Sécurité des dispositifs médicaux : Ce que les OEM doivent savoir

La sécurité des dispositifs médicaux n'est plus une question secondaire - elle est essentielle. Dans cet article, nous examinerons les nouveaux problèmes de cybersécurité dans l'industrie, les réglementations et les mesures importantes que vous pouvez prendre pour sécuriser et gérer vos dispositifs médicaux contre les menaces actuelles et futures.

Selon Deloitte, les dispositifs médicaux sont de plus en plus souvent la cible de cyberattaques. Comme ces appareils fournissent des services essentiels, les cybercriminels pensent que les entreprises du secteur de la santé paieront rapidement une rançon. Cette recrudescence des cyberincidents sur les dispositifs médicaux a perturbé les chaînes d'approvisionnement, les processus de fabrication et la recherche, entraînant des centaines de millions de dollars de dommages et d'atteintes à la réputation. Parallèlement, la pandémie a accéléré l'adoption du site médical IoT afin de réduire les contacts personnels. En fait, la valeur des dispositifs médicaux surIoT aura presque quadruplé d'ici 2027.

Qu'est-ce que la sécurité des dispositifs médicaux ?

Dispositif médical connecté

En d'autres termes, la sécurité des dispositifs médicaux exige des concepteurs de dispositifs qu'ils intègrent les meilleures pratiques en matière de sécurité dans la conception de leurs dispositifs, mais aussi qu'ils veillent à ce que ces dispositifs puissent être contrôlés et mis à jour afin de les sécuriser tout au long de leur cycle de vie.

La sécurité des dispositifs médicaux est probablement le problème de sécurité le plus urgent auquel le secteur de la santé est actuellement confronté. Les équipementiers de dispositifs médicaux doivent utiliser des outils et des processus de sécurité pour empêcher l'accès ou le contrôle non autorisé de ces dispositifs et des données qui y sont associées. Ils doivent également se doter de la capacité d'envoyer à distance des mises à jour de sécurité du micrologiciel de manière fiable à mesure que des menaces apparaissent.

Pourquoi la cybersécurité est-elle importante pour les dispositifs médicaux ?

Dispositif médical dans un établissement de soins de santé

Les dispositifs médicaux de diagnostic tels que les appareils d'IRM, les tomodensitomètres et les appareils de radiologie étant de plus en plus souvent connectés à des réseaux, ils sont vulnérables aux mêmes attaques de piratage, de logiciels malveillants et de ransomwares que les autres types de matériel en réseau.

Selon certaines estimations, 20 à 30 milliards d'appareils médicaux sont connectés aux États-Unis dans le cadre de l'Internet des objets (IoT) en pleine expansion. Ces appareils médicaux IoT comprennent des pompes à perfusion, des pompes à insuline, des stimulateurs cardiaques, des dispositifs médicaux portables et même des ventilateurs. Selon un rapport de Moody's, une société de sécurité informatique a signalé une augmentation de près de 10 000 % des tentatives d'attaques contre des clients du secteur de la santé entre 2019 et 2020.

Dans le cas de ces dispositifs médicaux, une attaque peut compromettre les données privées d'un patient, voire sa santé. De récentes attaques de ransomware ont entraîné la mort de patients lorsqu'un hôpital de l'Alabama n'a pas pu utiliser les moniteurs de rythme cardiaque fœtal après que les appareils aient été piratés. C'est pourquoi la Food and Drug Administration (FDA) a établi des lignes directrices et des exigences en matière de sécurité des dispositifs médicaux connectés. Le respect de ces règles incombe aux fabricants et aux prestataires de soins de santé.

Qui est responsable de la sécurité des dispositifs médicaux ?

Infirmière montrant des informations médicales

Aux États-Unis, la Food and Drug Administration (FDA) réglemente les dispositifs médicaux et l'une de ses principales priorités en matière de cybersécurité est la menace des ransomwares sur les dispositifs médicaux. Toutefois, la cybersécurité des dispositifs médicaux relève à la fois de la responsabilité des fabricants et des fournisseurs de dispositifs connectés et de celle des organismes de santé qui les utilisent, ce qui souligne qu'il peut y avoir des failles de sécurité n'importe où dans l'environnement médical.

Comment sécuriser un dispositif médical ?

Développeur de dispositifs médicaux

Les fabricants de dispositifs médicaux et les organismes de santé constituent la première ligne de défense pour réduire les cyberattaques sur leurs dispositifs. En adoptant certaines mesures défensives et une surveillance proactive, les fabricants de dispositifs médicaux et les organismes de santé peuvent renforcer la sécurité de leurs appareils tout en préservant le bien-être des patients qui les utilisent.

Les problèmes de cybersécurité auxquels sont confrontés les dispositifs médicaux augmentent avec le temps, ce qui rend ces considérations impératives à chaque phase de la chaîne, du développement à l'utilisation finale. Voici quelques mesures que les fabricants de dispositifs médicaux peuvent prendre.

  • Intégrer la sécurité dans le dispositif médical dès le départ. Lorsque des cyberattaques sont rendues publiques, les agences gouvernementales telles que la FDA citent le nom du fabricant et du produit concerné. Ce type de publicité peut ruiner la confiance des clients et des utilisateurs finaux. C'est pourquoi il est logique et obligatoire d'élever la sécurité au rang de caractéristique essentielle ou de droit de propriété intrinsèque dès la phase de conception d'un dispositif.
  • Identifier les menaces et les vulnérabilités potentielles et élaborer un plan. Réalisez une évaluation des risques de sécurité des dispositifs médicaux afin d'identifier les menaces potentielles auxquelles ils sont confrontés et élaborez un plan de gestion des risques pour faire face à ces risques, en le tenant bien sûr constamment à jour.
  • Mettre en place une authentification forte. Prévoyez des mécanismes d'authentification robustes pour limiter l'accès aux fonctions critiques et aux données sensibles.
  • Utiliser des techniques de cryptage et de protection des données. Le cryptage peut protéger les données sensibles en appliquant les meilleures pratiques en matière de stockage et de transmission des données.
  • Mettre en place un processus de gestion des correctifs et de surveillance des vulnérabilités. Envisager des systèmes de gestion à distance qui permettent de contrôler et de mettre à jour les correctifs de sécurité et les microprogrammes de manière centralisée et à distance.

 


Ressources
  • Digi TrustFence® - Un cadre de sécurité intégré qui permet de multiples points de défense dans les produits développés avec les modules système Digi ConnectCore® (SOM).
  • Digi ConnectCore Services de sécurité - Services et outils permettant de surveiller et d'analyser les risques de sécurité et de maintenir la sécurité de vos appareils tout au long du cycle de vie du produit.
  • Digi ConnectCore Services en nuage - Services permettant des mises à jour logicielles sécurisées par voie hertzienne (OTA), favorisant l'automatisation des processus, la gestion des déploiements à distance et la réduction des coûts.
  • Digi Wireless Design Services - Une équipe d'ingénieurs hautement qualifiés est disponible pour aider les développeurs de dispositifs médicaux à mettre rapidement sur le marché des produits sûrs et fiables.

 

Nouvelles réglementations en matière de sécurité des dispositifs médicaux

Concept de droit médical

D'ici à la fin de 2020, le le secteur des soins de santé aura payé environ 20,8 milliards de dollars en temps d'arrêt - soit près du double des montants de 2019. En fait, le nombre de dossiers touchés en 2020 a augmenté de 470 % par rapport à 2019. Pire encore, les prestataires de soins de santé ont payé environ 2,1 millions de dollars de rançon pour les données des patients.

Lignes directrices de la FDA en matière de cybersécurité

Puis, au début de l'année 2023, la FDA a commencé à exiger que les dispositifs médicaux respectent des lignes directrices spécifiques en matière de cybersécurité, qui ont été inscrites dans la loi. Pour faire face aux vulnérabilités croissantes en matière de sécurité des dispositifs médicaux dues aux cyberattaques contre les hôpitaux et les dispositifs connectés à l'internet, tous les nouveaux demandeurs de dispositifs médicaux doivent désormais faire part de leurs plans de surveillance, d'identification et de gestion des problèmes de cybersécurité. Il s'agit d'un changement majeur par rapport à la façon dont les fabricants de dispositifs médicaux doivent assurer la sûreté et la sécurité de leurs produits, depuis leur conception jusqu'à leur obsolescence, en passant par leur durée de vie.

Les nouvelles exigences de la FDA en matière de sécurité des dispositifs médicaux sont les suivantes :         

  • Un processus documenté visant à garantir que les dispositifs médicaux sont protégés de manière adéquate.
  • Déployer des mises à jour et des correctifs de sécurité à intervalles réguliers et dans les situations critiques.
  • Partager une nomenclature des logiciels (SBOM) qui inclut tous les logiciels libres et autres logiciels d'appareils, y compris les progiciels commerciaux.

En outre, la FDA prévoit désormais d'actualiser tous les deux ans ses lignes directrices sur la cybersécurité des dispositifs médicaux.

Lignes directrices de l'Union européenne sur la cybersécurité des dispositifs médicaux

En Europe, le MDR 2017/745 et l'IVDR 2017/746 couvrent les dispositifs médicaux les plus récents. Ces documents décrivent les nouvelles exigences essentielles en matière de sûreté et de sécurité pour tous les dispositifs médicaux dotés de systèmes programmables, ainsi que pour les dispositifs médicaux logiciels.

La directive Directive NIS2 et le GDPR comprennent les normes de cybersécurité pour les dispositifs médicaux et pour la gestion des données personnelles des patients. Enfin, la loi européenne sur la cybersécurité comprend un cadre de certification de la cybersécurité qui promet de renforcer la protection des processus, des produits et des services informatiques.

Documents d'orientation internationaux sur la cybersécurité des dispositifs médicaux 

Au niveau international, deux documents d'orientation définissent les principes de base de la cybersécurité pour la durée de vie des dispositifs médicaux. Tout d'abord, l'International Medical Device Regulators Forum a rédigé les Principes et pratiques pour la cybersécurité des dispositifs médicaux. Ensuite, le groupe de coordination des dispositifs médicaux a publié le EU MDCG 2019-16 Rev.1 Guidance on Cybersecurity for Medical Devices (Guidance sur la cybersécurité des dispositifs médicaux).

 


Télécharger la Législation émergente sur la cybersécurité des dispositifs médicaux pour obtenir des conseils plus approfondis sur ce sujet important.

 

Tendances émergentes en matière de sécurité des dispositifs médicaux IoT

Professionnel de la santé accédant à des appareils connectés

Les organismes de réglementation tenant les fournisseurs de dispositifs médicaux pour responsables de la sécurité, l'intérêt pour la recherche de nouveaux moyens de réduire les menaces de cybersécurité des dispositifs médicaux va croissant. Gardez un œil sur ces tendances technologiques émergentes :

  • Intelligence artificielle (IA) et apprentissage automatique (ML) - L'intelligence artificielle peut aider les équipes informatiques des soins de santé à analyser les données et à sélectionner les stratégies de sécurité les plus rentables plutôt que d'appliquer une approche unique à la sécurité des données.
  • Technologie blockchain - La technologie blockchain peut stocker un journal inintelligible, inéditable, décentralisé et transparent de toutes les données du patient et peut dissimuler des données sensibles du patient telles que l'identité d'une personne. La blockchain étant décentralisée, elle permet également aux patients et aux prestataires de soins de santé de partager les mêmes informations rapidement et en toute sécurité, sans compromettre la conservation des données du patient.
  • Architecture de confiance zéro - L'idée centrale de l'architecture de confiance zéro est "ne jamais faire confiance, toujours vérifier", qui traite chaque connexion sur le réseau comme une menace potentielle. Au lieu de l'approche traditionnelle qui consiste à s'authentifier une fois et à faire confiance pour le reste de la session, cette approche minimise les risques de failles de sécurité en accordant l'accès sur la base du besoin de savoir.
  • Microsegmentation - En divisant un réseau en segments ou zones plus petits, les administrateurs réseau peuvent réduire le risque d'accès non autorisé. En utilisant la microsegmentation, les prestataires de soins de santé peuvent limiter les mouvements d'un attaquant dans le réseau et empêcher les attaques de ransomware d'interférer avec les appareils médicaux.

 


Découvrez comment Digi TrustFence permet aux OEM d'intégrer la sécurité des appareils, l'identité des appareils et la confidentialité des données.

 

Passez à l'étape suivante de la sécurisation de vos dispositifs médicaux

Digi ConnectCore Services de sécuritéIl ne fait aucun doute que les normes de sécurité des dispositifs médicaux sont importantes et qu'elles le deviendront de plus en plus dans les années à venir. C'est pourquoi les prestataires de soins de santé et les fabricants de dispositifs médicaux doivent accorder la priorité à la sécurité, à mesure que la croissance et la demande de dispositifs médicaux augmentent ( IoT ).

Pour commencer, choisissez un partenaire de communication sans fil et filaire expérimenté, doté d'une grande expertise en matière de sécurité des appareils IoT et qui comprend les meilleures pratiques en matière de sécurité des appareils médicaux. C'est là que Digi peut vous aider. Depuis 1985, Digi est un pionnier des communications sans fil et câblées et fournit des solutions de bout en bout dans tous les secteurs.

L'écosystèmeDigi ConnectCore est une suite complète de modules embarqués, de logiciels, d'outils et de services. La plateforme ConnectCore fournit des solutions connectées dans des secteurs très réglementés tels que l'industrie et l'énergie, le secteur médical, la recharge des véhicules électriques et le secteur bancaire, où la sécurité est cruciale.

Un élément clé, notre système sur modules hautement intégré, présente des avantages uniques, notamment

  • Fiabilité industrielle - Conçus pour durer au moins 10 ans, ils ont une capacité de fonctionnement de 24/7/365 pour une utilisation continue et sont assortis d'une garantie produit par défaut de 3 ans.
  • Intégration approfondie - Les SOM de Digi s'intègrent de manière transparente à l'écosystème XBee® et aux protocoles Wi-Fi et Bluetooth. Ils prennent également en charge les normes IoT telles que les réseaux cellulaires LTE, les réseaux maillés et la connectivité sans fil sub-GHz à longue portée.
  • Sécurité de pointe - Tous les SOM Digi intègrent le cadre de sécurité Digi TrustFence IoT et un élément matériel sécurisé (SE).
  • Connectivité flexible - Une gamme d'options de connectivité permet aux SOM de Digi de s'adapter à une grande variété d'applications.
  • Portefeuille évolutif - Au fur et à mesure de l'évolution de votre application, les développeurs peuvent simplement intégrer un module plus performant, compatible, sur le site Digi ConnectCore . 
  • Services d'ingénierie - Digi Wireless Design Services peut renforcer votre équipe de développeurs à tout moment, du prototypage au développement, en passant par les tests, la certification et les services de préparation à la fabrication.
  • Un support de premier ordre - De la documentation complète à une multitude d'outils intégrés et de services d'assistance technique, Digi s'assure que vous disposez de tout ce dont vous avez besoin pour un développement et un déploiement réussis.
  • Digi ConnectCore Les services de sécurité et les services cloudDigi ConnectCore offrent les capacités dont vous avez besoin pour analyser et surveiller les appareils afin de détecter les menaces de sécurité nouvelles et en évolution, et pour gérer à distance et en toute sécurité les appareils déployés sur le terrain tout au long de leur cycle de vie.

Laissez-nous vous aider à sécuriser votre dispositif médical IoT afin que vous puissiez continuer à améliorer la santé de vos patients en toute confiance.

Prochaines étapes

Obtenir notre livre blanc
En savoir plus sur les directives de la FDA relatives aux dispositifs médicaux sans fil

Contenu connexe

Comment Digi ConnectCore MP25 prend en charge l'IA/ML et la vision par ordinateur Comment Digi ConnectCore MP25 prend en charge l'IA/ML et la vision par ordinateur L'intégration de l'IA et de l'apprentissage automatique avec la puissance de l'informatique de pointe prend en charge des... LIRE LE BLOG Les derniers développements en matière de sécurité des appareils IoT Les derniers développements en matière de sécurité des appareils IoT Rester au fait des réglementations gouvernementales peut être une tâche difficile pour toute entreprise, en particulier pour les organisations qui... WEBINAIRE PRÉ-ENREGISTRÉ Sécurité des systèmes embarqués, gestion du cycle de vie et recettes récurrentes Sécurité des systèmes embarqués, gestion du cycle de vie et recettes récurrentes On attend de plus en plus des développeurs de systèmes embarqués qu'ils fournissent une gestion intégrée et continue de la cybersécurité avec... VIDÉO Conception de dispositifs médicaux sécurisés et conformes avec les solutions Digi ConnectCore Conception de dispositifs médicaux sécurisés et conformes avec les solutions Digi ConnectCore Aujourd'hui, les fabricants de dispositifs médicaux sont confrontés à de nouvelles réglementations qui exigent une cybersécurité intégrée ainsi qu'une sécurité permanente... VIDÉO Connecter l'industrie des soins de santé Connecter l'industrie des soins de santé Digi Connect WS et ES offrent une connectivité fiable, sécurisée et conforme aux normes de sécurité pour les établissements de santé. VOIR LE PDF Ajouter la commande vocale à votre prochain dispositif médical Ajouter la commande vocale à votre prochain dispositif médical La commande vocale offre des avantages uniques pour les dispositifs médicaux - confort d'utilisation, hygiène améliorée par rapport aux écrans tactiles ou... WEBINAIRE PRÉ-ENREGISTRÉ LASARRUS LASARRUS Medical Wearables connecte les capteurs à la télésurveillance pour améliorer les processus et les résultats de la physiothérapie LASARRUS développe de nouveaux dispositifs innovants pour améliorer les résultats de la physiothérapie pour les victimes d'accidents vasculaires cérébraux ou de blessures articulaires. Ses... LIRE L'ARTICLE La 5G et l'avenir de la télémédecine et de la chirurgie à distance La 5G et l'avenir de la télémédecine et de la chirurgie à distance La télémédecine (ou télésanté) est à un tournant. Pendant des centaines d'années, les interactions entre médecins et... LIRE LE BLOG Technologie BOS BOS Technology répond à la pandémie de COVID-19 en surveillant les chambres des patients pour contenir le virus Le Digi ConnectPort X2 est un choix parfait pour notre application. Nous voulions utiliser uniquement les meilleurs produits pour cette solution... LIRE L'ARTICLE IoT dans le secteur de la santé : Applications et cas d'utilisation IoT dans le secteur de la santé : Applications et cas d'utilisation IoT dans le domaine de la santé est un secteur en pleine expansion pour diverses raisons, notamment la capacité des appareils connectés à collecter des données... LIRE LE BLOG Digi ConnectCore pour les applications de santé Digi ConnectCore pour les applications de santé Faire des soins de santé connectés une réalité pour les cliniques, les hôpitaux et les foyers VOIR LE PDF Mains propres Mains sûres L'amélioration du lavage des mains diminue la propagation des infections dans les hôpitaux et réduit les dépenses Le lavage des mains est l'une des routines quotidiennes les plus importantes pour éviter la propagation des bactéries et des maladies, en particulier dans... LIRE L'ARTICLE