La cybersécurité dans la norme IEC 62304
La cybersécurité est explicitement abordée dans le projet de norme internationale IEC 62304 ED2.
Une deuxième version du document préparatoire a été soumise au vote en janvier 2021. Par rapport à la version précédente, cette nouvelle version traite plus amplement de cybersécurité.
Pourquoi cette évolution ? Quelles seront les implications de la prise en compte de la cybersécurité dans la nouvelle version de la norme IEC 62304 ?
Définition de cybersécurité dans la norme IEC 62304
La notion de cybersécurité est abordée timidement dans la norme IEC 62304:2006. En effet, le terme "cybersécurité" n'est pas employé explicitement.
Néanmoins, la notion de cybersécurité est couverte à travers la notion de sûreté du logiciel dont la définition proposée est la suivante :
SURETE
Source : Norme CEI EN 62304:2006
Protection des informations et des données de sorte que des personnes ou des systèmes non autorisés ne puissent les lire ou les modifier et que l'accès à ces informations et données ne soit pas refusé à des personnes ou des systèmes autorisés
Dans le cadre du projet de norme internationale IEC 62304 ED2, le terme "cybersécurité" fait son apparition dans la deuxième version du document préparatoire. Il est utilisé comme synonyme du terme "sûreté" avec la définition suivante :
SURETE
Source : Projet de norme IEC 62304 ED2 diffusé en janvier 2021
CYBERSECURITE
Etat de protection des informations et des systèmes contre les activités non autorisées, telles que l'accès, l'utilisation, la divulgation, l'interruption, la modification ou la destruction, à un degré auquel les risques associés pour la confidentialité, l'intégrité et la disponibilité sont maintenus à un niveau acceptable tout au long du cycle de vie
L'utilisation du terme "cybersécurité" dans ce projet de norme internationale va de pair avec une évolution des exigences de cybersécurité des logiciels (de) dispositifs médicaux.
Evolution des exigences de cybersécurité dans la norme IEC 62304
Dans le cadre de la norme IEC 62304:2006, on trouve la notion de cybersécurité du logiciel
- dans le point 5.2.2, qui traite de la teneur des exigences du logiciel, et
- dans le point 9.1, qui traite de l'élaboration des rapports de problème du logiciel.
Le but est de forcer la prise en compte de considérations de cybersécurité dans les exigences de logiciel (de) dispositif médical et de fournir un exemple d'évaluation de la criticité d'un problème logiciel.
Dans le projet de norme IEC 62304 ED2, l'exigence de cybersécurité des logiciels (de) dispositifs médicaux s'accentue.
Le tableau ci-dessous montre l'évolution de prise en compte de la cybersécurité par la norme IEC 62304 avec les deux versions du projet de norme internationale IEC 62304 ED2 diffusées jusqu'à maintenant.
| Prise en compte de la cybersécurité par la norme IEC 62304 |
|||
| Section du document | 2006 | Projet IEC 62304 ED2 | |
| 2019 | 2021 | ||
| Avant propos | |||
| Introduction | |||
| 4.2 Gestion des risques | |||
| 4.4.2.2 Détermination des défaillances logicielles potentielles qui peuvent contribuer à une situation dangereuse | |||
| 4.5.2 Activités de gestion de risques (de logiciel hérité) | |||
| 5.2.2 Contenu des exigences du logiciel | |||
| 7.1.2 Identification des causes potentielles de contribution à une situation dangereuse | |||
| 9.1 Elaboration des rapports de problème | |||
| Cybersécurité ou sureté prise en compte | |
| Cybersécurité ou sureté non prise en compte | |
| Section inexistante |
Ce tableau met en évidence que les considérations de cybersécurité sont accentuées à deux grands niveaux des logiciels (de) dispositifs médicaux :
- le classement de sécurité du logiciel (point 4.4.2.2 du projet de norme internationale IEC 62304 ED2) et
- le processus de gestion des risques du logiciel (point 7.1.2 de la norme).
Cette évolution est en accord avec l'augmentation des cyberattaques de centres de santé que l'on constate depuis quelques années dans le monde occidental.
Elle place la cybersécurité du logiciel (de) dispositif médical à un niveau essentiel de la conception du logiciel : son classement de sécurité.
Implications pour les fabricants de dispositifs médicaux
Le projet de norme IEC 62304 ED2 aboutira probablement à une nouvelle version de la norme harmonisée IEC EN 62304.
Dès lors, les exigences prévues par ce projet de norme internationale seront applicables aux logiciels (de) dispositifs médicaux commercialisés dans l'Union Européenne.
Parmi les points importants dans les évolutions prévues par ce projet de norme, on remarque l'introduction de considérations de cybersécurité pour le classement de sécurité du logiciel (de) dispositif médical.
En d'autres termes, le classement de sécurité d'un logiciel (de) dispositif médical serait fonction
- des conséquences possibles des dysfonctionnements potentiels du logiciel et
- des conséquences possibles d'une cyberattaque du logiciel.
Etant donné le coût de maintenance d'un logiciel (de) dispositif médical, il semble judicieux de tenir compte de ces considérations dans la phase de conception architecturale des projets logiciels (de) dispositifs médicaux à lancer dans un proche avenir.
Pour en savoir plus
La cybersécurité des dispositifs médicaux a fait l'objet d'un guide publié par l'Union Européenne.
Outre les considérations de cybersécurité, le projet de norme IEC 62304 ED2 prévoit aussi une évolution du domaine d'application de la norme.
Autres articles
Impact du Règlement (UE) 2017/745 sur le logiciel dispositif médical
Intérêt des normes harmonisées dans le cadre des logiciels dispositifs médicaux
EBIOS Risk Manager pour la cybersécurité des dispositifs médicaux
Prestations de conception et développement de logiciel (de) dispositif médical
Impact des logiciels SOUP sur les dispositifs médicaux (DM ou DMDIV)
Certification Qualité Hôpital Numérique (QHN) pour logiciel de santé
Langue du dossier technique d'un logiciel dispositif médical
Surveillance après commercialisation d'un logiciel dispositif médical (DM ou DMDIV)
Dispositions transitoires du Règlement (UE) 2017/745 pour les logiciels dispositifs médicaux
Conformité réglementaire de logiciel (de) dispositif médical
Qu'est-ce qu'un système de management de la qualité (SMQ) EN ISO 13485 ?
L'intelligence artificielle dans les logiciels (de) dispositifs médicaux
Attestation de conformité de logiciel dispositif médical (DM ou DMDIV)
Langue d'interface graphique de logiciel (de) dispositif médical
Utilité de la spécification d'utilisation d'un logiciel dispositif médical
Validation des logiciels pour les systèmes qualité des dispositifs médicaux
Norme CEI EN 82304-1 pour logiciel dispositif médical (DM ou DMDIV)
Dispositifs médicaux avec fonction de mesurage : identification et réglementation
Un guide sur la cybersécurité des dispositifs médicaux dans l'Union Européenne
Classification des logiciels (de) dispositifs médicaux (A, B, C…)
Les systèmes d'exploitation au regard de la cybersécurité des dispositifs médicaux
Cybersécurité des logiciels (de) dispositifs médicaux en France
Particularités de la gestion de risques de logiciel (de) dispositif médical
Détermination de besoins logiciels pour dispositifs médicaux : cas d'étude
Comment réduire le coût d'un logiciel (de) dispositif médical ?
Norme CEI 62366-1 et conception d'interfaces graphiques de logiciels (de) dispositifs médicaux
Norme EN 62304 et interface utilisateur des logiciels (de) dispositifs médicaux
Réglementation applicable aux logiciels (de) dispositifs médicaux