Menaces en cybersécurité dans le secteur des dispositifs médicaux

À mesure que la technologie évolue rapidement, la cybersécurité est devenue indispensable dans de nombreux secteurs. Alors que le risque de cyberattaques s’infiltre dans l’industrie de la santé, le Congrès américain subit des pressions pour agir. À mesure qu’une gamme de dispositifs médicaux — pompes intraveineuses, appareils d’IRM, moniteurs de fréquence cardiaque — progressent pour se connecter aux réseaux numériques, ils deviennent de plus en plus vulnérables aux risques liés au cyber.

Les risques en cybersécurité sont en hausse

Plusieurs facteurs contribuent à l’augmentation des menaces en cybersécurité contre les dispositifs médicaux. Le plus simple étant l’afflux de connectivité dans l’industrie médicale. De plus en plus, les dispositifs médicaux sont conçus pour se connecter à Internet et à d’autres réseaux numériques. Bien qu’il y ait de nombreux avantages à ces avancées technologiques, cela ouvre le logiciel — et avec lui, les données des patients — à un monde de risques. Les pirates peuvent exploiter des vulnérabilités dans les logiciels ou les connexions réseau pour accéder à des données sensibles, voire prendre le contrôle de l’appareil lui-même. Dans ces cas-là, les rappels de produits peuvent être particulièrement dangereux pour la vie des patients, car l’utilisation continue de l’appareil n’est pas une option.

Le concept de remédiation doit également être pris en compte. Parfois, les appareils connectés peuvent être réparés par un correctif logiciel diffusé en clair. Compte tenu de la nature de certains appareils et de leur critique pour la santé d’un patient, ni un correctif logiciel ni un rappel ne sont des solutions simples. Il y a aussi la considération d’équipements et d’appareils lourds installés dans les hôpitaux et centres médicaux qui ne peuvent pas être facilement retirés de leur emplacement physique; Des appareils d’IRM, des radiographies et des échographies, pour n’en nommer que quelques-uns. À mesure que ces appareils deviennent de plus en plus connectés aux réseaux hospitaliers, ils deviennent eux aussi vulnérables aux cybermenaces. Lorsque ces problèmes ne peuvent pas être corrigés à distance par un correctif logiciel, cela nécessite généralement le déploiement d’un ingénieur de terrain pour inspecter, diagnostiquer et corriger sur place.

La possibilité d’un rappel ne dépend pas uniquement d’un incident réel, mais aussi de la vulnérabilité aux cyberattaques. Le test préventif de vulnérabilité joue un rôle clé dans l’identification des faiblesses dans le tissu de sécurité de ces appareils, aidant à atténuer l’apparition des incidents avant qu’ils ne surviennent. Grâce à une évaluation continue – et à la correction des expositions découvertes – les fournisseurs de soins de santé et les fabricants peuvent améliorer la cybersécurité globale des équipements médicaux critiques, réduisant ainsi le risque de dommages aux patients et de violations de données.

Les régulateurs des dispositifs médicaux se précipitent pour suivre l’évolution rapide des technologies. Malgré tout, il n’existe pas de réglementation standardisée en matière de sécurité dans l’industrie. Les fabricants, par conséquent, ne peuvent pas concevoir les produits avec un système de sécurité redoutable, ce qui fait passer la responsabilité aux fournisseurs de soins de santé pour qu’ils fassent de leur mieux pour évaluer la sécurité de leurs appareils. Beaucoup de dispositifs médicaux sont construits sur des systèmes hérités qui n’ont pas été conçus conformément aux normes de sécurité modernes. Ces systèmes peuvent être particulièrement vulnérables aux cyberattaques et plus difficiles — et coûteux — à mettre à jour pour se protéger contre les menaces modernes.

Le Congrès alloue le financement de la cybersécurité

Jusqu’à l’adoption d’une législation récente, la Food and Drug Administration (FDA) des États-Unis n’avait aucun pouvoir pour appliquer les lignes directrices en cybersécurité. Un projet de loi promulgué en décembre 2022, appelé Consolidated Appropriations Act, 2023 (H.R. 26217) — détenant 1,7 billion de dollars de ressources discrétionnaires tout au long de l’exercice, le plus haut niveau de financement hors défense de l’histoire américaine — a le potentiel le plus réel à ce jour pour freiner les menaces à la cybersécurité. Le projet de loi omnibus de crédits est chargé de fonds pour des programmes gouvernementaux et le développement économique du développement rural et des infrastructures, de la conservation, de la santé animale et végétale, de la recherche agricole et de marché, et plus encore.

Parmi celles-ci, 3,5 milliards de dollars sont alloués à la FDA pour traiter des enjeux tels que la crise des opioïdes, les problèmes de chaîne d’approvisionnement médicale et, oui, l’amélioration de la cybersécurité des dispositifs médicaux. Il a aussi, fait notable, donné à la FDA le pouvoir d’établir et d’appliquer pour la première fois des normes de cybersécurité pour les dispositifs médicaux.

Comment la Loi sur les crédits consolidés peut aider

La Loi sur les crédits consolidés contient plusieurs dispositions visant la cybersécurité des dispositifs médicaux, tout en augmentant l’autorité réglementaire de la FDA.

Premièrement, les exigences de sécurité seront mises en œuvre à un niveau fédéral sans précédent. Les fabricants devront mettre en place des contrôles de sécurité qui empêchent l’accès non autorisé aux appareils, assurent l’accès aux dispositifs médicaux en cas de cyberattaque et protègent la confidentialité ainsi que les données des patients. Chaque fabricant devra soumettre à la FDA un plan complet de cybersécurité pour examen en vue de l’approbation préalable à la mise en marché, qui détaillera leurs procédures afin de garantir que les mises à jour logicielles et de micrologiciel post-commercialisation soient accessibles aux consommateurs.

Les mesures exigeront également une meilleure transparence et une meilleure reddition de comptes de la part des fabricants. Désormais, les fabricants doivent signaler les incidents de cybersécurité à la FDA (ainsi que les patients touchés) dans un délai précis et fournir des mises à jour sur l’avancement des efforts de remédiation et des plans pour prévenir que des incidents similaires ne se reproduisent.

Les rappels de produits et les préoccupations liées aux cybermenaces surviennent fréquemment, et à mesure que les agences (comme la FDA) expriment de plus en plus publiquement leurs critiques envers les décisions des fabricants, les fabricants doivent adopter un procès et agir selon les règles pour éviter les répercussions publiques. Par conséquent, il y a plus d’incitation à suivre les conseils des experts pour établir des plans de rappel et de remédiation incluant la manière de répondre à une crise liée aux produits. Il est également suggéré que les fabricants participent à des simulations d’exercices de rappel dans le cadre de leurs protocoles de gestion des risques.

Certaines dispositions vont au-delà du simple ciblage des fabricants de dispositifs médicaux — comme une disposition clé qui crée un nouveau centre au sein de la FDA dédié à l’amélioration et à la coordination des efforts de cybersécurité pour les dispositifs médicaux. Le Centre d’excellence en cybersécurité élaborera et mettra en œuvre des normes et des meilleures pratiques, fournira des conseils aux fabricants et aux fournisseurs de soins de santé et évaluera la sécurité des appareils. Il est important de noter que cela créera un pont entre les fabricants et le gouvernement fédéral afin de créer une voie à suivre pour répondre aux préoccupations liées à la cybersécurité dans l’industrie des dispositifs médicaux.

D’autres dispositions favorisent le partage d’informations et la coopération entre les parties prenantes; la FDA devra établir un partenariat public-privé pour promouvoir la cybersécurité dans l’industrie. La FDA sera également tenue d’établir un nouveau programme pilote conçu pour évaluer les rapports sur les vulnérabilités en cybersécurité et fournir à l’agence des données critiques sur les risques.

L’impact prévu

Maintenant que la FDA, les fabricants et les fournisseurs de soins de santé devront travailler de concert, les problèmes de manque de clarté ou de transparence pourraient enfin être résolus. Du côté des fabricants, avec les exigences de détailler les informations de cybersécurité dans les rapports de rappel, d’assurer des normes de sécurité de haut niveau et de rapporter les informations à l’agence, la FDA et les fournisseurs de soins de santé disposeront d’une mine d’informations pour mieux comprendre les risques de cybersécurité associés aux dispositifs médicaux.

Inversement, en exigeant que la FDA fournisse des conseils sur les examens post-commercialisation, crée un centre dédié à l’élaboration de normes et établisse un programme pilote ciblant les vulnérabilités, les fabricants (et les fournisseurs de soins de santé) recevront des connaissances utiles qui aideront à améliorer les zones problématiques et à réduire le risque de rappels de produits.

Lorsque les dispositifs médicaux mettent les patients en danger, une action rapide devient cruciale. En plus de la santé des patients, les rappels de dispositifs médicaux peuvent avoir un impact dévastateur sur la marque et les résultats financiers d’une entreprise, et exposer les entreprises à des mesures réglementaires et à des litiges. Les experts en protection de marque de Sedgwick offrent des décennies d’expérience en dispositifs médicaux — vous aidant à développer, améliorer, tester et exécuter vos plans de rappel de produits ou procédures de remédiation.

Pour en savoir plus > visitez notre site web pour découvrir notre expérience dans le secteur des dispositifs médicaux