Sans stratégie de sécurité, point de salut pour la transformation numérique des dispositifs médicaux !

De l’avis de tous, la sécurité des dispositifs est extrêmement importante. Aucun dirigeant ne peut prendre le risque d’être sous les feux des projecteurs suite à la compromission d’un de ces produits.

Un sujet semble revenir lors des échanges avec les fabricants de dispositifs médicaux autour de la question de l’innovation et des grandes problématiques professionnelles apparues au cours des 12 derniers mois : la sécurité, qu’il s’agisse de sécurité des équipements ou de cybersécurité. Sur ce plan, la majorité des organisations ont une approche qui les laisse vulnérables à un certain stade du cycle de vie du produit développé.

La plupart des responsables logiciel sont bien conscients des limites ou de l’obsolescence de ces méthodes simplistes, et qu’il est impossible de répondre aux besoins d’aujourd’hui et encore moins de demain avec une telle stratégie globale.

De l’avis de tous, la sécurité des dispositifs est extrêmement importante. Aucun dirigeant ne peut prendre le risque d’être sous les feux des projecteurs suite à la compromission d’un de ses produits. Selon une enquête publiée récemment, 65 % des entreprises estiment courir un risque important, que ce soit au niveau de la sécurité de leurs systèmes d’information ou à cause de l’utilisation de terminaux mobiles et de solutions cloud. Malgré cela, beaucoup d’organisations n’ont toujours pas défini de stratégie globale et d’actions concrètes - sans parler d’établir un argumentaire justifiant de réserver un budget pour la mise en œuvre d’une telle stratégie. 

Plusieurs raisons expliquent cette lenteur :
  • l’incompréhension des hauts dirigeants, les budgets insuffisants,
  • le manque d’expertise en interne,
  • la surexploitation des ressources de développement,
  • l’absence d’un responsable désigné de la sécurité des équipements,
  • et la complexité des exigences réglementaires.

Dispositifs médicaux et réglementations

Traditionnellement, les fabricants pouvaient se payer le luxe de stipuler que leurs dispositifs devaient n’être déployés que sur des réseaux protégés par des pare-feu. Mais récemment, ils se sont montrés plus réalistes, acceptant que les hôpitaux n’étaient pas aussi sécurisés qu’ils le devraient. Comme dans tous les secteurs d’activité, les équipes informatiques de ces établissements tardent souvent à appliquer des correctifs et à mettre à jour leurs infrastructures. Elles doivent connecter de plus en plus d’appareils sur ces réseaux, et faire, désormais, appel à des services cloud externes ; cette situation les oblige à créer de nombreuses exceptions aux règles de déploiement de départ.

Des études récentes révèlent qu’un pare-feu n’est plus suffisant pour se protéger des appareils non-authentifiés et à risque, ou des lacunes des procédures de sécurité de nombreux établissements. Des dispositifs médicaux sont également déployés en dehors des murs des hôpitaux, dans des établissements de soins de longue durée ou à domicile, où il n’existe aucun service informatique pour mettre en œuvre un processus de sécurité et un réseau sécurisé.

Stratégie de cybersécurité

Il est nécessaire de définir les principaux responsables du développement et de la mise en œuvre d’une stratégie de sécurité efficace ainsi que d’identifier leurs principales problématiques pour prioriser leurs objectifs.

Les fabricants de dispositifs médicaux doivent s’assurer de créer des produits compétitifs répondant à des exigences réglementaires en évolution constante, en particulier sur le plan de la sécurité. Ils doivent rapidement se pencher sur les points suivants :

1. Mettre en place une stratégie de sécurité en :

  • proposant un message clair et efficace pour les fabricants, leurs commerciaux et leurs clients,
  • répondant à la fois aux exigences des clients et à celles des réglementations locales en matière de gestion de la sécurité et des incidents,
  • fournissant la documentation adaptée et exigée par les autorités de régulation.
2. Identifier le personnel compétent et maîtrisant les exigences de sûreté et de sécurité relatives aux dispositifs médicaux

3. Soutenir les responsables informatiques des clients dans la mise en œuvre d’une stratégie de conformité aux diverses normes

4. Trouver le moyen de répondre aux appels d’offres exigeant une conformité à ces normes et de fournir les informations permettant aux utilisateurs finaux d’observer cette conformité

5. Répondre aux exigences des hôpitaux (méthodes de traitement innovantes, technologies dernier cri, services optimisés sur le plan des coûts, modèles économiques révolutionnaires)

6. Intégrer des dispositifs médicaux connectés afin de prendre part à l’évolution vers l’hôpital intelligent en :
  • faisant face aux réserves des gérants des hôpitaux vis-à-vis de ces technologies,
  • permettant le transfert de données vers ces systèmes, et comment conserver la propriété et assurer la confidentialité des données,
  • garantissant la sécurité lors du transfert de données entre ces systèmes.

Les établissements de santé font face à une vague de défis majeurs :

  • Nécessité d’innover : l’innovation est cruciale pour résister à la concurrence des autres hôpitaux et des prestataires de services médicaux,
  • Gestion des coûts : essentielle pour que ces établissements restent en bonne santé sur le plan financier en dépit de l’augmentation des patients à traiter et de la baisse des financements du système de santé,
  • Responsabilité, assurance et exigences légales : toutes ces problématiques sont de plus en plus importantes, de même que les besoins en matière de sécurité des systèmes d’information. Les établissements font ainsi preuve d’une aversion croissante au risque, ce qui les pousse à créer des stratégies plus complexes,
  • Évolution des agences de régulation et des normes réglementaires : ce phénomène met davantage l’accent sur la connectivité des dispositifs médicaux,
  • Sécurité des systèmes d’information : le renforcement de la sécurité est devenu un critère essentiel afin de faire face à des menaces de plus en plus importantes, même si cela augmente la complexité de l’interopérabilité entre fabricants,
  • Génération de données : les données peuvent être utilisées via l’IdO pour aider les fabricants à accroître leur attractivité, à limiter leurs dépenses et à augmenter les revenus issus de leurs nouvelles activités.

Les organismes de certification ont un rôle clé à jouer

En raison de la complexité des réglementations relatives à la sécurité des équipements médicaux, il est essentiel, lors de la conception d’une stratégie de sécurité, de se rapprocher très tôt des organismes de certification. Les fabricants et les établissements peuvent ainsi confirmer que leurs choix pour assurer la sécurité de leurs systèmes correspondent aux exigences réglementaires actuelles, et vérifier qu’ils ont choisi une voix qui leur permettra d’obtenir la validation espérée. Cela est tout aussi vrai pour la vérification et la validation des systèmes de sûreté.  

En conclusion, la tendance à la transformation numérique des entreprises nécessite que les fabricants et les utilisateurs finaux tiennent compte des nouvelles problématiques en matière de cybersécurité, afin de répondre aux exigences réglementaires et de limiter les risques pour leurs marques et leur réputation. La sécurité doit être omniprésente dans le cycle de vie des dispositifs et devient un élément crucial de la réussite des fabricants face à leurs concurrents. Faire de la sécurité une composante à part entière des équipements permet en effet d’éviter d’éventuelles répercussions financières, de voir des images de marque se détériorer et d’introduire des risques potentiels pour les utilisateurs.