Des appareils de pointe aux dispositifs existants : maintien de la sécurité des produits au sein de l’hôpital

PUBLIÉ : 25 février 2019

David Scott, CISSP-ISSEP, CRISC

Les hôpitaux sont confrontés à d’importants obstacles à la sécurité des dispositifs médicaux

Dans l’environnement actuel, il existe un besoin constant d’équilibre entre les fonctionnalités et la sécurité, où les fabricants d’appareils médicaux atténuent les menaces tout en répondant à la demande clinique de fournir un produit robuste, interopérable et sûr pour le traitement des patients. Trois obstacles à la sécurité des dispositifs médicaux viennent à l’esprit. Ils concernent tous la relation essentielle entre les fabricants et les organisations de santé : gestion d’actifs, évolution du paysage des menaces et exigences temporelles compressées.

Gestion des actifs

Pour sécuriser efficacement les dispositifs en vue d’une utilisation clinique, les organisations doivent comprendre leur nature et la façon dont ils sont intégrés sur le plan opérationnel. Il est essentiel qu’une organisation assure le suivi des actifs. L’évolution des solutions d’assistance à distance, une connectivité sécurisée améliorée et une vigilance accrue dans la gestion des stocks peuvent tous améliorer la sécurité.

L’évolution du paysage des menaces

Autre obstacle majeur : la vitesse à laquelle le paysage des menaces évolue pour les dispositifs médicaux et la capacité du fabricant à anticiper ces menaces et à y répondre en temps réel. Les organisations doivent évaluer les réponses de leur fournisseur aux menaces émergentes, telles que la rapidité d’émettre des mises à jour logicielles ou d’appliquer des correctifs sur un dispositif. Les entreprises de technologie médicale doivent être agiles dans leurs processus de développement et de lancement, qui nécessitent du temps pour la validation et la vérification avant de fournir une mise à jour.

Exigences de calendrier compressée

Trop souvent, les fabricants réduisent les exigences contractuelles en matière de réponse aux incidents et de délais de vulnérabilité. Les fabricants doivent émettre des contrôles compensatoires et des mesures d’atténuation bien définis pour réduire le risque de sécurité, mais c’est réactif. Nous savons qu’il est important d’améliorer de manière proactive la sensibilisation à la sécurité et de donner la priorité à l’hygiène à l’échelle de l’organisation. Pour ces raisons, les entreprises doivent collaborer activement avec les clients afin de veiller à ce qu’ils disposent de l’information nécessaire pour mieux sécuriser leurs produits.

Modification des directives de la FDA : une approche pour libérer des correctifs et des mises à niveau

Les conseils et recommandations de la FDA avant et après la mise sur le marché figurant dans le plan d’action de sécurité récemment publié sont les éléments constitutifs d’un cadre de sécurité des produits efficace, qui intègre les exigences de sécurité des produits à toutes les étapes du cycle de vie de développement. En plus de faire partie d’une bonne hygiène de sécurité, les mises à jour et les correctifs réguliers sont des éléments essentiels du respect des réglementations obligatoires sur les systèmes qualité (QSR) pour les dispositifs médicaux, qui exigent que les fabricants d’appareils médicaux prennent en charge tous les risques, y compris les risques de cybersécurité. La FDA a mis à jour ses directives relatives au marché pour les rendre très claires : la cybersécurité des dispositifs médicaux, y compris l’application de correctifs de sécurité et la durabilité, n’est pas facultative.

Un bon programme de divulgation des vulnérabilités doit être bâti sur une base de transparence et de collaboration. Cela signifie qu’il existe une transparence et une collaboration entre les prestataires de soins de santé, les partenaires, les agences réglementaires, les chercheurs en sécurité et les patients. Nous ne pouvons pas sécuriser ce que nous ne savons pas, et personne dans les dispositifs médicaux ou les écosystèmes de santé ne peut efficacement mettre en œuvre seule la sécurité adéquate. Nous sommes tous partenaires dans le domaine de la sécurité et nous avons donc besoin d’une communication ouverte et constante pour maintenir un partenariat sain.

Les entreprises doivent s’engager à communiquer des informations complètes et coordonnées sur les vulnérabilités, et à fournir les mesures correctives recommandées ou les contrôles compensatoires dans les 30 jours suivant la notification d’une vulnérabilité potentielle. En outre, il est important d’entretenir des partenariats solides avec la FDA, le Department of Homeland Security/ICS CERT et HHS, ainsi que les organismes de réglementation internationaux, et d’inclure les parties concernées de ces organisations dans chaque divulgation remplie par un fabricant.

Sécuriser les dispositifs médicaux existants ou ne pouvant être corrigés

Dans le cadre d’un plan efficace pour les appareils existants, il est essentiel de comprendre le nombre de dispositifs en fin de vie ou de fin de support dont disposent des clients dans leur environnement. Il est également essentiel de s’assurer que les logiciels antivirus/anti-programmes malveillants et autres sont à jour et fonctionnent correctement. Dans certains cas, l’isolement des dispositifs impactés par une segmentation du réseau ou des configurations virtuelles LAN peut s’avérer très efficace. Chez BD, nous avons trouvé utile d’intégrer d’autres capacités existantes de détection d’intrusion, de gestion des informations et des événements de sécurité ou de centre des opérations de sécurité afin d’optimiser les défenses mises en place par nos clients. Enfin, il est important de travailler en étroite collaboration avec les clients pour créer un plan de mise à niveau technique évolutif et en temps opportun qui les aide à gérer ces appareils existants hors de leur infrastructure.

En savoir plus

Chaque mois, sur le blogue de l'Institut BD d'excellence en gestion des médicaments, des leaders d’opinion explorent des sujets d’importance cruciale pour la gestion des médicaments et proposent d’autres sources d’apprentissage.