Le 23 septembre 2022, l’ANSM a publié des recommandations sur la « cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie ».
Ces recommandations, rédigées par un comité scientifique spécialisé temporaire, avaient fait l’objet d’une consultation publique qui s’est achevée le 30 septembre 2019.
Elles interviennent face au constat d’une « cybersécurité très hétérogène au sein des fabricants de DM [dispositifs médicaux] » alors que les dispositifs médicaux doivent « s’adapter aux nouvelles menaces engendrées par les progrès technologiques ».
Ces recommandations constituent des « bonnes pratiques » qui n’ont pas de valeur normative.
Elles concernent essentiellement les fabricants de logiciels dispositifs médicaux ou de dispositifs médicaux connectés « afin qu’ils prennent les mesures nécessaires pour réduire au maximum les risques d’attaque à l’encontre de leurs DM et ainsi prévenir la compromission des données et l’utilisation détournée des DM qu’ils mettent sur le maché ».
Les fabricants sont invités à prendre de telles mesures aussi bien au stade de la conception, du développement, de la mise en service/1ère utilisation, qu’à celui de la surveillance « post-marché » et de la fin de vie du DM concerné.
Certaines recommandations concernent également d’autres parties prenantes comme les utilisateurs, les patients, les établissements de santé en cas de « responsabilité conjointe ».
L’accent est mis sur « la disponibilité » et « l’intégrité » des dispositifs médicaux intégrant du logiciel en s’appuyant sur « les méthodologies d’analyses de risques développées dans le monde du DM et celui de la SSI » avec l’objectif « d’atteindre un niveau de risque minimum acceptable ».
La confidentialité et la protection des données sont également évoquées en faisant référence au Référentiel Général de Sécurité (RGS) et naturellement au RGPD. Les recommandations détaillent, en particulier, « la protection des données en lecture contre une divulgation non autorisée et de protection des accès à des éléments techniques ».
A noter qu’il s’agit davantage de grands principes et non de mesures techniques détaillées pour tenir compte « de l’évolution rapide des dispositifs médicaux et des attaques ».
Lien vers les recommandations de l’ANSM : ici