USA : Publication d’un projet de loi pour renforcer la sécurité des équipements médicaux

Un projet de loi présenté aux Etats Unis propose que les organismes fédéraux collaborent avec les fournisseurs de solutions de santé, les assureurs et les grands groupes technologiques pour établir des «guides et framework» pour améliorer la cybersécurité des appareils médicaux.

La loi « Internet of Medical Things Resilience Partnership Act » propose que la Food and Drug Administration travaille avec le NIST (National Institute of Standards and Technology) pour créer un groupe de travail sur le sujet. Le groupe élaborera des recommandations et des lignes directrices visant à accroître la sécurité et la résilience des dispositifs médicaux qui stockent, reçoivent, accèdent ou transmettent des informations confidentielles de santé ou des systèmes pour lesquels un accès non autorisé, une modification ou un déni de service pourrait entraîner des conséquences graves pour un patient.

Dans un communiqué expliquant pourquoi le projet de loi est nécessaire, le représentant Brooks a rappelé que les pirates ne cherchent pas seulement à accéder à des informations sensibles, mais également à manipuler les appareils médicaux, ce qui peut conduire à des attaques ciblées potentiellement mortelles.  Les derniers exemples en date comportent la possibilité de modifier à distance des dosages des liquides dans des pompes à perfusion et la capacité de modification du rythme de stimulation cardiaque des pacemakers.

Outre la FDA et le NIST, la composition du groupe de travail, telle que décrite dans le projet de loi, comprendrait des représentants du « Office of the National Coordinator for Health IT » et de la « Federal Communication Commission », des développeurs informatiques spécialisés dans les solutions de santé et d'autres entreprises du secteur technologique. Les fabricants et fournisseurs de dispositifs médicaux et les assureurs en feraient également partie.

Les principaux objectifs du groupe de travail concernent:

  • La mise en place de normes, lignes directrices et meilleures pratiques en matière de cybersécurité pour atténuer les vulnérabilités des dispositifs IoT (Internet des objets) médicaux
  • L’identification et l’amélioration des guides internationaux existants dans le contexte de la santé
  • L’identification des équipements et logiciels hautement prioritaires (impact sanitaire, danger pour les patients, etc.) pour lesquelles de nouvelles normes de sécurité ou des normes amendées sont nécessaires
  • L’établissement de plans d'action permettant de remédier aux faiblesses ou à l’absence de mécanismes de sécurité sur les équipements et les solutions de santé.