Les cinq recommandations de l’Afib en matière de sécurité numérique des équipements biomédicaux
Le virage numérique des équipements médicaux implique de nouvelles technologies, offre de nouvelles possibilités et induit de nouveaux risques. Mi-décembre l’Afib a présenté le fruit d’un travail relatif à l’état des lieux du contexte inhérent à l’intégration des systèmes informatiques dans les équipements biomédicaux et à la clarification du rôle de l’ingénieur ou du responsable biomédical dans cette évolution, mais aussi des recommandations pour améliorer la sécurité numérique de tels équipements face aux risques d’attaque ou de perte de données. Constitué en 2019, le groupe de travail qui a conduit cette analyse regroupe six ingénieurs biomédicaux, dont Sandrine Roussel (CHU de Besançon) et David Laurent (CHU de Grenoble), qui en ont présenté les résultats.
L’Afib a ainsi établi cinq recommandations destinées à définir les exigences auxquelles doivent se conformer les fournisseurs et à répondre tant à l’obsolescence rapide des équipements et des systèmes informatiques qu’à la diversité des matériels de plus en plus ouverts vers l’extérieur et donc exposés.
Intégrer la sécurité numérique dans les procédures d’acquisition
La première recommandation concerne l’intégration de la sécurité numérique dans les procédures d’acquisition des équipements biomédicaux. Pour y parvenir, l’Afib propose un formulaire standardisé de 160 questions à destination des fournisseurs afin d’évaluer leur degré de conformité par rapport à la réglementation et leur niveau de maturité. D’après Sandrine Roussel, ce questionnaire permettra de « recueillir les renseignements nécessaires à l’installation et à la gestion de la vie de l’équipement (sauvegardes, accès, codes génériques). L’avantage d’un questionnaire standardisé, c’est que les fournisseurs seront prêts à y répondre quel que soit l’établissement demandeur ».
Définir la collaboration dans les établissements de santé
L’Afib recommande la formalisation d’un contrat de collaboration avec la direction des systèmes d’information pour les achats, les installations et la maintenance. L’Association ne fournit pas de contrat type, mais a identifié des points de vigilance sur la définition des équipements et des dispositifs concernés, sur les renseignements nécessaires à leur installation et sur la politique de sécurité numérique propre à l’établissement. Elle recommande également que ce contrat soit évolutif. Par ailleurs, la collaboration implique l’instauration d’une politique de sécurité numérique spécifique en lien avec la politique de l’établissement.
Assurer la sécurité des équipements biomédicaux
Cette troisième recommandation concerne le marquage CE des équipements, la gestion de la sécurité des accès et des connexions ainsi que la réalisation de sauvegardes pour s’assurer de la maîtrise des dispositifs.
Définir la criticité des équipements biomédicaux
Pour aider à la définition de la criticité des équipements biomédicaux en termes de sécurité informatique, l’Afib propose une nouvelle notation de la vulnérabilité informatique en dix points, parmi lesquels : L’équipement est-il sur un réseau segmenté ? Le système d’exploitation est-il à jour ? Y a-t-il un code d’accès sécurisé ? Les données sont-elles sauvegardées ? Les ports USB sont-ils bloqués ? Le dispositif est-il en interface avec d’autres applications ? Les tests d’intrusion sont-ils réalisés ? La gestion de la vulnérabilité des équipements qui embarquent des systèmes informatiques passe par l’établissement d’un score pour chaque matériel, en commençant par ceux qui ont été nouvellement acquis.
Agir rapidement en cas de cyberattaque
Comme un système ne peut être sécurisé à 100 %, l’Afib émet enfin des recommandations pour agir le plus rapidement possible en relayant celles de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : ne pas éteindre l’appareil, débrancher le réseau, s’assurer que les sauvegardes sont bien connectées au réseau et signaler l’incident. L’objectif de l’Afib est de diffuser la culture informatique au sein des services biomédicaux afin d’augmenter les exigences en matière de sécurité. À cette fin, l’Anssi a travaillé sur un label de cybersécurité. De son côté, l’Afib recommande des formations en interne dans les établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
BRISS : Transformer la crise hospitalière en levier de résilience
18 nov. 2025 - 09:35,
Actualité
- Rédaction, DSIHLa plateforme BRISS, portée par l'ARS et la FHF Bourgogne-Franche-Comté, révolutionne la formation des établissements de santé en France en proposant des séries immersives inspirées de crises réelles comme la cyberattaque du CH de Pontarlier en octobre 2025.
Digressions sur la cyber et les enjeux climatiques
17 nov. 2025 - 20:53,
Tribune
-Cela nous pendait au nez : l’époque est aux questions semi-existentielles sur les enjeux climatiques, et la cyber, longtemps restée à l’écart, voit le sujet arriver par différentes sources et sous différentes formes, dont l’amendement sur les enjeux climatiques de la 27001.
Santé et cybersécurité : à la Journée SSI Santé, Judith Nicogossian rappelle que la résilience commence par l’humain
17 nov. 2025 - 15:08,
Actualité
- Rédaction, DSIHC’est lors de la conférence de clôture de la Journée SSI Santé organisée par l’APSSIS, le 13 novembre 2025, que Judith Nicogossian, anthropobiologiste et spécialiste des interactions humain-technologie, a livré un message sans détour : dans les établissements de santé, la cybersécurité ne peut plus ...
Des milliers de médecins paralysés par une cyberattaque sur un logiciel de gestion
17 nov. 2025 - 11:14,
Actualité
- Rédaction, DSIHUn logiciel médical utilisé par 23 000 professionnels de santé a été pris pour cible par une cyberattaque d’ampleur, privant médecins et soignants de leurs outils numériques pendant plusieurs jours. Un retour forcé aux méthodes traditionnelles qui met en lumière la vulnérabilité croissante du secteu...
