Nous avons été ravis de participer aux conférences BlackAlps 2018 à Yverdon au début du mois de novembre. En plus de nombreux sujets tendance liés à la cybersécurité tels que l'informatique quantique et les crypto-monnaies, l'équipe de BlackAlps a décidé cette année d'organiser un événement spécial axé sur les dispositifs médicaux.

Sur la base de plusieurs exposés et d'une table ronde réunissant des experts du monde médical et de la cybersécurité, une déclaration claire est ressortie de cet événement : L'absence d'approche pragmatique et de réglementation entourant le domaine de la cybersécurité dans le domaine médical représente un risque majeur et ce sujet doit être pris en considération au plus vite.

En effet, avec l'interconnexion toujours plus grande des dispositifs médicaux, la cybersécurité joue un rôle encore plus important pour garantir la sécurité, l'efficacité et la confidentialité des données. Le règlement sur les dispositifs médicaux (MDR), qui est entré en vigueur en mai 2017, contient des exigences essentielles explicites concernant la cybersécurité des dispositifs médicaux. Cependant, il n'existait jusqu'à présent aucune norme harmonisée applicable en la matière.
Sur la base de nombreux témoignages et discussions entre spécialistes, les exigences du domaine médical sont très similaires à celles du monde industriel de l'automatisation.

La série de normes CEI 62443 bénéficie du fait qu'elle comprend et traite la cybersécurité de manière holistique en ce qui concerne les aspects "personnes - processus - technologie" et que le modèle de rôle sous-jacent de la CEI 62443 (du propriétaire/exploitant de l'actif au fournisseur du produit et à ses processus de développement, en passant par l'"intégrateur") peut être bien mis en correspondance avec les rôles et dépendances correspondants dans le domaine médical, par exemple entre les exploitants d'hôpitaux, les médecins, les intégrateurs de TI/réseaux et les fabricants de dispositifs médicaux (voir la figure 1).

Figure 1 : Exemple de portée du cycle de vie d'un produit IACS (interprété à partir de la norme ISA/IEC-62443-2-4)

Les normes CEI 62443 sont donc de plus en plus recommandées par la FDA, le BSI et d'autres organismes similaires pour le secteur médical. Cependant, l'application des normes CEI 62443 dans le domaine de l'ingénierie médicale n'est pas exempte de difficultés, notamment en ce qui concerne les terminologies utilisées et les références aux systèmes industriels.

Chez CertX, nous croyons fermement à l'approche préconisée par l'ensemble des normes IEC 62443 pour son utilisation dans le domaine médical. Dans cette perspective, CertX développe continuellement ses services de cybersécurité et offre actuellement :

  • Formations pour introduire/améliorer la sensibilisation à la cybersécurité pour les entreprises médicales.
  • Analyse des lacunes / modélisation des menaces pour évaluer l'état de la cybersécurité de votre produit / système / infrastructure par rapport aux meilleures pratiques et aux normes applicables.
  • Certification concernant la conformité de votre processus/produit/système aux normes ISA/IEC 62443

Nous vous encourageons à nous contacter pour obtenir plus d'informations sur ces domaines et identifier potentiellement de nouvelles opportunités pour améliorer l'efficacité de votre entreprise à long terme.