Les cinq recommandations de l’Afib en matière de sécurité numérique des équipements biomédicaux

Le virage numérique des équipements médicaux implique de nouvelles technologies, offre de nouvelles possibilités et induit de nouveaux risques. Mi-décembre l’Afib a présenté le fruit d’un travail relatif à l’état des lieux du contexte inhérent à l’intégration des systèmes informatiques dans les équipements biomédicaux et à la clarification du rôle de l’ingénieur ou du responsable biomédical dans cette évolution, mais aussi des recommandations pour améliorer la sécurité numérique de tels équipements face aux risques d’attaque ou de perte de données. Constitué en 2019, le groupe de travail qui a conduit cette analyse regroupe six ingénieurs biomédicaux, dont Sandrine Roussel (CHU de Besançon) et David Laurent (CHU de Grenoble), qui en ont présenté les résultats.

L’Afib a ainsi établi cinq recommandations destinées à définir les exigences auxquelles doivent se conformer les fournisseurs et à répondre tant à l’obsolescence rapide des équipements et des systèmes informatiques qu’à la diversité des matériels de plus en plus ouverts vers l’extérieur et donc exposés.

Intégrer la sécurité numérique dans les procédures d’acquisition

La première recommandation concerne l’intégration de la sécurité numérique dans les procédures d’acquisition des équipements biomédicaux. Pour y parvenir, l’Afib propose un formulaire standardisé de 160 questions à destination des fournisseurs afin d’évaluer leur degré de conformité par rapport à la réglementation et leur niveau de maturité. D’après Sandrine Roussel, ce questionnaire permettra de « recueillir les renseignements nécessaires à l’installation et à la gestion de la vie de l’équipement (sauvegardes, accès, codes génériques). L’avantage d’un questionnaire standardisé, c’est que les fournisseurs seront prêts à y répondre quel que soit l’établissement demandeur ».

Définir la collaboration dans les établissements de santé

L’Afib recommande la formalisation d’un contrat de collaboration avec la direction des systèmes d’information pour les achats, les installations et la maintenance. L’Association ne fournit pas de contrat type, mais a identifié des points de vigilance sur la définition des équipements et des dispositifs concernés, sur les renseignements nécessaires à leur installation et sur la politique de sécurité numérique propre à l’établissement. Elle recommande également que ce contrat soit évolutif. Par ailleurs, la collaboration implique l’instauration d’une politique de sécurité numérique spécifique en lien avec la politique de l’établissement.

Assurer la sécurité des équipements biomédicaux

Cette troisième recommandation concerne le marquage CE des équipements, la gestion de la sécurité des accès et des connexions ainsi que la réalisation de sauvegardes pour s’assurer de la maîtrise des dispositifs.

Définir la criticité des équipements biomédicaux

Pour aider à la définition de la criticité des équipements biomédicaux en termes de sécurité informatique, l’Afib propose une nouvelle notation de la vulnérabilité informatique en dix points, parmi lesquels : L’équipement est-il sur un réseau segmenté ? Le système d’exploitation est-il à jour ? Y a-t-il un code d’accès sécurisé ? Les données sont-elles sauvegardées ? Les ports USB sont-ils bloqués ? Le dispositif est-il en interface avec d’autres applications ? Les tests d’intrusion sont-ils réalisés ? La gestion de la vulnérabilité des équipements qui embarquent des systèmes informatiques passe par l’établissement d’un score pour chaque matériel, en commençant par ceux qui ont été nouvellement acquis.

Agir rapidement en cas de cyberattaque

Comme un système ne peut être sécurisé à 100 %, l’Afib émet enfin des recommandations pour agir le plus rapidement possible en relayant celles de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : ne pas éteindre l’appareil, débrancher le réseau, s’assurer que les sauvegardes sont bien connectées au réseau et signaler l’incident. L’objectif de l’Afib est de diffuser la culture informatique au sein des services biomédicaux afin d’augmenter les exigences en matière de sécurité. À cette fin, l’Anssi a travaillé sur un label de cybersécurité. De son côté, l’Afib recommande des formations en interne dans les établissements de santé.