Renforcer la sécurité dans ce secteur et permettre aux établissements de santé de se préparer au mieux aux cyberattaques est donc primordial.
Les dispositifs médicaux particulièrement exposé aux vulnérabilités
Les dispositifs médicaux sont des cibles faciles pour les acteurs malveillants.Une étude menée par l'unité 42 ThreatResearch de Palo Alto Networks a révélé que les dispositifs médicaux constituent le maillon faible du réseau hospitalier car ils présentent des failles critiques. En effet, 75 % des pompes à perfusion étudiées présentent au moins une vulnérabilité ou ont déclenché au moins une alerte de sécurité. Les appareils d'imagerie, tels que les appareils de radiographie, d'IRM et de tomodensitométrie, étaient particulièrement fragiles (51 % de tous les appareils de radiologie sont exposés à des vulnérabilités importantes).
Sécurité des dispositifs médicaux : que dit la loi ?
La norme ISO 14971 définit la gestion des risques appliquée aux dispositifs médicaux et s'adresse spécifiquement aux fabricants de ces dispositifs. Elle traite des processus de gestion des risques liés principalement au patient, mais également à l'opérateur, à tous les intervenants, aux équipements et à l'environnement d'utilisation. Son champ d’application s’étends sur l’ensemble du cycle de vie du dispositif médical, de la conception (où l’étude des dangers et les risques associés doivent dès lors être pris en compte) à la post-commercialisation (où le fabricant suit la matériovigilance relative à son produit ainsi que les événements indésirables. L'élément le plus important de cette législation est le mandat qui vise à garantir la sécurité avant la mise sur le marché des produits et à traiter de manière adéquate les problèmes de sécurité qui peuvent survenir tout au long du cycle de vie des dispositifs.En outre, les organismes de santé sont placés sous contrôle européen pour une meilleure harmonisation des pratiques. Ils répondent désormais à un cahier des charges renforcé en matière de compétence et sont soumis à de nouvelles obligations de procédures (visites inopinées chez les fabricants, contrôles de produits). Le dispositif de vigilance est également amélioré avec la mise en place d’une base européenne des incidents et l’obligation faite aux fabricants sous contrôle des organismes notifiés de produire des résumés périodiques de sécurité (PSUR).
Renforcement de la réglementation des dispositifs médicaux
Au sein de l’UE, le règlement relatif aux dispositifs médicaux entré en vigueur en mai 2021 vise à garantir un haut niveau de protection pour les patients et les utilisateurs de dispositifs médicaux. Il exige que la conformité des produits soit évaluée par un organisme accrédité avant leur commercialisation. Et après la mise sur le marché, les autorités publiques contrôlent en permanence que les dispositifs médicaux répondent toujours aux exigences de sécurité, notamment par des inspections inopinées. Il s’agit de la surveillance après commercialisation.S’il définit essentiellement les exigences visant à garantir l’utilisation sûre d’un produit aux fins prévues, le règlement contient également des dispositions portant sur les menaces externes et sur la gestion et l’atténuation des risques.
En conclusion, la sécurité des établissements de santé face aux cyberattaques est une priorité absolue. Renforcer la réglementation des dispositifs médicaux et mettre en place des mesures de sécurité robustes sont des éléments essentiels pour assurer la protection des patients, des données et du bon fonctionnement des établissements de santé dans un environnement numérique en constante évolution.
Par Vincent Dély, Technical Sales Engineering Director chez Nozomi Networks