Consultation publique : projet de recommandations pour la cybersécurité des dispositifs médicaux
L’ANSM vient de publier son projet de recommandations pour la “Cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie“.
Bienvenue à un nouvel acronyme : DMIL, notez que les recommandations concernent principalement les dispositifs médicaux connectés.
Résumé
Le contexte règlementaire est rappelé ainsi que les notions de sécurité, sureté, menace informatique …
4 critères sont identifiés pour évaluer la cybersécurité :
- disponibilité du système informatique
- confidentialité des données
- intégrité du système (qui ne peut être modifié)
- audibilité du système, des activités et de la documentation associée
Les grands principes de SSI sont listés. Le recours à une analyse des risques est rappelle.
Point intéressant : les recommandations insistent sur le recours à la gestion des risques (ISO 14971) et au système de management de la qualité (ISO 13485) pour les activités de cybersécurité.
L’analyse des risques est ainsi précisée pour le contexte cybersécu, par exemple :
Il est recommandé de proscrire la sécurité par l’obscurité. En effet, la sécurité d’un système ne devrait pas reposer sur le secret de sa conception ou de sa mise en œuvre. Il faut considérer qu’un attaquant peut toujours avoir accès au fonctionnement interne d’un dispositif médical, notamment au code logiciel qu’il exécute (par exemple, via des procédés de rétro-conception), au secret d’un algorithme, d’un protocole.
avec des recommandations très pertinentes pour l’identification des risques liés à la cybersécurité.
C’est finalement tout le cycle de vie du logiciel qui est concerné, les recommandations portant également sur la conception, la mise en service, la surveillance.
Un regret : la norme IEC 62304 est très peu mise à contribution dans ce guide.
source : ANSM