et
- protéger le dispositif en le considérant comme relai ou point d'entrée potentiel d'une intrusion dans le système d'information (SI).
Pour ce faire, l'ANSM renvoie vers la méthode EBIOS Risk Manager.
La méthode EBIOS Risk Manager
La méthode EBIOS Risk Manager (ou EBIOS RM) a été publiée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) avec le soutien du Club EBIOS.
Il s'agit d'une méthode applicable aux dispositifs médicaux pour la gestion des risques de cybersécurité tels que présentés ci-dessus.
Et cette méthode se concentre sur les risques liés à des causes intentionnelles en déléguant la gestion des risques liés à des causes accidentelles ou environnementales à une approche par conformité réglementaire et normative.
On peut représenter cette approche sous la forme d'une pyramide de gestion du risque numérique.
Dans le cadre des dispositifs médicaux (DM ou DMDIV), on peut relever deux caractéristiques importantes de la méthode EBIOS Risk Manager :
- il s'agit d'une méthode itérative et
elle peut être documentée suivant les exigences réglementaires applicables aux dispositifs médicaux.
Une démarche itérative pour la gestion des risques de cybersécurité
La méthode EBIOS Risk Manager (ou EBIOS RM) est conçue pour être mise en œuvre de manière itérative afin d'assurer la cybersécurité d'un logiciel.
Et ce principe d'itération est important pour les dispositifs médicaux.
En effet, dans le cadre de la surveillance après commercialisation (SAC) du dispositif, les itérations permettent
- d'améliorer la gestion des risques de cybersécurité dans le temps et
de coupler la gestion des risques de cybersécurité du dispositif avec les mises à jour du logiciel (de) dispositif médical.
Pour chaque itération, 5 ateliers sont prévus afin d'assurer la cybersécurité du logiciel.
La figure ci-dessous présente les finalités et l'agencement de ces ateliers.
Pour assurer une maîtrise des risques de cybersécurité initiale, la méthode EBIOS Risk Manager (ou EBIOS RM) prévoit deux cycles constitués de ces 5 ateliers :
- un premier cycle qui s'attarde sur l'étude des scénarios stratégiques et
- un deuxième cycle pour revenir sur les scénarios opérationnels.
En parallèle, pour assurer la conformité réglementaire de cette approche, les fabricants de dispositifs médicaux (DM ou DMDIV) doivent documenter la mise en œuvre de ces itérations.
La documentation doit être adaptée à la réglementation applicable
Si la méthode EBIOS Risk Manager est choisie pour assurer la maîtrise des risques de cybersécurité d'un dispositif médical (DM ou DMDIV), elle doit aboutir à une documentation de la gestion des risques conforme aux exigences réglementaires applicables aux dispositifs médicaux.
Un point positif est que cette méthode d'identification, d'évaluation et de maîtrise des risques de cybersécurité peut être mise en œuvre dans le cadre d'un système de management de la qualité (SMQ) conforme aux exigences de la norme EN ISO 13485 (Dispositifs médicaux – Systèmes de management de la qualité – Exigences à des fins réglementaires).
Cependant, la documentation de cette méthode doit être adaptée aux exigences des normes harmonisées qui impactent la gestion des risques des logiciels (de) dispositifs médicaux.
En effet, cette approche confère aux fabricants de dispositifs médicaux une présomption de conformité à la réglementation applicable.
Implications pour les fabricants de dispositifs médicaux
Dans ses recommandations sur la cybersécurité des dispositifs médicaux, l'ANSM indique que la méthode EBIOS Risk Manager est une approche parmi d'autres pour la gestion des risques de cybersécurité d'un dispositif médical (DM ou DMDIV).
Et, comme approches alternatives, l'ANSM cite la méthode MEHARI et un processus de gestion des risques conforme à l'ISO 27005 (Sécurité de l'information, cybersécurité et protection de la vie privée – Préconisations pour la gestion des risques liés à la sécurité de l'information).
Quelle que soit l'approche choisie, la gestion des risques de cybersécurité d'un dispositif médical est une exigence réglementaire que les organismes officiels soulignent depuis plusieurs années.
De ce fait, il est important que les fabricants de dispositifs médicaux la mettent en œuvre et la documentent pour, le cas échéant, être en mesure de prouver la prise en compte de la cybersécurité de leur(s) dispositif(s).
Au besoin, n'hésitez pas à prévoir du consulting.
Pour en savoir plus
Les recommandations de l'ANSM sur la cybersécurité des dispositifs médicaux complètent le guide MDCG relatif à ce même sujet.
Par ailleurs, le système d'exploitation est important dans le cadre de la cybersécurité d'un logiciel (de) dispositif médical.