Avec l'évolution rapide des technologies, la cybersécurité est devenue indispensable dans de nombreux secteurs. Alors que le risque de cyberattaque s'infiltre dans le secteur de la santé, le Congrès américain est poussé à agir. Toute une série d'appareils médicaux - pompes à perfusion, appareils d'IRM, moniteurs de fréquence cardiaque - se connectent de plus en plus aux réseaux numériques, ce qui les rend de plus en plus vulnérables aux risques cybernétiques.
Les risques de cybersécurité augmentent
Plusieurs facteurs contribuent à l'augmentation des menaces de cybersécurité pesant sur les dispositifs médicaux. Le plus direct est l'afflux de connectivité dans l'industrie médicale. De plus en plus, les dispositifs médicaux sont conçus pour se connecter à l'internet et à d'autres réseaux numériques. Si ces avancées technologiques présentent de nombreux avantages, elles exposent les logiciels - et donc les données des patients - à un monde de risques. Les pirates informatiques peuvent exploiter les vulnérabilités des logiciels ou des connexions réseau pour accéder à des données sensibles, voire prendre le contrôle de l'appareil lui-même. Dans ces cas, les rappels de produits peuvent être particulièrement dangereux pour la vie des patients, car l'utilisation continue de l'appareil n'est pas envisageable.
Le concept de remédiation doit également être pris en compte. Parfois, les appareils connectés peuvent être corrigés par un correctif logiciel. Compte tenu de la nature de certains appareils et de leur importance pour la santé du patient, ni un correctif logiciel, ni un rappel ne sont des solutions simples. Il faut également tenir compte des équipements et appareils lourds installés dans les hôpitaux et les centres médicaux, qui ne peuvent pas être facilement retirés de leur emplacement physique : scanners IRM, appareils à rayons X et à ultrasons, pour n'en citer que quelques-uns. Ces appareils étant de plus en plus connectés aux réseaux hospitaliers, ils deviennent eux aussi vulnérables aux cybermenaces. Lorsque ces appareils ne peuvent pas être réparés à distance à l'aide d'un correctif logiciel, il est généralement nécessaire de déployer un ingénieur de terrain pour les inspecter, les diagnostiquer et les réparer sur place.
La possibilité d'un rappel ne dépend pas uniquement d'un incident réel, mais aussi de la susceptibilité aux cyberattaques. Les tests de vulnérabilité préventifs jouent un rôle essentiel dans l'identification des faiblesses dans la structure de sécurité de ces dispositifs, ce qui permet d'atténuer les incidents avant qu'ils ne se produisent. Grâce à une évaluation continue - et à des mesures correctives en cas d'exposition découverte - les prestataires de soins de santé et les fabricants peuvent améliorer la cybersécurité globale des équipements médicaux essentiels, réduisant ainsi le risque de préjudice pour les patients et de violation des données.
Les organismes de réglementation des dispositifs médicaux s'efforcent de suivre l'évolution rapide de la technologie. Malgré cela, il n'existe pas de règles de sécurité normalisées dans l'ensemble du secteur. Les fabricants ne peuvent donc pas concevoir des produits dotés d'un système de sécurité efficace, et c'est aux prestataires de soins de santé qu'il incombe de faire de leur mieux pour évaluer la sécurité de leurs dispositifs. De nombreux dispositifs médicaux reposent sur des systèmes anciens qui n'ont pas été conçus dans le respect des normes de sécurité modernes. Ces systèmes peuvent être particulièrement vulnérables aux cyberattaques et il est plus difficile - et plus coûteux - de les mettre à jour pour les protéger contre les menaces modernes.
Le Congrès alloue des fonds à la cybersécurité
Jusqu'à l'adoption d'une loi récente, la Food and Drug Administration (FDA) des États-Unis n'avait pas le pouvoir de faire respecter les directives en matière de cybersécurité. Un projet de loi signé en décembre 2022 appelé Consolidated Appropriations Act, 2023 (H.R. 26217) - contenant 1,7 trillion de dollars de ressources discrétionnaires sur l'ensemble de l'année fiscale, le plus haut niveau de financement hors défense de l'histoire américaine - a le potentiel le plus réel à ce jour pour freiner les menaces de cybersécurité. Le projet de loi omnibus sur les crédits est rempli de fonds pour les programmes gouvernementaux et le développement économique du développement rural et des infrastructures, de la conservation, de la santé animale et végétale, de la recherche agricole et commerciale et plus encore.
Parmi ceux-ci, 3,5 milliards de dollars sont alloués à la FDA pour traiter des questions telles que la crise des opioïdes, les problèmes de la chaîne d'approvisionnement médicale et, oui, l'amélioration de la cybersécurité des dispositifs médicaux. Elle a également donné à la FDA le pouvoir d'établir et d'appliquer pour la première fois des normes de cybersécurité pour les dispositifs médicaux.
Comment la loi de finances consolidée peut aider
La loi de finances consolidée contient plusieurs dispositions relatives à la cybersécurité des dispositifs médicaux, tout en renforçant l'autorité réglementaire de la FDA.
Tout d'abord, les exigences en matière de sécurité seront mises en œuvre à un niveau fédéral sans précédent. Les fabricants devront mettre en œuvre des contrôles de sécurité qui empêchent l'accès non autorisé aux dispositifs, garantissent l'accessibilité des dispositifs médicaux en cas de cyberattaque et protègent la confidentialité et les données des patients. Chaque fabricant devra soumettre à la FDA un plan de cybersécurité complet qui sera examiné en vue d'une approbation préalable à la mise sur le marché et qui détaillera ses procédures visant à garantir que les mises à jour des logiciels et des microprogrammes après la mise sur le marché sont disponibles pour les consommateurs.
Les mesures exigeront également une transparence et une responsabilité accrues de la part des fabricants. Désormais, les fabricants doivent signaler les incidents de cybersécurité à la FDA (ainsi qu'aux patients concernés) dans un délai précis et fournir des mises à jour sur l'avancement des efforts de remédiation et des plans visant à empêcher que des incidents similaires ne se produisent.
Les rappels de produits et les problèmes de remédiation dus aux cybermenaces sont fréquents, et comme les agences (telles que la FDA) expriment de plus en plus publiquement leurs critiques à l'égard des décisions des fabricants, ces derniers doivent se mettre au diapason et respecter les règles afin d'éviter un retour de bâton public. Par conséquent, les fabricants sont davantage incités à suivre les conseils des experts et à établir des plans de rappel et de remédiation qui incluent la manière de répondre à une crise liée à un produit. Il est également suggéré aux fabricants d'effectuer des exercices de rappel simulés dans le cadre de leurs protocoles de gestion des risques.
Certaines dispositions ne visent pas uniquement les fabricants de dispositifs médicaux, notamment une disposition clé qui établit un nouveau centre au sein de la FDA chargé d'améliorer et de coordonner les efforts en matière de cybersécurité pour les dispositifs médicaux. Le Centre d'excellence en cybersécurité élaborera et mettra en œuvre des normes et des bonnes pratiques, fournira des conseils aux fabricants et aux prestataires de soins de santé et évaluera la sécurité des dispositifs. Il est important de noter que cette initiative permettra de jeter un pont entre les fabricants et le gouvernement fédéral afin de créer une voie à suivre pour répondre aux problèmes de cybersécurité dans l'industrie des dispositifs médicaux.
D'autres dispositions encouragent le partage d'informations et la coopération entre les parties prenantes ; la FDA devra établir un partenariat public-privé pour promouvoir la cybersécurité au sein de l'industrie. La FDA devra également mettre en place un nouveau programme pilote destiné à évaluer les rapports sur les vulnérabilités en matière de cybersécurité et à fournir à l'agence des données essentielles sur les risques.
L'impact prévu
Maintenant que la FDA, les fabricants et les prestataires de soins de santé devront travailler en tandem, les problèmes liés au manque de clarté ou de transparence pourraient enfin être résolus. Du côté des fabricants, avec l'obligation de détailler les informations relatives à la cybersécurité dans les rapports de rappel, de garantir des normes de sécurité de haut niveau et de communiquer des informations à l'agence, la FDA et les prestataires de soins de santé disposeront d'une mine d'informations pour mieux comprendre les risques de cybersécurité associés aux dispositifs médicaux.
À l'inverse, en demandant à la FDA de fournir des orientations sur les examens post-commercialisation, de créer un centre dédié à l'élaboration de normes et d'établir un programme pilote ciblant les vulnérabilités, les fabricants (et les prestataires de soins de santé) recevront des informations utiles qui contribueront à améliorer les domaines problématiques et à réduire le risque de rappels de produits.
Lorsque les dispositifs médicaux mettent les patients en danger, il est essentiel d'agir rapidement. Outre la santé des patients, les rappels de dispositifs médicaux peuvent avoir un impact dévastateur sur la marque et les résultats d'une entreprise, et l'exposer à des mesures réglementaires et à des litiges. Les experts en protection de la marque de Sedgwick ont des décennies d'expérience dans le domaine des dispositifs médicaux. Ils vous aident à développer, améliorer, tester et exécuter vos plans de rappel de produits ou vos procédures de remédiation.
En savoir plus > visitez notre site web pour découvrir notre expérience dans le secteur des dispositifs médicaux
Tags : cyber, cyber risque, cyber sécurité, données, santé, santé et sécurité, préoccupations en matière de santé, soins médicaux, réclamations médicales, médecine, sécurité, sécurité