Vous devez être connecté pour accèder à cette archive.

Se connecter
X
Prestations & Services > Conseil
Dossiers > Réglementation

DM connectés et cybersécurité : points d’attention et benchmarking

Publié le 30 avril 2021 par Patrick RENARD
Ce schéma explique la différence entre les notions de sécurité et de sûreté. Maîtriser les risques de cybersécurité revient à maîtriser ces deux types de risques.
Crédit photo : Strategiqual ; [M]-Kuebert

La cybersécurité est un réel vecteur d'opportunités, à condition de disposer d'une vision globale de ses implications. La prise en compte de ses exigences dès la conception facilite l'obtention de la conformité mais elle invite aussi à affiner ses choix technologiques. Explications avec Strategiqual.

Aymeric Lebon dirige le pôle Medical Device de Strategiqual.

Par Aymeric Lebon, Directeur Général de Strategiqual

Réfléchir à la cybersécurité de son produit, c’est d’abord déterminer précisément les contours de ce dernier. Mon dispositif se limite-t-il à un logiciel ? Est-ce un couple hardware et software qu’il convient de considérer ? S’agit-il d’un ensemble de software ou de modules interfacés ?

Il faut ensuite percevoir les limites de l’environnement d’opération créé pour l’ensemble que constitue votre dispositif et l’environnement externe à la solution. En effet, il sera indispensable de tenir compte des données échangées - en empruntant le chemin de l’environnement externe - entre votre système et tout autre système IT, DM ou non DM.

Après cette analyse, on se rend compte que pour maîtriser les risques de cybersécurité, il faut prendre conscience du constat suivant : la frontière entre l’interne et l’externe est poreuse. Cette porosité ouvre la voie à diverses menaces contre lesquelles l’organisation doit se prémunir pour garantir la sécurité des utilisateurs et de leurs données.

Principes fondateurs de la cybersécurité dans le RDM

Les risques de sécurité informatique (vols de données, corruption de données, etc.) sont bien connus des fabricants de DM, dans la mesure où ils ont été introduits de manière renforcée en Europe par le RGPD.

Les risques de sécurité préclinique (security en anglais par opposition à la notion de safety décrite ci-dessus) sont également bien appréhendés depuis l’introduction de la nouvelle approche en Europe.

Aujourd’hui, la maîtrise des risques de cybersécurité inclut à la fois celle des risques de security et des risques de safety.

Si la maîtrise des exigences réglementaires en matière de security et de safety se présente comme un pré-requis à une maîtrise efficace des risques de cybersécurité, les éléments suivants doivent faire l’objet d’une attention renforcée :

  • l’intended use (usage prévu) et l’intended operational environment (environnement d'opération prévu),
  • les erreurs d’utilisation raisonnablement prévisibles. Sur le modèle de l’Aptitude à l’Utilisation, il conviendra de prendre en compte tous les types d’utilisateurs potentiels, en introduisant des critères de qualification nouveaux dédiés aux catégories d’utilisateurs en lien avec les cyber-usages (connaissance des nouvelles techniques de l'information et de la communication, etc.).
  • l’identification des autres parties prenantes. En effet, comme décrit précédemment, il est possible de réaliser des interfaces entre systèmes. Si l’interopérabilité des systèmes est alors recherchée, la maîtrise des risques de cybersécurité introduit surtout la notion de responsabilité conjointe, que cette responsabilité soit juridique, réglementaire ou technique.

Tout comme la gestion globale des risques du dispositif, la gestion des risques de cybersécurité est un processus vivant, itératif et en constante évolution. Elle doit également s’appuyer sur les composantes essentielles suivantes :

  • La cybersécurité évolue avec le temps, dans un environnement qui lui aussi change rapidement. L’évolution des technologies et des opportunités & menaces associées doit être constamment surveillée, anticipée et prise en compte.
  • Elle est en interface avec un grand nombre de processus du système de management de la qualité : post-market surveillance, vigilance, gestion des changements, maîtrise des risques, etc. La bonne définition et mise en œuvre des interfaces avec ces processus est décisive pour établir une maîtrise des risques de cybersécurité efficace dans le temps.

Mise en œuvre des mesures de cybersécurité : des références utiles

La PGSSI-S via ses guides et référentiels, délivre un grand nombre de recommandations pertinentes pour l’implémentation de mesures de minimisation des risques : identification, authentification, modalités de sécurisation des données échangées ou stockées, etc. Elle introduit de manière explicite les solutions technologiques à déployer en fonction des cas d’utilisateurs.

Strategiqual est un cabinet de conseil, de services et de recrutement à la croisée des mondes du médicament et du dispositif médical. Constituée d’une équipe de 35 personnes, l’entreprise propose ses prestations dans les domaines des affaires réglementaires, de l’accès au marché, du management de la qualité, de la formation (SQILS Factory) et du recrutement.

Le RGPD, par la mise en œuvre d’un PIA (Privacy Impact Assessment), notamment via le logiciel "PIA" déployé en libre accès par la CNIL, est un autre outil permettant l’identification des risques de sécurité et les moyens de maîtrise à y associer.

Dans une perspective complémentaire de la PGSSI-S et du RGPD, l’ISO 27001, et tout particulièrement son Annexe A, offre une liste pertinente d’actions de maîtrise à mettre en œuvre pour garantir la sécurité des données, tout au long de leur cycle de vie.

Enfin, le modèle particulièrement robuste mis en place par la FDA peut servir d’exemple. Depuis plusieurs années, l’exigence de produire un "Cybersecurity File" s’est systématisée pour chaque dossier d’accès au marché US via une procédure de FDA Clearance.

En conclusion...

Bien que la cybersécurité apparaisse comme nouvelle en Europe, nous disposons de référentiels puissants et convergents sur lesquels nous baser. L’exemple américain avec les exigences imposées par la FDA depuis plusieurs années déjà, offre notamment une excellente mesure du niveau d’effort à produire. Parallèlement, l’état de l’art des solutions techniques destinées à minimiser les risques de cybersécurité est déjà très avancé.

C’est donc avec une vision résolument dynamique de la gestion des risques que les fabricants de dispositifs médicaux peuvent s’appuyer sur ces existants, pour construire un processus de Cybersecurity By Design efficace et adapté à leur organisation, ainsi qu’aux produits qu’ils commercialisent.


www.strategiqual.com

Partagez cet article sur les réseaux sociaux ou par email :
Mots-clés :

A lire aussi