Le 4 août 2023
Alors que la technologie évolue rapidement, la cybersécurité est devenue indispensable dans de nombreuses industries. Alors que le risque de cyberattaques s’infiltre dans le secteur de la santé, le Congrès américain est pressé de prendre des mesures. À mesure qu’une gamme de dispositifs médicaux - pompes IV, appareils d’IRM, moniteurs de fréquence cardiaque - progressent pour pouvoir se connecter aux réseaux numériques, ils sont de plus en plus vulnérables aux cyberrisques.
Les risques pour la cybersécurité augmentent
Plusieurs facteurs contribuent à l’augmentation des menaces à la cybersécurité pour les dispositifs médicaux. Le plus simple étant l’afflux de connectivité dans l’industrie médicale. De plus en plus, les dispositifs médicaux sont conçus pour se connecter à Internet et à d’autres réseaux numériques. Bien qu’il y ait de nombreux avantages à ces avancées technologiques, cela ouvre le logiciel - et avec lui, les données des patients - à un monde de risque. Les pirates peuvent exploiter les vulnérabilités des connexions logicielles ou réseau pour accéder à des données sensibles, voire prendre le contrôle de l’appareil lui-même. Dans ces cas, les rappels de produits peuvent être particulièrement dangereux pour la vie des patients, car l’utilisation continue de l’appareil n’est pas une option.
Le concept d’assainissement doit également être pris en considération. Parfois, les appareils connectés peuvent être réparés avec un correctif logiciel en direct. Compte tenu de la nature de certains appareils et de leur gravité pour la santé d’un patient, ni un correctif logiciel, ni un rappel ne sont des solutions simples. Il y a aussi la prise en compte de l’équipement et des appareils lourds installés dans les hôpitaux et les centres médicaux qui ne peuvent pas être facilement retirés de leur emplacement physique ; Des appareils d’IRM, des appareils de radiographie et d’échographie pour n’en nommer que quelques-uns. Au fur et à mesure que ces appareils deviennent de plus en plus connectés aux réseaux hospitaliers, ils deviennent eux aussi vulnérables aux cybermenaces. Lorsque ceux-ci ne peuvent pas être réparés à distance avec un correctif logiciel, cela nécessite généralement le déploiement d’un ingénieur de terrain pour inspecter, diagnostiquer et réparer sur place.
La possibilité d’un rappel n’est pas seulement subordonnée à un incident réel, mais aussi à la susceptibilité aux cyberattaques. Les tests de vulnérabilité préventifs jouent un rôle central dans l’identification des faiblesses dans le tissu de sécurité de ces appareils, aidant à atténuer le début des incidents avant qu’ils ne se produisent. Grâce à une évaluation continue – et à la correction de l’exposition découverte – les fournisseurs et les fabricants de soins de santé peuvent améliorer la cybersécurité globale de l’équipement médical essentiel, réduisant ainsi le risque de préjudice pour les patients et de violation de données.
Les organismes de réglementation des instruments médicaux se précipitent pour suivre l’évolution rapide de la technologie. Même encore, il n’y a pas de réglementation de sécurité normalisée dans l’ensemble de l’industrie. Les fabricants, par conséquent, ne peuvent pas concevoir les produits avec un système de sécurité formidable, transmettant la responsabilité aux fournisseurs de soins de santé de faire de leur mieux pour évaluer la sécurité de leurs appareils. Bon nombre des dispositifs médicaux sont construits sur des systèmes hérités qui n’ont pas été conçus conformément aux normes de sécurité modernes. Ces systèmes peuvent être particulièrement vulnérables aux cyberattaques et plus difficiles - et coûteux - à mettre à jour pour se protéger contre les menaces modernes.
Le Congrès alloue des fonds pour la cybersécurité
Jusqu’à l’adoption d’une loi récente, la Food and Drug Administration (FDA) des États-Unis n’avait pas le pouvoir d’appliquer les lignes directrices en matière de cybersécurité. Un projet de loi signé en décembre 2022 appelé Consolidated Appropriations Act, 2023 (H.R. 26217) - détenant 1,7 billion de dollars en ressources discrétionnaires tout au long de l’exercice, le plus haut niveau de financement non défensif de l’histoire américaine - a le potentiel le plus réel à ce jour pour freiner les menaces de cybersécurité. Le projet de loi omnibus de crédits est rempli de fonds pour les programmes gouvernementaux et le développement économique du développement rural et de l’infrastructure, la conservation, la santé animale et végétale, la recherche agricole et de commercialisation et plus encore.
Parmi ceux-ci, 3,5 milliards de dollars sont alloués à la FDA pour résoudre des problèmes, notamment la crise des opioïdes, les problèmes de la chaîne d’approvisionnement médicale et, oui, l’amélioration de la cybersécurité des dispositifs médicaux. Il a également, notamment, donné à la FDA le pouvoir d’établir et d’appliquer des normes de cybersécurité pour les dispositifs médicaux pour la première fois.
Comment la Loi consolidée de crédits peut aider
La Loi sur les crédits consolidés contient plusieurs dispositions ciblant la cybersécurité des dispositifs médicaux, tout en augmentant le pouvoir de réglementation de la FDA.
Premièrement, les exigences en matière de sécurité seront mises en œuvre à un niveau fédéral sans précédent. Les fabricants seront tenus de mettre en œuvre des contrôles de sécurité qui empêchent l’accès non autorisé aux appareils, s’assurent que les appareils médicaux sont accessibles au milieu d’une cyberattaque et protègent la confidentialité et les données des patients. Chaque fabricant sera tenu de soumettre un plan de cybersécurité complet à la FDA pour être examiné en vue de l’approbation préalable à la mise en marché qui détaillera ses procédures pour s’assurer que les mises à jour des logiciels et des micrologiciels post-commercialisation sont disponibles pour les consommateurs.
Les mesures exigeront également une transparence et une responsabilisation accrues de la part des fabricants. Désormais, les fabricants doivent signaler les incidents de cybersécurité à la FDA (ainsi qu’aux patients touchés) dans un délai précis et fournir des mises à jour sur les progrès des efforts de remédiation et des plans pour prévenir des incidents similaires.
Les rappels de produits et les problèmes de remédiation dus aux cybermenaces se produisent fréquemment, et comme les agences (comme la FDA) expriment de plus en plus leurs critiques des décisions des fabricants publiquement, les fabricants doivent tomber en costume et faire des choses par le livre pour empêcher le retour de flamme public. Par conséquent, il y a plus d’incitation à suivre les conseils des experts pour établir des plans de rappel et d’assainissement qui incluent la façon de répondre à une crise liée aux produits. Il est également suggéré que les fabricants s’engagent dans des exercices de rappel simulés dans le cadre de leurs protocoles de gestion des risques.
Certaines dispositions vont au-delà de cibler uniquement les fabricants de dispositifs médicaux - comme une disposition clé qui établit un nouveau centre au sein de la FDA dédié à l’amélioration et à la coordination des efforts de cybersécurité pour les dispositifs médicaux. Le Centre d’excellence en cybersécurité élaborera et mettra en œuvre des normes et des pratiques exemplaires, fournira des conseils aux fabricants et aux fournisseurs de soins de santé et évaluera la sécurité des appareils. Il est important de noter que cela créera un pont entre les fabricants et le gouvernement fédéral afin de créer une voie à suivre pour répondre aux préoccupations en matière de cybersécurité dans l’industrie des dispositifs médicaux.
D’autres dispositions favorisent l’échange d’information et la coopération entre les intervenants ; la FDA sera tenue d’établir un partenariat public-privé pour promouvoir la cybersécurité au sein de l’industrie. La FDA sera également tenue d’établir un nouveau programme pilote conçu pour évaluer les rapports de vulnérabilité en matière de cybersécurité et fournir à l’agence des données critiques sur les risques.
L’impact prévu
Maintenant que la FDA, les fabricants et les fournisseurs de soins de santé seront tenus de travailler en tandem, les problèmes impliquant un manque de clarté ou des problèmes de transparence peuvent enfin être résolus. Du côté des fabricants, avec les exigences de détailler les informations de cybersécurité dans les rapports de rappel, d’assurer des normes de sécurité de haut niveau et de signaler des informations à l’agence, la FDA et les fournisseurs de soins de santé disposeront d’une mine d’informations pour mieux comprendre les risques de cybersécurité associés aux dispositifs médicaux.
À l’inverse, en exigeant que la FDA fournisse des conseils sur les examens post-commercialisation, crée un centre dédié à l’élaboration de normes et établisse le programme pilote qui cible les vulnérabilités, les fabricants (et les fournisseurs de soins de santé) recevront des connaissances utiles qui aident à améliorer les domaines d’intérêt et à réduire le risque de rappels de produits.
Lorsque les dispositifs médicaux mettent les patients en danger, une action rapide devient essentielle. En plus de la santé des patients, les rappels de dispositifs médicaux peuvent avoir un impact dévastateur sur la marque et les résultats d’une entreprise, et laisser les entreprises ouvertes à des mesures réglementaires et à des litiges. Les experts en protection de la marque de Sedgwick fournissent des décennies d’expérience en matière de dispositifs médicaux, vous aidant à développer, améliorer, tester et exécuter vos plans de rappel de produits ou vos procédures de remédiation.
En savoir plus > visitez notre site Web pour explorer notre expérience dans le secteur des dispositifs médicaux
