[États-Unis] La FDA publie des recommandations de sécurité concernant le matériel médical connecté

La multiplication de l’Internet des Objets (IOT) dans la sphère médicale s’accompagne d’une augmentation importante de probabilité de cyber attaques contre des dispositifs médicaux et les réseaux auxquels ceux-ci peuvent être reliés.

Pour couvrir ces menaces, la FDA (Food and Drug Administration) a commencé à définir des directives prévoyant le maintien d’un haut degré de sécurité tout au long du cycle de vie des logiciels et produits connectés répondant à une mission de santé. Ce projet devrait être prochainement avalisé par le Congrès américain au travers de la loi « Protecting and Transforming Cyber ​​Health Care Act of 2022 ».

Une fois mises en application, ces directives pourraient devenir un prérequis à toute autorisation de développement ou de mise sur le marché d’un logiciel ou d’un dispositif médical. Ces directives s’articulent autour de six principes :

  • La cybersécurité fera partie intégrante de la sécurité des appareils et du QSR (Quality System Requirements).

Celle-ci sera donc totalement intégrée dans le cadre du développement des produits, au même titre que d’autres normes de sécurité plus classiques.

  • Sécurité dès la conception.

Les produits développés devront répondre aux objectifs de sécurité attendus en termes de disponibilité, confidentialité, et intégrité ainsi que de mises à jour et de corrections sécurisées. 

  • Transparence.

Les futurs utilisateurs devront être informés des risques cyber inhérents à l’utilisation de certains produits et disposés des informations et des outils pour gérer ces risques.

  • Gestion des risques de sécurité.

Lors du développement des produits, l'évaluation des risques de sécurité devra se concentrer sur la possibilité d’exploitation d’éventuelles vulnérabilités présentes dans un appareil. Ce processus d’évaluation des risques comprendra à minima des contrôles de conception, une validation des processus de production ainsi que des actions correctives et préventives pour s'assurer que ces risques sont correctement pris en compte.

  • Architecture de sécurité

Chaque produit devra être fourni avec les informations sur l'architecture de sécurité dans laquelle celui-ci doit être intégré.

  • Tests/preuves objectives

Les produits développés devront passer une série de tests de cybersécurité dont l’exigence devra apporter la preuve objective que ceux-ci répondent aux nouveaux standards de cybersécurité de la FDA.