Pour contrôler leur taux de sucre, les diabétiques ont recours à des pompes à insuline. Mais les chercheurs de QED Security Solutions ont découvert une vulnérabilité qui leur permet de contrôler à distance une ligne de pompes numériques.[I] En appuyant simplement sur quelques boutons de leur application Android, les chercheurs peuvent donner aux utilisateurs de pompes une surdose mortelle d'insuline à distance.
Heureusement, ces chercheurs n'avaient pas pour objectif de tuer. Ils souhaitaient faire passer un message à la Food and Drug Administration (FDA) américaine sur la cybersécurité des dispositifs médicaux, ce qu'ils ont fait. Une semaine après la démonstration des chercheurs à la FDA, le fabricant du dispositif a rappelé le produit.
Mais cet incident montre à quel point l’avènement des dispositifs médicaux intelligents ouvre un nouveau champ de risques et de réglementations effrayant. Comment les fabricants de dispositifs peuvent-ils rester à jour, se conformer à l’évolution des règles et protéger leurs clients ?
Comment devrions-nous sécuriser le « Internet des corps »?
L'Internet des objets n'est pas une nouveauté : en rendant nos appareils « intelligents » et en les connectant les uns aux autres, la vie quotidienne et le travail deviennent plus faciles et plus précis. Mais lorsqu'il s'agit d'appareils médicaux, cette connectivité soulève de nouvelles questions en matière de confidentialité, de sécurité et de sûreté.
Andrea Matwyshyn, professeure de droit à l’université Penn State, appelle ce nouveau phénomène « l’Internet des corps » et prévient que « pour la première fois, notre sécurité physique, notre autonomie et notre bien-être peuvent – et seront inévitablement – mis à mal à cause de logiciels défectueux ou de failles de sécurité. »[ii]*
Les systèmes cyberphysiques qui interagissent directement avec le corps des patients constituent le risque le plus évident. L’application phare de QED Security Solutions, qui cible les appareils médicaux à usage domestique, n’en est qu’un exemple. Mais plus encore que ces appareils externes, les dispositifs implantables comme les stimulateurs cardiaques et les stimulateurs cérébraux profonds nécessitent une planification à long terme : le rappel d’un implant cérébral n’est pas aussi simple que le rappel d’une pompe à insuline.[iii]
Où s'arrête la sécurité avec surveillance médicale à distance?
Et pensez que, selon la façon dont vous tracez la ligne, l’« Internet des corps » pourrait également inclure divers appareils portables intelligents.[iv] La surveillance médicale à distance ne comporte peut-être pas les mêmes risques physiques, mais peut néanmoins mettre en péril la vie privée des utilisateurs. L’armée américaine l’a appris à ses dépens lorsqu’un étudiant australien de 20 ans a fait remarquer qu’il était possible de voir clairement la routine quotidienne des soldats dans les bases militaires afghanes… grâce à l’application de fitness Strava.[v]
Techniquement, l'UE et la FDA ne considèrent pas les appareils de fitness comme des dispositifs médicaux (bien que des dispositifs médicaux portables existent). Mais comme le souligne Matwyshyn, la surveillance médicale à distance présente des zones grises réglementaires. Elle évoque l'exemple hypothétique d'une pilule intelligente qui agit comme un tracker de sommeil. Appareil de fitness ou appareil médical ? La réponse pourrait déterminer à quel organisme de réglementation il appartient.
Où se situent l'UE, les États-Unis et les autres pays ? cybersécurité des dispositifs médicaux?
Le développement rapide et la grande diversité des dispositifs médicaux intelligents signifient que les régulateurs cherchent encore à les gérer. Bien que certaines normes internationales existent déjà, les pays utilisent également leurs propres cadres, souvent appliqués par plusieurs organismes.
Normes internationales : L'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont développé la série de normes ISO/CEI 80001, couvrant « l'application de la gestion des risques pour les réseaux informatiques intégrant des dispositifs médicaux ».[vi] Ces normes techniques volontaires fournissent un aperçu complet des risques associés à la connectivité des dispositifs médicaux, avec lesquels les organismes de prestation de soins de santé (OSS) et les fabricants de dispositifs médicaux (FDM) peuvent comparer les appareils et les systèmes.
La norme ISO 14971 propose également une approche plus générale de la gestion des risques liés aux dispositifs médicaux. En avril 2020, le Forum international des régulateurs des dispositifs médicaux a publié la version définitive de ses « Principes et pratiques pour la cybersécurité des dispositifs médicaux »[vii].
États-Unis:La FDA réglemente les ventes de dispositifs médicaux, et cela s'applique également à la cybersécurité.[viii] Les réglementations fédérales exigent que les MDM abordent la cybersécurité en plus d'autres risques, et la FDA a publié plusieurs séries de directives décrivant comment aborder les préoccupations liées à la cybersécurité.[ix] Les directives finales avant la mise sur le marché ont été publiées en 2014, et les directives finales après la mise sur le marché en 2016, mais les mises à jour se sont poursuivies.
Cela étant dit, la FDA n'est pas la seule agence gouvernementale américaine impliquée. Pour les meilleures pratiques en matière de gestion des appareils mobiles, les conseils de la FDA s'appuient sur le Cadre d'amélioration de la cybersécurité des infrastructures critiques du National Institute of Standards and Technology, un organisme non réglementaire, et l'Agence de cybersécurité et de sécurité des infrastructures du Département de la sécurité intérieure des États-Unis aide à surveiller les vulnérabilités des appareils.[x]
Union européenne:Le cadre réglementaire de l'UE est toujours en évolution, avec de nouvelles orientations du groupe de coordination des dispositifs médicaux de l'UE en janvier 2020.[xii] Ces orientations visent à aider les fabricants de dispositifs médicaux à répondre aux exigences de deux nouveaux règlements : le règlement de l'UE relatif aux dispositifs médicaux, ou MDR (2017/745), et le règlement de l'UE relatif aux dispositifs médicaux de diagnostic in vitro, ou IVDR (2017/746), tous deux adoptés en mai 2017.[xii]
À l’origine, le MDR devait entrer en vigueur en mai 2020 et l’IVDR en mai 2022. Mais avec le Covid-19, l’UE a repoussé la date d’entrée en vigueur du MDR à mai 2021.[xiii]
Australie:La Therapeutic Goods Administration (TGA) d'Australie, hébergée au sein de son ministère de la Santé, a publié un document d'orientation sur la cybersécurité des dispositifs médicaux pour l'industrie en juillet 2019.[xiv] Comme d'autres agences, la TGA considère la cybersécurité comme faisant partie d'un processus de gestion des risques plus vaste, en citant la norme ISO 14971 et le cadre de cybersécurité du NIST américain comme des approches potentielles.
Singapour:L'Autorité des sciences de la santé de Singapour est chargée de contrôler la cybersécurité des dispositifs médicaux et appelle à une approche du cycle de vie de la gestion des produits.[xv] Le Singapore Standards Council a produit un document décrivant la gestion des risques de sécurité pour les dispositifs médicaux connectés.
Protéger dispositifs médicaux, protéger nous-mêmes
La cybersécurité des dispositifs médicaux est un domaine complexe auquel les régulateurs se sont adaptés à des rythmes variables. L'approche proactive des États-Unis au cours de la dernière décennie contraste par exemple avec le régime réglementaire encore en développement de l'UE.
Pourtant, la réglementation internationale a généralement convergé vers une approche fondée sur le risque, où les MDM doivent faire de la cybersécurité un élément essentiel de la gestion des risques tout au long de la durée de vie d'un appareil. À mesure que l'Internet des corps se développe, cela ne peut qu'être une bonne chose, car au bout du compte, sécuriser nos appareils médicaux signifie protéger nos propres vies.
[JE] wired.com – Ces hackers ont créé une application qui tue pour prouver quelque chose[ii] wdj.com – L’« Internet des corps » est là. Les tribunaux et les régulateurs sont-ils prêts ?
[iii] ncbi.nlm.nih.gov – De nouveaux risques mal gérés : le cas des implants intelligents et de la réglementation des dispositifs médicaux
[iv] lexology.com – Le rôle des objets connectés dans la lutte contre le COVID-19
[v] bbc.com – L'application de fitness Strava illumine le personnel des bases militaires
[vi] eprints.dkit.ie – Évaluation par rapport à la norme IEC 80001-1
[vii] imdrf.org – Principes et pratiques pour la cybersécurité des dispositifs médicaux
[viii] fda.gov – Le rôle de la FDA dans la réglementation des dispositifs médicaux
[ix] fda.gov – Cybersécurité
[x] nist.gov – Cadre d'amélioration de la cybersécurité des infrastructures critiques Version 1.1; – healthitsecurity.com – DHS CISA : de graves vulnérabilités découvertes dans 6 systèmes de dispositifs médicaux
[xi] blogs.dlapiper.com – Europe : Le MDCG de l’UE publie de nouvelles orientations sur la cybersécurité des dispositifs médicaux
[xii] medtechdive.com – Un groupe de l'UE propose des conseils pour répondre aux normes de cybersécurité du MDR; – eumdr.com – Règlement de l'Union européenne sur les dispositifs médicaux de 2017
[xiii] europarl.europa.eu – Le Parlement décide de reporter les nouvelles exigences relatives aux dispositifs médicaux
[xiv] tga.gov.au – Orientations sur la cybersécurité des dispositifs médicaux pour l'industrie; emergobyul.com – La convergence des exigences en matière de cybersécurité des dispositifs médicaux en Australie, au Canada et aux États-Unis
[xv] rsis.edu.sg – CO19204 | Santé : une infrastructure d'information essentielle; – hsa.gov.sg; singaporestandardseshop.sg – Sécurité des dispositifs médicaux connectés
