Guide pour la cybersécurité

Par Guillaume Promé
le
1 Oct. 2019 Logiciel, Veille gratuite

L’IMDRF a publié un draft de guidance pour la cybersécurité des dispositifs médicaux.

Présentation du guide

Le guide pose les définitions nécessaires pour aborder la cybersécurité (ex : attaque, authentification, confidentialité…).

Le processus de gestion de la cybersécurité est détaillé (très proche d’un processus de gestion des risques) :

IMDRF : processus de gestion de la cybersécurité

Un cadre est défini pour la gestion de la cybersécurité, il demande de :

  1. Identifier les risques de cybersécurité dans l’environnement de conception et d’exploitation de l’appareil ;
  2. Protéger l’appareil pour réduire les risques grâce à diverses mesures d’atténuation des risques ;
  3. Détecter si un dispositif a été compromis en raison d’un événement de cybersécurité ;
  4. Réagir en utilisant un processus préalablement défini pour réagir à un événement de cybersécurité ; et
  5. Récupération à l’aide d’un processus prédéfini pour rétablir le fonctionnement normal de l’appareil à la suite d’un événement de cybersécurité.

Travail avant commercialisation

La phase “pré-market” prend en compte la cyber sécurité lors des étapes de :

  • Conception (notamment de l’architecture)
  • Gestion des risques
  • Tests
  • Définition des besoins de surveillance
  • Soumission règlementaire

Travail après commercialisation

La gestion de la cybersécurité se poursuit après commercialisation : formation des utilisateurs; détection/communication/correction des failles de sécurité; communication avec les utilisateurs, les référents techniques et les autorités; et gestion des incidents

Types de communications prévues :

  • Informations sur les vulnérabilités des produits
  • Informations sur les vulnérabilités des composants utilisés dans d’autres produits
  • Informations sur les équipements informatiques susceptibles d’avoir un impact sur la sécurité des dispositifs médicaux
  • Informations sur les attaques, le potentiel et le développement de l’exploitation
  • Confirmation des incidents
  • Disponibilité de correctifs ou d’alternatives plus sûres

source : IMDRF