Australie 
Canada 
Danemark 
France 
Irlande 
Pays-Bas 
Nouvelle-Zélande 
Espagne et Portugal 
Royaume-Uni 
États-Unis 17 décembre 2021
Par Matt Walker, conseiller en rappel
La cybersécurité est devenue un enjeu crucial pour l'industrie des dispositifs médicaux, où une cybermenace peut entraîner des blessures, voire la mort.
Pour remédier à ce problème croissant, la Food and Drug Administration américaine, la MITRE Corporation et le Medical Device Innovation Consortium (MDIC) ont publié unguidequi fournit des informations utiles aux organisations qui développent ou font évoluer une approche visant à créer des modèles de menaces pour la cybersécurité des dispositifs médicaux.
Qu'est-ce que la modélisation des menaces et en quoi est-elle utile ?
Selon le manuel, la modélisation des menaces consiste à « analyser les représentations d'un système afin de mettre en évidence les problèmes liés à la sécurité et à la confidentialité ». Cela implique de poser quatre questions clés afin de commencer à identifier les dysfonctionnements potentiels d'un système. Ces questions sont les suivantes :
- Sur quoi travaillons-nous ?
- Qu'est-ce qui pourrait mal tourner ?
- Que va-t-on faire à ce sujet ?
- Avons-nous fait du bon travail ?
Après avoir réalisé un exercice de modélisation des menaces, les entreprises identifient les « menaces », c'est-à-dire les problèmes de conception ou de mise en œuvre d'un dispositif médical qui nécessitent des ajustements ou des mesures d'atténuation. Compte tenu de la complexité et de l'interconnexion des dispositifs médicaux, il est important que toutes les entreprises réalisent régulièrement des exercices de modélisation des menaces. La détection précoce d'une menace permet souvent d'éviter la mort ou des blessures chez de futurs patients.
Les menaces liées aux vulnérabilités en matière de cybersécurité constituent également des risques pouvant entraîner un rappel pour un fabricant de dispositifs médicaux. La mise en place d'un exercice de modélisation des menaces peut aider les fabricants à identifier ces risques tout au long du cycle de vie d'un dispositif médical et leur permettre d'atténuer ces risques avant qu'ils ne se traduisent par un rappel.
Bien que la FDA ait précisé que le guide sur la modélisation des menaces n'est pas une recommandation, Suzanne Schwartz, directrice du Bureau des partenariats stratégiques et de l'innovation technologique du Centre pour les appareils et la santé radiologique de la FDA, a averti que la FDA « exigera une modélisation des menaces beaucoup plus détaillée et complète dans le cadre du processus d'autorisation ou d'approbation des dispositifs médicaux ». Dans cette optique, tous les fabricants de dispositifs médicaux qui prévoient de soumettre un dispositif pour approbation doivent prêter une attention particulière au guide sur la modélisation des menaces et prendre dès maintenant les mesures nécessaires pour s'assurer qu'ils sont prêts à présenter la preuve d'un modèle de menaces adéquat.
La modélisation des menaces aidera également les fabricants à identifier les risques dès le stade de la recherche et du développement, et à réfléchir à l'impact que ces risques pourraient avoir une fois le dispositif commercialisé. Au final, une modélisation minutieuse des menaces permettra de gagner en tranquillité d'esprit, de réaliser des économies et, surtout, de sauver des vies.
