Par Matt Walker, conseiller en destitution
La cybersécurité est devenue un problème critique pour l’industrie des dispositifs médicaux, où une cybermenace peut entraîner des blessures ou même la mort.
Pour résoudre ce problème croissant, la Food and Drug Administration des États-Unis, la MITRE Corporation et le Medical Device Innovation Consortium (MDIC) ont publié un manuel qui offre des informations aux organisations qui développent ou développent une approche pour créer des modèles de menace pour la cybersécurité des dispositifs médicaux.
Qu’est-ce que la modélisation des menaces et en quoi est-elle utile ?
Selon le manuel, la modélisation des menaces consiste à « analyser les représentations d’un système pour mettre en évidence les préoccupations concernant les caractéristiques de sécurité et de confidentialité ». Cela implique de poser quatre questions clés pour commencer à reconnaître ce qui peut mal tourner dans un système. Ces questions sont les suivantes :
- Sur quoi travaillons-nous ?
- Qu’est-ce qui peut mal tourner ?
- Qu’allons-nous faire à ce sujet ?
- Avons-nous fait un assez bon travail ?
Après avoir effectué un exercice de modélisation des menaces, les entreprises identifient les « menaces » — les problèmes de conception ou de mise en œuvre d’un instrument médical qui nécessitent des ajustements ou des mesures d’atténuation. Compte tenu de la complexité et de la connectivité des dispositifs médicaux, il est important que toutes les entreprises effectuent régulièrement des exercices de modélisation des menaces. Attraper une menace tôt peut souvent prévenir la mort ou les blessures aux futurs patients.
Les menaces qui découlent des vulnérabilités en matière de cybersécurité sont également les risques qui peuvent mener à un rappel pour un fabricant d’instruments médicaux. L’exécution d’un exercice de modélisation des menaces peut aider les fabricants à identifier ces risques tout au long du cycle de vie d’un instrument médical et à créer la possibilité d’atténuer les risques avant qu’ils ne se transforment en rappel.
Bien que la FDA ait partagé que le manuel de modélisation des menaces n’est pas une ligne directrice, Suzanne Schwartz, directrice du Bureau des partenariats stratégiques et de l’innovation technologique du Center for Devices and Radiological Health de la FDA, a averti que la FDA « recherchera une modélisation des menaces beaucoup plus détaillée et complète dans le cadre du processus d’autorisation ou d’approbation des dispositifs médicaux ». Dans cet esprit, tous les fabricants d’instruments médicaux qui prévoient soumettre un instrument à l’approbation devraient porter une attention particulière au manuel de modélisation des menaces et prendre les mesures nécessaires dès maintenant pour s’assurer qu’ils sont prêts à présenter la preuve d’un modèle de menace adéquat.
La modélisation des menaces aidera également les fabricants à identifier les risques au début de l’étape de la R-D, ainsi qu’à réfléchir à l’impact que les risques pourraient avoir une fois que l’appareil est sur le marché. En fin de compte, une modélisation minutieuse des menaces créera la tranquillité d’esprit, économisera de l’argent et, plus important encore, sauvera des vies.