Les dispositifs médicaux sont l’un des principaux points faibles de la cybersécurité des soins de santé, et le Congrès et la Food and Drug Administration ont pris des mesures pour combler cet écart cette semaine – Le Congrès avec un projet de loi et la FDA avec un nouveau projet de directives pour les fabricants d’appareils sur la façon dont ils devraient construire appareils moins susceptibles d’être piratés.
Les appareils tels que les pompes à perfusion ou les machines d’imagerie connectées à Internet peuvent être la cible de piratages. Ces attaques peuvent siphonner les données des patients ou mettre leur sécurité directement en danger. Les experts constatent constamment que les appareils utilisés aujourd’hui présentent des vulnérabilités qui pourraient être exploitées par des pirates.
La FDA, qui réglemente les dispositifs médicaux, tente depuis un certain temps de maîtriser ce problème. En 2014, il a publié des conseils pour les fabricants de dispositifs médicaux qui expliquaient comment ils devraient intégrer la cybersécurité avant de demander à l’agence d’autoriser leurs produits. L’agence puis a publié un projet de directive en 2018. Ce nouveau projet remplace la version 2018 et est basé sur les commentaires des fabricants et d’autres experts et sur les changements dans l’environnement des dispositifs médicaux au cours des dernières années, Suzanne Schwartz, directrice du Bureau des partenariats stratégiques et L’innovation technologique à la FDA, a déclaré à The Verge.
Le nouveau document n’est encore qu’un brouillon et les fabricants d’appareils ne commenceront pas à l’utiliser tant qu’il ne sera pas finalisé après une autre série de commentaires. Mais il inclut quelques changements importants par rapport à la dernière remise des gaz – y compris un accent sur l’ensemble du cycle de vie d’un appareil et une recommandation aux fabricants d’inclure une nomenclature logicielle (SBOM) avec tous les nouveaux produits qui donne aux utilisateurs des informations sur les différents éléments qui composent un appareil. Un SBOM permet aux utilisateurs de garder plus facilement un œil sur leurs appareils. Si un bogue ou une vulnérabilité est détecté dans un logiciel, par exemple, un hôpital pourrait facilement vérifier si ses pompes à perfusion utilisent ce logiciel spécifique.
La FDA a également présenté des propositions législatives sur la cybersécurité des dispositifs médicaux, demandant au Congrès un pouvoir plus explicite pour formuler des exigences. “L’intention est de permettre aux appareils d’être beaucoup plus résistants pour résister au potentiel de cyber-exploits ou d’intrusions”, déclare Schwartz. Les fabricants devraient être en mesure de mettre à jour ou de corriger les problèmes logiciels sans nuire au fonctionnement des appareils, dit-elle.
Les efforts de la FDA concordent avec un projet de loi présenté au Congrès cette semaine, la loi PATCH (Protecting and Transforming Cyber Health Care), qui codifierait certaines des propositions de la FDA. Le projet de loi obligerait les fabricants d’appareils à avoir un plan pour résoudre tout problème de cybersécurité avec leurs appareils et exigerait un SBOM pour les nouveaux appareils. Si le projet de loi est adopté, ces éléments deviendront des exigences plutôt que de simples directives recommandées par la FDA.
“Cela nous donnerait des dents supplémentaires”
“Cela nous donnerait des dents supplémentaires”, déclare Schwartz. “Cela vraiment, pour la première fois, établirait, très explicitement, une autorité dans le domaine de la cybersécurité et la lierait directement à la sécurité des dispositifs médicaux.”
Notamment, ces nouvelles recommandations et la législation s’appliqueraient principalement aux nouveaux dispositifs mis sur le marché – elles ne couvrent pas les millions de dispositifs médicaux déjà utilisés aux États-Unis. La FDA a rédigé des directives, rédigées en 2016, qui décrivent comment les fabricants d’appareils doivent garder un œil sur les problèmes potentiels de cybersécurité dans leurs appareils existants déjà sur le marché. Schwartz dit que la FDA n’a pas de plans actifs pour mettre à jour ces directives, mais c’est quelque chose que l’agence envisagerait.
L’objectif du nouveau projet de directives et de la pression de la FDA pour une législation sur la cybersécurité des appareils est de s’assurer que les nouveaux appareils mis en ligne sont en meilleur état que ceux qui ont été sur le marché et qui ont des problèmes de cybersécurité existants. « Nous voulons que les appareils de demain n’aient pas les mêmes problèmes d’héritage que ceux auxquels nous sommes confrontés aujourd’hui », dit-elle.
