PRO.CYBER

dernière modification : 8 janvier 2020

procédure – Gestion de la cybersécurité

Introduction

La sûreté de fonctionnement d’un dispositif médical consiste à s’assurer qu’il fonctionne correctement et à prévenir les risques aléatoires et involontaires. La sureté prend également en compte les erreurs d’utilisation. C’est l’objet de la gestion des risques.

La sécurité consiste à s’assurer que le DM est protégé contre toute attaque informatique extérieure pouvant compromettre le fonctionnement du DM. C’est l’objet de la gestion de la cybersécurité.

La sûreté de fonctionnement s’intéresse majoritairement aux erreurs accidentelles. La sécurité prend également en compte les actions intentionnelles, c’est-à-dire créées dans l’intention de nuire.

Objet

Cette procédure décrit les dispositions prises par l’entreprise en matière de gestion de la cybersécurité des dispositifs médicaux.

Cette procédure est applicable à tout logiciel dispositif médical et particulièrement à tout dispositif médical connecté.

Destinataires

Cette procédure concerne les membres de la société impliqués dans les activités de définition, conception, test, certification et surveillance des dispositifs médicaux induisant des risques de cybersécurité.

Normes, Guides et règlementations

Les règlementations ci-dessous vont au-delà du DM, elles sont listés à titre informatif.
  • Directive NIS
  • RGPD
  • Règlement cybersécurité
  • Certification hébergeur de données de santé
Les guides ci-dessous sont listés à titre informatif.
Voir également, au besoin :
  • La norme AAMI TIR57
  • Les normes UL 2900-1 et UL 2900-2-1 (DM connecté à un réseau). Ces normes proposent des essais, un certificat UL peut être obtenu au près d’un laboratoire d’essais.
  • Les normes du comité ISO/TC 215 (notamment la série IEC 80001-x-x)
  • Les guidances de la FDA relatives à la cybersécurité
  • Les publications de l’ENISA.
  • Le Framework du NIST

Abréviations

ADR; C&D; GDR; IAU; UOUP.

Définitions


Vue globale du processus de cybersécurité

Processus associés

Le processus de gestion de la cybersécurité est associé aux processus suivants de l’entreprise :

  • Gestion des risques
  • Cycle de vie du logiciel
  • Gestion de la qualité
  • Surveillance
  • Gestion des CAPA
  • Services et prestations

Activités du processus

Vue d’ensemble

La gestion de la cybersécurité s’intègre aux activités de :

  • Définition du dispositif
  • Conception et développement (dont essais de vérification et de validation)
  • Gestion des risques
  • Cycle de vie du logiciel
  • Surveillance après commercialisation
  • Activités règlementaires, dont soumission des dossiers
  • Communication avec les parties intéressées
  • Modification du dispositif
  • Retrait du dispositif

Tout comme la gestion des risques, la gestion de la cybersécurité couvre tout le cycle de vie du logiciel.


Ce contenu est réservé aux abonnés payants.