5 août 2025
La Food and Drug Administration (FDA) des États-Unis a publié en juin 2025 un document d'orientation actualisé intitulé « Cybersécurité des dispositifs médicaux : considérations relatives au système qualité et contenu des soumissions préalables à la mise sur le marché », remplaçant la version de 2023. Ce document détaille les attentes en matière de gestion des risques de cybersécurité tout au long du cycle de vie des dispositifs médicaux, de la conception à la mise hors service.
Ce que cela signifie pour les fabricants de dispositifs médicaux
Les dispositifs médicaux étant de plus en plus intégrés aux réseaux, aux systèmes hospitaliers et aux plateformes cloud, ils sont confrontés à des risques accrus en matière de cybersécurité. Ces vulnérabilités peuvent altérer le fonctionnement des appareils et mettre en danger la sécurité des patients. Des incidents notables comme l'attaque du rançongiciel WannaCry et des vulnérabilités telles que URGENT/11 et SweynTooth soulignent l'importance cruciale de mesures de cybersécurité robustes dans les écosystèmes de dispositifs médicaux.
Qui est affecté
- Appareils dotés d'un logiciel ou d'une logique programmable, qu'ils soient en réseau ou non
- Tous les types de soumission préalable à la mise sur le marché de la FDA, y compris 510(k), PMA, De Novo, HDE, BLA et IND
- « Cyber-dispositifs », tels que définis par l'article 524B de la loi FD&C (appareils connectés à Internet dotés de fonctionnalités logicielles)
- Appareils dotés de fonctions liées à la cybersécurité, même s'ils ne sont pas soumis à une soumission préalable à la mise sur le marché
Exigences clés
1. La cybersécurité, partie intégrante de la sécurité des appareils
La cybersécurité est désormais un élément essentiel de la sécurité et de l'efficacité des dispositifs. La conformité à la réglementation sur le système qualité (QS) de la FDA impose l'intégration de la gestion des risques liés à la cybersécurité et de contrôles de conception.
2. Cadre de développement de produits sécurisés (SPDF)
La FDA recommande l’adoption d’un SPDF, un ensemble structuré de processus intégrés à la conception, au développement et à la maintenance pour réduire les vulnérabilités au début du cycle de vie.
3. Gestion robuste des risques
Les fabricants doivent effectuer :
- Modélisation des menaces pour identifier et atténuer les vecteurs d'attaque potentiels
- Évaluations des risques de cybersécurité axées sur l'exploitabilité, et pas seulement sur la probabilité
- Évaluations de sécurité et de sûreté pour les anomalies logicielles non résolues
- Gestion continue des risques de sécurité, y compris les mises à jour et les stratégies de fin de vie
4. Logiciels tiers et SBOM
Une nomenclature logicielle (SBOM) est requise pour documenter tous les composants logiciels, en particulier les logiciels tiers et open source. La SBOM doit détailler l'état de support et les vulnérabilités connues afin de faciliter l'application rapide des correctifs ou des remplacements.
5. Transparence dans l'étiquetage
Les fabricants doivent inclure les fonctionnalités, les configurations et les risques de cybersécurité dans l’étiquetage des appareils pour permettre aux utilisateurs de gérer efficacement les risques et de garantir un fonctionnement sûr dans les environnements prévus.
6. Conformité à la section 524B de la FDORA
Les « cyber-appareils » doivent répondre à des exigences supplémentaires, notamment :
- Plans et procédures de cybersécurité documentés
- Processus visant à garantir une cybersécurité continue tout au long du cycle de vie de l'appareil
- Un SBOM lisible par machine
7. Architecture de sécurité
Les fabricants doivent documenter l'architecture de sécurité de l'appareil, couvrant l'authentification, le chiffrement, l'intégrité des données, la journalisation et les mécanismes de mise à jour. Les contrôles de sécurité doivent être intégrés dès la conception, et non ajoutés après coup.
8. Tests et mesures
Les soumissions préalables à la mise sur le marché doivent inclure les résultats des tests d'intrusion, des tests de fuzz et des analyses de code statiques et dynamiques. Les fabricants doivent suivre des indicateurs tels que les délais de déploiement des correctifs et la densité des défauts afin de démontrer la robustesse de leur cybersécurité.
Comment AssurX aide les fabricants à répondre à ces exigences
AssurX permet aux fabricants de mettre en œuvre les directives de cybersécurité 2025 de la FDA sans ajouter d'outils disparates ni perturber les processus existants. eQMS basé sur le cloud intègre les meilleures pratiques de cybersécurité dans toutes nos solutions, y compris, Contrôle de la conception, Gestion des risques et Flux de travail de déclaration des événements indésirablesNotre plateforme capture les informations sur les menaces et les exigences de sécurité dans les artefacts DHF, lance le contrôle des modifications ou Flux de travail CAPA lorsque des vulnérabilités apparaissent, et bien plus encore. Il maintient également des pistes d'audit robustes avec signatures électroniques, rendant les preuves objectives facilement accessibles aux auditeurs.
Conclusion
Les directives 2025 de la FDA en matière de cybersécurité marquent une étape importante dans la lutte contre l'évolution des menaces numériques pesant sur les dispositifs médicaux. En reliant directement la cybersécurité à la sécurité et à l'efficacité des dispositifs, la FDA privilégie une approche proactive, transparente et systématique. Les fabricants doivent intégrer la cybersécurité à chaque étape du cycle de vie des dispositifs afin de protéger les patients et les systèmes de santé des risques émergents.
À propos de l’auteur
Stéphanie Ojeda Stéphanie est directrice de la gestion des produits pour le secteur des sciences de la vie chez AssurX. Elle possède plus de 15 ans d'expérience en assurance qualité dans divers secteurs, notamment l'industrie pharmaceutique, la biotechnologie, les dispositifs médicaux, l'agroalimentaire et la fabrication.
