4 septembre
La cybersécurité des dispositifs médicaux est à l'ordre du jour de la Food and Drug Administration (FDA) américaine le 10 septembre 2019 : Comité consultatif sur l’engagement des patients. Le PEAC discutera et formulera des recommandations sur le thème « Cybersécurité dans les dispositifs médicaux : une communication qui responsabilise les patients ».
Le PEAC s'attaquera à la cybersécurité des dispositifs médicaux
Le Comité consultatif sur l'engagement des patients (PEAC) a été créé par la FDA pour donner la parole aux patients. Le PEAC est le premier et le seul comité consultatif composé exclusivement de patients, de soignants et de représentants d'associations de patients. Il facilite des discussions plus larges sur des questions importantes liées aux patients. Ces discussions peuvent contribuer à l'innovation, au développement, à l'évaluation et à l'accès aux dispositifs médicaux. De plus, le PEAC est une source de conseils à laquelle la FDA fait appel pour honorer son engagement de protection et de promotion de la santé publique.
La réunion de septembre 2019 recueillera les recommandations du comité qui porteront directement sur la cybersécurité des dispositifs médicaux. Le public aura son mot à dire sur les facteurs à prendre en compte par la FDA pour communiquer les risques et les failles de sécurité aux patients et au public, ainsi que sur les modalités de partage de ces informations.
En outre, « les recommandations répondront également aux préoccupations des patients concernant les modifications apportées à leurs appareils pour réduire les risques de cybersécurité, ainsi qu'au rôle d'autres parties prenantes, telles que les prestataires de soins de santé, dans la communication des risques de cybersécurité aux patients. »
La cybersécurité des dispositifs médicaux est un danger actuel
Les dispositifs médicaux sont connectés à Internet, aux réseaux des fournisseurs et à d'autres appareils. Les appareils connectés, qui font partie de Internet des objets (IoT), améliorer la qualité des soins de santé et la disponibilité des informations en temps réel pour les prestataires.
Les inconvénients de l’IoT incluent bien sûr les menaces de cybersécurité. logiciel de dispositif médical et un micrologiciel susceptible de perturber le fonctionnement de l'appareil. Il peut paraître inconcevable qu'un utilisateur non autorisé puisse accéder à une pompe à insuline servant à mesurer et à surveiller l'insuline d'une personne, ou à une pompe à perfusion administrant des médicaments selon des dosages programmés. Non seulement le fonctionnement du dispositif médical est compromis, mais des données personnelles peuvent également être exposées.
Lorsqu'une violation ou une vulnérabilité est détectée, les patients concernés doivent être immédiatement informés et conseillés, tout comme les autorités de réglementation. Une chaîne d'investigation et de remédiation doit être mise en place. Tout au long de cette chaîne, un réseau de personnes, des fabricants et des développeurs de logiciels, s'étend jusqu'au patient. Les conseils du PEAC apporteront un retour d'information indispensable aux patients et aux prestataires de soins.
Contrôles de conception pour la cybersécurité des dispositifs médicaux
Beaucoup d'entre nous connaissent quelqu'un, peut-être même nous-mêmes, qui bénéficie de l'assistance d'un dispositif médical. Nombre d'entre eux nécessitent l'utilisation du Wi-Fi, d'Internet et sont équipés d'un micrologiciel ou d'un logiciel intégré pour fonctionner correctement. Ces appareils nécessitent des mises à jour logicielles et des correctifs tout au long de leur vie. Dans la plupart des cas, le correctif ou la mise à jour est disponible sous forme de fichier exécutable téléchargeable, ce qui peut rendre le dispositif médical vulnérable aux pirates informatiques. Alors, quelles mesures sont prises et qui les met en œuvre ?
Les fabricants de dispositifs médicaux (MDM) et les organismes de prestation de soins de santé (HDO) sont tous deux responsables de la mise en place de mesures d’atténuation appropriées pour répondre aux risques pour la sécurité des patients et garantir le bon fonctionnement des dispositifs.
- Les fabricants de dispositifs médicaux (FDM) sont tenus de rester vigilants quant à l’identification des risques et des dangers associés à leurs dispositifs médicaux, y compris les risques liés à la cybersécurité.
- Les organismes de prestation de soins de santé (ODS) doivent évaluer la sécurité de leur réseau et protéger leurs systèmes hospitaliers.
Les MDM sont censés mettre en œuvre et démontrer des contrôles de conception appropriés tout au long de l'activité. cycle de vie des dispositifs médicauxCela comprend la tenue à jour et l'inclusion d'une « liste de matériel de cybersécurité » dans la soumission préalable à la mise sur le marché d'un dispositif médical, ainsi que la mise en place d'un contrôle approprié des modifications de conception du dispositif médical pour tout changement après sa mise sur le marché. Comme pour toute contribution à la conception, une évaluation des risques et un plan d'atténuation appropriés doivent également être mis en place pour les composants logiciels ou matériels d'un dispositif médical.
D'autres questions persistent
Les responsables MDM et HDO sont tous deux chargés de garantir la mise en place de mesures d'atténuation concrètes en matière de cybersécurité, intégrées à la conception du dispositif. Cependant, la question de la responsabilité finale reste ouverte. Serait-ce la partie propriétaire du fichier d'historique de conception et donc de tous les livrables préalables à la mise sur le marché, tels que les données d'entrée et de sortie de conception et le plan de gestion des risques ? Serait-ce le centre de service qui gère l'entretien courant des dispositifs médicaux ? Ou bien la responsabilité incombera-t-elle à l'utilisateur du dispositif médical ?
Toute partie intervenant dans le cycle de vie et le circuit de distribution d'un dispositif médical doit être impliquée dans la planification globale de l'atténuation des risques. En fin de compte, il ne peut y avoir qu'un seul propriétaire du dossier d'historique de conception. Dans la plupart des cas, la partie responsable est celle qui soumet la demande d'enregistrement ou d'autorisation de mise sur le marché du dispositif, généralement le responsable de la conception.
Conclusion
En ce qui concerne les options de solution pour gérer et contrôler la liste complète des entrées de conception, logiciel de gestion de la qualité électronique (eQMS) peut aider. En établissant des actions basées sur des règles, les vulnérabilités identifiées grâce aux évaluations des risques, surveillance post-commercialisation, ainsi que d'autres sources, sont acheminés via une chaîne d'investigation et de résolution. La surveillance des correctifs informatiques peut s'intégrer à certains systèmes eQMS, ce qui permet suivi et correction de la gestion des correctifs À inclure dans le dossier d'historique de conception. Si la FDA ou un tiers demande à connaître les mesures prises pour atténuer une vulnérabilité connue d'un logiciel ou d'un micrologiciel, le système contient des enregistrements horodatés et approuvés démontrant un programme de correction proactif. La surveillance démontrable des appareils IoT deviendra une exigence de conformité essentielle pour les fabricants de dispositifs médicaux, et il est temps d'envisager les meilleures pratiques.
Ressources:
Documents de référence du PEAC : Sélectionnez le lien pour les documents de la réunion 2019.
https://www.fda.gov/advisory-committees/committees-and-meeting-materials/patient-engagement-advisory-committee
Informations complémentaires sur la cybersécurité de la FDA pour les dispositifs médicaux :
https://www.fda.gov/medical-devices/digital-health/cybersecurity.
FICHE D'INFORMATION DE LA FDA : Le rôle de la FDA dans la cybersécurité des dispositifs médicaux
https://www.fda.gov/media/123052/download
