Australie 
Canada 
Danemark 
France 
Allemagne 
Irlande 
Pays-Bas 
Nouvelle-Zélande 
Norvège 
Espagne et Portugal 
Royaume-Uni 
États-Unis 4 août 2023
Avec l'évolution rapide des technologies, la cybersécurité est devenue indispensable dans de nombreux secteurs. Alors que le risque de cyberattaques s'étend au secteur de la santé, le Congrès américain est soumis à des pressions pour prendre des mesures. À mesure que divers appareils médicaux (pompes à perfusion, appareils d'IRM, moniteurs cardiaques) évoluent pour pouvoir se connecter à des réseaux numériques, ils deviennent de plus en plus vulnérables aux risques liés à la cybersécurité.
Les risques liés à la cybersécurité en hausse
Plusieurs facteurs contribuent à l'augmentation des menaces liées à la cybersécurité qui pèsent sur les dispositifs médicaux. Le plus évident est l'afflux de connectivité dans le secteur médical. De plus en plus, les dispositifs médicaux sont conçus pour se connecter à Internet et à d'autres réseaux numériques. Si ces avancées technologiques présentent de nombreux avantages, elles exposent également les logiciels, et avec eux les données des patients, à une multitude de risques. Les pirates informatiques peuvent exploiter les vulnérabilités des logiciels ou des connexions réseau pour accéder à des données sensibles, voire prendre le contrôle de l'appareil lui-même. Dans ces cas, les rappels de produits peuvent être particulièrement dangereux pour la vie des patients, car l'utilisation continue de l'appareil n'est pas envisageable.
Le concept de remédiation doit également être pris en compte. Parfois, les appareils connectés peuvent être réparés à l'aide d'un correctif logiciel diffusé à distance. Compte tenu de la nature de certains appareils et de leur importance cruciale pour la santé des patients, ni un correctif logiciel ni un rappel ne constituent des solutions simples. Il faut également tenir compte des équipements et appareils lourds installés dans les hôpitaux et les centres médicaux qui ne peuvent pas être facilement retirés de leur emplacement physique, tels que les scanners IRM, les appareils de radiographie et d'échographie, pour n'en citer que quelques-uns. À mesure que ces appareils sont de plus en plus connectés aux réseaux hospitaliers, ils deviennent eux aussi vulnérables aux cybermenaces. Lorsqu'ils ne peuvent pas être réparés à distance à l'aide d'un correctif logiciel, il est généralement nécessaire de faire appel à un ingénieur sur le terrain pour inspecter, diagnostiquer et réparer sur place.
La possibilité d'un rappel ne dépend pas uniquement d'un incident réel, mais aussi de la vulnérabilité aux cyberattaques. Les tests de vulnérabilité préventifs jouent un rôle essentiel dans l'identification des faiblesses de la structure de sécurité de ces appareils, contribuant ainsi à atténuer les incidents avant qu'ils ne se produisent. Grâce à une évaluation continue et à la correction des vulnérabilités découvertes, les prestataires de soins de santé et les fabricants peuvent améliorer la cybersécurité globale des équipements médicaux critiques, réduisant ainsi le risque de préjudice pour les patients et de violation des données.
Les organismes de réglementation des dispositifs médicaux s'efforcent de suivre le rythme effréné de l'évolution technologique. Malgré cela, il n'existe toujours pas de réglementation standardisée en matière de sécurité dans ce secteur. Les fabricants ne peuvent donc pas concevoir des produits dotés d'un système de sécurité performant, laissant ainsi aux prestataires de soins de santé la responsabilité d'évaluer au mieux la sécurité de leurs dispositifs. De nombreux dispositifs médicaux sont basés sur des systèmes hérités qui n'ont pas été conçus conformément aux normes de sécurité modernes. Ces systèmes peuvent être particulièrement vulnérables aux cyberattaques et plus difficiles — et coûteux — à mettre à jour pour se protéger contre les menaces modernes.
Le Congrès alloue des fonds à la cybersécurité
Jusqu'à l'adoption d'une récente législation, la Food and Drug Administration (FDA) américaine n'avait pas le pouvoir d'appliquer les directives en matière de cybersécurité. Une loi promulguée en décembre 2022, intituléeConsolidated Appropriations Act, 2023 (H.R. 26217) — qui prévoit 1 700 milliards de dollars de ressources discrétionnaires pour l'exercice fiscal, soit le niveau de financement non militaire le plus élevé de l'histoire des États-Unis — offre le potentiel le plus réel à ce jour pour lutter contre les menaces liées à la cybersécurité. Ce projet de loi omnibus sur les crédits budgétaires prévoit des financements pour des programmes gouvernementaux et le développement économique des zones rurales et des infrastructures, la conservation, la santé animale et végétale, la recherche agricole et marketing, etc.
Parmi ceux-ci, 3,5 milliards de dollars sont alloués à la FDA pour traiter des problèmes tels que la crise des opioïdes, les problèmes liés à la chaîne d'approvisionnement médicale et, bien sûr, l'amélioration de la cybersécurité des dispositifs médicaux. Il a également donné à la FDA le pouvoir d'établir et d'appliquer pour la première fois des normes de cybersécurité pour les dispositifs médicaux.
Comment la loi de finances consolidée peut aider
La loi de finances consolidée contient plusieurs dispositions visant la cybersécurité des dispositifs médicaux, tout en renforçant les pouvoirs réglementaires de la FDA.
Tout d'abord, des exigences en matière de sécurité seront mises en œuvre à un niveau fédéral sans précédent. Les fabricants seront tenus de mettre en place des contrôles de sécurité visant à empêcher tout accès non autorisé aux appareils, à garantir l'accessibilité des dispositifs médicaux en cas de cyberattaque et à protéger la confidentialité et les données des patients. Chaque fabricant devra soumettre à la FDA un plan complet de cybersécurité qui sera examiné en vue d'une autorisation préalable à la mise sur le marché et qui détaillera les procédures mises en place pour garantir la mise à disposition des consommateurs des mises à jour logicielles et micrologicielles après la mise sur le marché.
Les mesures exigeront également une transparence et une responsabilité accrues de la part des fabricants. Désormais, les fabricants doivent signaler les incidents de cybersécurité à la FDA (ainsi qu'aux patients concernés) dans un délai spécifique et fournir des informations actualisées sur l'avancement des mesures correctives et des plans visant à prévenir la répétition d'incidents similaires.
Les rappels de produits et les mesures correctives liés aux cybermenaces sont fréquents, et comme les agences (telles que la FDA) critiquent de plus en plus ouvertement les décisions des fabricants, ces derniers doivent se conformer et respecter les règles afin d'éviter toute réaction négative de la part du public. Par conséquent, ils sont davantage incités à suivre les conseils des experts et à mettre en place des plans de rappel et de mesures correctives qui incluent la manière de réagir à une crise liée à un produit. Il est également recommandé aux fabricants de participer à des exercices de simulation de rappel dans le cadre de leurs protocoles de gestion des risques.
Certaines dispositions vont au-delà du simple ciblage des fabricants de dispositifs médicaux, comme une disposition clé qui établit un nouveau centre au sein de la FDA dédié à l'amélioration et à la coordination des efforts en matière de cybersécurité pour les dispositifs médicaux. Le Centre d'excellence en cybersécurité élaborera et mettra en œuvre des normes et des bonnes pratiques, fournira des conseils aux fabricants et aux prestataires de soins de santé et évaluera la sécurité des dispositifs. Il est important de noter que cela permettra de créer un pont entre les fabricants et le gouvernement fédéral afin d'ouvrir la voie à la résolution des problèmes de cybersécurité dans le secteur des dispositifs médicaux.
D'autres dispositions encouragent le partage d'informations et la coopération entre les parties prenantes ; la FDA sera tenue de mettre en place un partenariat public-privé afin de promouvoir la cybersécurité au sein du secteur. La FDA sera également tenue de mettre en place un nouveau programme pilote destiné à évaluer les rapports sur les vulnérabilités en matière de cybersécurité et à fournir à l'agence des données essentielles sur les risques.
L'impact prévu
Maintenant que la FDA, les fabricants et les prestataires de soins de santé seront tenus de travailler en tandem, les problèmes liés au manque de clarté ou de transparence pourraient enfin être résolus. Du côté des fabricants, grâce à l'obligation de détailler les informations relatives à la cybersécurité dans les rapports de rappel, de garantir des normes de sécurité élevées et de communiquer les informations à l'agence, la FDA et les prestataires de soins de santé disposeront d'une mine d'informations leur permettant de mieux comprendre les risques liés à la cybersécurité des dispositifs médicaux.
À l'inverse, en exigeant que la FDA fournisse des directives sur les examens post-commercialisation, crée un centre dédié à l'élaboration de normes et mette en place un programme pilote ciblant les vulnérabilités, les fabricants (et les prestataires de soins de santé) bénéficieront de connaissances utiles qui les aideront à améliorer les domaines problématiques et à réduire le risque de rappels de produits.
Lorsque des dispositifs médicaux mettent les patients en danger, il est essentiel d'agir rapidement. Outre la santé des patients, les rappels de dispositifs médicaux peuvent avoir un impact dévastateur sur l'image de marque et les résultats financiers d'une entreprise, et exposer celle-ci à des mesures réglementaires et à des poursuites judiciaires. Les experts en protection de marque de Sedgwick mettent à votre service leurs décennies d'expérience dans le domaine des dispositifs médicaux pour vous aider à élaborer, améliorer, tester et mettre en œuvre vos plans de rappel de produits ou vos procédures de remédiation.
En savoir plus > visitez notresite Webpour découvrir notre expérience dans le secteur des dispositifs médicaux
