Le document publié par l’ANSM est issu des travaux de son comité scientifique sur la cybersécurité des logiciels DM, créé fin 2017.
Inscrite au programme de travail de l’agence pour 2019, la publication de ces recommandations intervient alors que les exigences de sécurité informatique portant sur les dispositifs médicaux intégrant du logiciel (DMIL) ont été renforcées par la nouvelle réglementation européenne relatif aux dispositifs médicaux (DM), qui entrera en vigueur le 26 mai 2020 (puis le 26 mai 2022 pour les DM de diagnostic in vitro).
En application de cette réforme, de nombreux logiciels médicaux vont passer de la classe I aux classes IIa, IIb et III, et être soumis à des contraintes plus fortes en matière d’évaluation et de certification.
Les logiciels concernés sont par exemple les outils d’échanges et de traitement de données médicales, de maintenance des DM, de télésurveillance, de prédiction d’un risque ou des programmes de pilotages de dispositifs médicaux.
L’objectif des recommandations publiées par l’ANSM est d’aider les fabricants et les éditeurs de logiciels à « prendre les mesures nécessaires pour réduire au maximum les risques d’attaques à l’encontre de leur DM » et à « prévenir la compromission des données et l’utilisation détournée des DM qu’ils mettent sur le marché », a expliqué l’agence.
« Il s’agit de donner les grands principes sans détailler les aspects techniques qui rendraient ce document rapidement obsolète compte tenu de l’évolution rapide des dispositifs médicaux et des attaques », a-t-elle poursuivi.
« C’est la première fois en Europe que des recommandations dans ce domaine sont élaborées », a-t-elle précisé, ajoutant que ces travaux ont été partagés avec la Commission européenne.
En préambule de ses recommandations, l’ANSM a relevé une culture de la cybersécurité « très hétérogène » au sein des fabricants de dispositifs. Elle a cité « l’absence d’analyse de risque spécifique », la « méconnaissance des exigences de cybersécurité » et le « défaut de prise en compte de la cybersécurité dans le processus de conception et de développement du DM ».
Les recommandations de l’agence sont divisée en cinq axes fondés sur le cycle de vie du logiciel: la conception, le développement, la distribution et la mise en service, la surveillance après la mise sur le marché et la gestion de la fin de vie du logiciel.
Elles portent notamment sur le contrôle des accès, la gestion des authentifications, l’hébergement des données, les modalités de mise à jour et de maintenance ou encore les dispositifs de protection de l’intégrité du DM.
Les suggestions et remarques sur ces recommandations peuvent être envoyées jusqu’au lundi 30 septembre à l’ANSM, sous la forme d’un formulaire de réponse à retourner à l’adresse dmcdiv@ansm.sante.fr.
Après analyse de ces retours, les recommandations finales seront envoyées aux fabricants en « décembre 2019 », a indiqué l’agence.
Projet de recommandations de l’ANSM sur la cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie
Lire la suite: www.ticpharma.com
