Australie 
Canada 
Danemark 
France 
Irlande 
Pays-Bas 
Nouvelle-Zélande 
Espagne et Portugal 
Royaume-Uni 
États-Unis 17 décembre 2021
Par Matt Walker, conseiller de rappel
La cybersécurité est devenue un enjeu crucial pour l’industrie des dispositifs médicaux, où une menace cybernétique peut entraîner des blessures, voire la mort.
Pour répondre à ce problème croissant, la Food and Drug Administration des États-Unis, la société MITRE et le Medical Device Innovation Consortium (MDIC) ont publié un manuel qui offre des perspectives aux organisations qui développent ou évoluent une approche pour créer des modèles de menace pour la cybersécurité des dispositifs médicaux.
Qu’est-ce que la modélisation des menaces et en quoi est-elle utile?
Selon le manuel, la modélisation des menaces consiste à « analyser les représentations d’un système afin de mettre en lumière les préoccupations concernant la sécurité et les caractéristiques de confidentialité. » Cela implique de poser quatre questions clés pour commencer à reconnaître ce qui peut mal tourner dans un système. Ces questions incluent :
- Sur quoi travaille-t-on?
- Qu’est-ce qui peut mal tourner?
- Qu’est-ce qu’on va faire à ce sujet?
- Est-ce qu’on a fait un travail assez bon?
Après avoir effectué un exercice de modélisation des menaces, les entreprises identifient les « menaces » — des problèmes de conception ou de mise en œuvre dans un dispositif médical qui nécessitent des ajustements ou des atténuations. Étant donné la complexité et la connectivité des dispositifs médicaux, il est important que toutes les entreprises mènent régulièrement des exercices de modélisation des menaces. Détecter une menace tôt peut souvent prévenir la mort ou les blessures des patients futurs.
Les menaces qui découlent des vulnérabilités en cybersécurité sont aussi des risques pouvant mener à un rappel pour un fabricant de dispositifs médicaux. Effectuer un exercice de modélisation des menaces peut aider les fabricants à identifier ces risques tout au long du cycle de vie d’un dispositif médical et à créer l’occasion de les atténuer avant qu’ils ne deviennent un rappel.
Bien que la FDA ait partagé que le manuel de modélisation des menaces n’est pas une directive, Suzanne Schwartz, directrice du Bureau des partenariats stratégiques et de l’innovation technologique du Centre pour les dispositifs et la santé radiologique de la FDA, a averti que la FDA « cherchera une modélisation des menaces beaucoup plus détaillée et complète dans le cadre du processus d’approbation ou d’approbation des dispositifs médicaux. » Dans cet esprit, tous les fabricants de dispositifs médicaux qui prévoient soumettre un dispositif pour approbation devraient prêter une attention particulière au manuel de modélisation des menaces et prendre les mesures nécessaires dès maintenant pour s’assurer d’être prêts à présenter la preuve d’un modèle de menace adéquat.
La modélisation des menaces aidera également les fabricants à identifier les risques tôt dans la phase de R&D, ainsi qu’à réfléchir à l’impact que ces risques pourraient avoir une fois l’appareil sur le marché. Au final, une modélisation minutieuse des menaces apportera la tranquillité d’esprit, permettra d’économiser de l’argent et, surtout, de sauver des vies.
