Cybersécurité pour les dispositifs médicaux

Qu'est-ce que la cybersécurité des dispositifs médicaux ?

La cybersécurité des dispositifs médicaux est essentielle pour protéger les données et la vie des patients, ainsi que pour protéger les institutions médicales contre les attaques de ransomware. Avec l'évolution des dispositifs médicaux et de leur connectivité, les cybermenaces ont continué à évoluer en parallèle, créant de nouveaux risques.

Pourquoi la cybersécurité des dispositifs médicaux est-elle si importante ?

Les risques liés à la cybersécurité des dispositifs médicaux sont multiples, ce qui souligne la nécessité de disposer de certifications et de normes à jour et de procéder à des évaluations approfondies de la cybersécurité. Une gestion efficace des risques implique d'améliorer les processus du cycle de vie afin d'identifier les vulnérabilités et de renforcer la sécurité grâce à des essais de pénétration rigoureux.

Risques et exigences en matière de cybersécurité pour les dispositifs médicaux

• Exigences réglementaires:
  Les dispositifs médicaux sont soumis à des réglementations strictes de la part d'organismes tels que la FDA aux États-Unis, l'EMA en Europe, la NMPA en Chine et d'autres agences réglementaires régionales. Ces réglementations exigent le respect de normes et de lignes directrices spécifiques en matière de cybersécurité afin de garantir que les dispositifs sont à l'abri du piratage et d'autres cybermenaces. Le non-respect de ces normes peut entraîner des sanctions sévères, des rappels ou des interdictions.
• Sécurité des patients:
  Les failles de cybersécurité dans les dispositifs médicaux peuvent directement mettre en péril la sécurité des patients. Si un dispositif tel qu'un stimulateur cardiaque ou une pompe à insuline fait l'objet d'une violation, il risque de mal fonctionner, d'administrer des doses de traitement incorrectes ou de tomber en panne à des moments critiques.
• Vie privée et perturbations:
  Étant donné que les dispositifs médicaux stockent et transmettent souvent des informations sensibles sur la santé, une faille de sécurité peut exposer des dossiers médicaux personnels, entraînant une usurpation d'identité et une perte de confidentialité pour le patient. Il s'agit d'un risque typique des attaques par ransomware, où des acteurs malveillants cryptent des données critiques et demandent une rançon pour les débloquer. Ces attaques compromettent non seulement la vie privée des patients, mais perturbent également le fonctionnement essentiel des systèmes de santé, soulignant ainsi la nécessité de mettre en place des mesures de cybersécurité robustes.

Normes et lignes directrices en matière de cybersécurité des dispositifs médicaux

Compte tenu des risques encourus, la cybersécurité des dispositifs médicaux est essayée à l'aune de normes internationales et nationales strictes. Les organismes de réglementation du monde entier ont publié des lignes directrices concernant la réglementation de la cybersécurité des dispositifs médicaux et décrivent les essais qu'ils doivent subir pour arriver sur les marchés. Chez Applus+ Laboratories, nous pouvons vous aider à respecter les normes suivantes :

• EU MDR / MDCG 2019-16 Directives de l'UE sur la cybersécurité des dispositifs médicaux: Garantir l'intégrité et la confidentialité des données relatives aux dispositifs médicaux sur l'ensemble du marché européen.
• USA / FDA Guidance on Cybersecurity in Medical Devices - Quality System Considerations and Content of Premarket Submissions: Lignes directrices pour l'intégration de mesures de cybersécurité, de la conception au déploiement, dans le cadre réglementaire américain.
• IEC TR 60601-4-5 Norme pour la cybersécurité des dispositifs médicaux: Une feuille de route technique pour la mise en œuvre des normes mondiales de cybersécurité dans les dispositifs médicaux.
• CEI 81001-5-1 Norme relative aux activités de sécurité des logiciels et des systèmes informatiques de santé dans le cycle de vie des produits: Stratégies de maintien de la cybersécurité tout au long de la vie opérationnelle du dispositif, applicables dans le monde entier.

Devez-vous vous conformer au règlement MDR de l'UE et aux exigences de la FDA en matière de cybersécurité ?

Si votre produit répond à l'une des déclarations suivantes, il doit faire l'objet d'un processus d'essai de cybersécurité: 

• Il prend en charge les téléchargements de logiciels ou de microprogrammes (par exemple, les mises à jour ou les correctifs).
• Il permet d'accéder à des services de stockage en nuage ou à des services en nuage.
• Peut avoir des ports inutilisés pour la connectivité réseau.
• Utilise tout type de communication sans fil (par exemple, Bluetooth, Wi-Fi, cellulaire, RF, inductif).
• Peut s'interfacer avec d'autres appareils ou systèmes.
• Contient un port USB ou un accès à un support physique (carte mémoire, IAG, etc.).

Dans l'UE, l'accès au marché des dispositifs médicaux est régi par le règlement européen sur les dispositifs médicaux (RDM), qui est devenu obligatoire pour les nouveaux produits en 2021, en remplacement de l'ancienne directive sur les dispositifs médicaux (DDM). Le règlement sur les dispositifs médicaux ne se limite pas aux exigences en matière de sécurité.

Aux États-Unis, la FDA réglemente l'accès au marché des dispositifs médicaux. Les fabricants doivent se soumettre à un processus de soumission préalable à la mise sur le marché (Premarket Submission) avant de vendre leurs produits. La FDA examine cette soumission et accorde l'autorisation de mise sur le marché.

Les réglementations de la FDA et de l'UE en matière de RIM ont des exigences similaires. Les principales attentes des autorités de réglementation sont les suivantes:

• Une documentation complète sur la gestion des risques, y compris une analyse des menaces (actifs, vulnérabilités, menaces) et des contrôles de sécurité « à la pointe de la technologie » pour atténuer les risques.
• Des documents d'orientation et d'étiquetage en matière de sécurité, clarifiant les risques de sécurité et les configurations attendues, le renforcement et l'atténuation des risques.
• Des preuves d'essais de sécurité, tels que des examens de code et des analyses de vulnérabilité.
   

Essais de cybersécurité de la FDA

Les essais de cybersécurité exigés par la FDA visent à garantir la sécurité et l'efficacité des dispositifs médicaux. Ils comprennent plusieurs phases:

1. Exigences de sécurité (à effectuer par le fabricant):
   • Le fabricant doit apporter la preuve qu'au cours de la phase de conception de son produit, les exigences de sécurité définies lors de la modélisation des menaces ont été mises en œuvre.
   • Le fabricant doit fournir des preuves de la manière dont ces exigences de sécurité ont été correctement mises en œuvre, ainsi qu'une analyse et une justification des hypothèses de délimitation.
2. Atténuation des menaces (à réaliser par le fabricant):
   • Le fabricant doit fournir des preuves de l'efficacité des mesures de contrôle des risques sur la base des modèles de menace fournis.
   • Le fabricant doit fournir des preuves sur la manière de vérifier que chaque contrôle des risques de cybersécurité est adéquat (par exemple, l'efficacité de la sécurité dans l'application de la politique de sécurité spécifiée, la performance dans des conditions de trafic de pointe, la stabilité et la fiabilité).
3. Essais de vulnérabilité (à effectuer par le fabricant ou une 3^e partie indépendante):
   • Le fabricant ou un tiers doit fournir des détails et des preuves des essais et analyses suivants:
     • Robustesse.
     • Essais Fuzz.
     • Analyse statique et dynamique du code.
     • Analyse de la surface d'attaque.
     • Essai en boîte fermée de l'analyse des vulnérabilités connues.
     • Analyse de la composition logicielle des fichiers exécutables binaires.
4. Essais de pénétration (à effectuer par un tiers indépendant):
   • Une tierce partie indépendante doit fournir l'identification et la caractérisation des problèmes de sécurité au moyen d'essais axés sur la découverte et l'exploitation des vulnérabilités de sécurité.
   • Les rapports d'essais de pénétration doivent comporter les éléments suivants:
     • Indépendance et expertise technique des testeurs.
     • Portée et durée des essais.
     • Méthodes d'essai.
     • Résultats.
     • Observations sur les résultats.

Processus de certification des dispositifs médicaux pour la cybersécurité

Pourquoi choisir Applus+ Laboratories pour la cybersécurité des dispositifs médicaux ?

Applus+ Laboratories propose des services complets d'essais de cybersécurité pour l'évaluation des dispositifs médicaux. Nous avons de nombreuses années d'expérience dans la conduite d'évaluations de cybersécurité et la réalisation d'essais de pénétration sur toutes sortes de cibles d'évaluation (TOE). Nous pouvons vous aider tout au long du processus de mise en conformité avec les normes EU MDR et FDA.

Essais de pénétration

Applus+ Laboratories propose des services étendus d'essais de pénétration afin d'évaluer la résilience des systèmes contre les attaques et les accès non autorisés. En effectuant des simulations de cyberattaques, nous évaluons les vulnérabilités des dispositifs médicaux à travers divers composants:

Sur le matériel

Attaques de pointe et outils ad hoc élaborés par les experts du laboratoire:

• Rétro-ingénierie
• Examen de la conception
• Attaques logiques
• Extraction de stockage et analyse externe

Sur les logiciels et les microprogrammes

Solide expérience en matière de systèmes embarqués, de démarrage sécurisé, de TEE et de cryptographie en boîte blanche:

• Rétro-ingénierie binaire
• Attaques statiques
• Audits du code source
• Débogage
• Fuzzing
• Falsification dynamique/accrochage

Sur les protocoles de communication

Pour les protocoles de la pile IP, les systèmes industriels et les protocoles propriétaires:

• Attaque de toutes les couches (modèle OSI), y compris le matériel personnalisé pour stimuler les couches inférieures (protocoles câblés et sans fil).
• Fuzzing

Notre expertise en matière de cybersécurité renforce encore les mesures de sécurité que nous recommandons. Les activités d'essais de pénétration menées dans notre laboratoire d'experts contribuent non seulement à renforcer la cyber-résilience des produits, mais servent également de preuve de conformité aux exigences de cybersécurité imposées par les organismes de réglementation du monde entier, tels que la FDA aux États-Unis.

Analyse des écarts

Nos équipes peuvent également aider les fabricants du monde entier en vérifiant si leurs produits sont conformes aux normes ou directives spécifiques exigées par les organismes de réglementation.

Chez Applus+ Laboratories, nous examinons la documentation générée par le fabricant afin de déterminer si elle répond à la norme spécifique, en identifiant toute lacune ou tout défi potentiel. Au cours de cette phase, l'équipe d'Applus+ Laboratories analysera, guidera et soutiendra le fabricant dans la préparation de la documentation requise avant sa soumission à l'organisme de réglementation.

Exemple: Pour les essais de cybersécurité de la FDA, l'équipe d'Applus+ Laboratories propose un service facultatif pour examiner la documentation du fabricant avant la soumission avant commercialisation, en se concentrant sur 1) les exigences de sécurité, 2) l'atténuation des menaces et 3) l'essai de vulnérabilité, en analysant, entre autres, les exigences de sécurité définies et en vérifiant si elles s'alignent sur les problèmes de sécurité identifiés dans la modélisation des menaces, ainsi que les hypothèses définies, l'adéquation de l'essai de vulnérabilité, etc.

Expérience en matière de projets et de produits