Publicité en cours de chargement...

Publicité en cours de chargement...

Les cinq recommandations de l’Afib en matière de sécurité numérique des équipements biomédicaux

22 déc. 2020 - 12:03,
Actualité - DSIH, Damien Dubois
L’Association française des ingénieurs biomédicaux a présenté ses recommandations pour améliorer la sécurité numérique des équipements biomédicaux lors d’un webinaire le 15 décembre dernier.

Le virage numérique des équipements médicaux implique de nouvelles technologies, offre de nouvelles possibilités et induit de nouveaux risques. Mi-décembre l’Afib a présenté le fruit d’un travail relatif à l’état des lieux du contexte inhérent à l’intégration des systèmes informatiques dans les équipements biomédicaux et à la clarification du rôle de l’ingénieur ou du responsable biomédical dans cette évolution, mais aussi des recommandations pour améliorer la sécurité numérique de tels équipements face aux risques d’attaque ou de perte de données. Constitué en 2019, le groupe de travail qui a conduit cette analyse regroupe six ingénieurs biomédicaux, dont Sandrine Roussel (CHU de Besançon) et David Laurent (CHU de Grenoble), qui en ont présenté les résultats.

L’Afib a ainsi établi cinq recommandations destinées à définir les exigences auxquelles doivent se conformer les fournisseurs et à répondre tant à l’obsolescence rapide des équipements et des systèmes informatiques qu’à la diversité des matériels de plus en plus ouverts vers l’extérieur et donc exposés.

Intégrer la sécurité numérique dans les procédures d’acquisition

La première recommandation concerne l’intégration de la sécurité numérique dans les procédures d’acquisition des équipements biomédicaux. Pour y parvenir, l’Afib propose un formulaire standardisé de 160 questions à destination des fournisseurs afin d’évaluer leur degré de conformité par rapport à la réglementation et leur niveau de maturité. D’après Sandrine Roussel, ce questionnaire permettra de « recueillir les renseignements nécessaires à l’installation et à la gestion de la vie de l’équipement (sauvegardes, accès, codes génériques). L’avantage d’un questionnaire standardisé, c’est que les fournisseurs seront prêts à y répondre quel que soit l’établissement demandeur ».

Définir la collaboration dans les établissements de santé

L’Afib recommande la formalisation d’un contrat de collaboration avec la direction des systèmes d’information pour les achats, les installations et la maintenance. L’Association ne fournit pas de contrat type, mais a identifié des points de vigilance sur la définition des équipements et des dispositifs concernés, sur les renseignements nécessaires à leur installation et sur la politique de sécurité numérique propre à l’établissement. Elle recommande également que ce contrat soit évolutif. Par ailleurs, la collaboration implique l’instauration d’une politique de sécurité numérique spécifique en lien avec la politique de l’établissement.

Assurer la sécurité des équipements biomédicaux

Cette troisième recommandation concerne le marquage CE des équipements, la gestion de la sécurité des accès et des connexions ainsi que la réalisation de sauvegardes pour s’assurer de la maîtrise des dispositifs.

Définir la criticité des équipements biomédicaux

Pour aider à la définition de la criticité des équipements biomédicaux en termes de sécurité informatique, l’Afib propose une nouvelle notation de la vulnérabilité informatique en dix points, parmi lesquels : L’équipement est-il sur un réseau segmenté ? Le système d’exploitation est-il à jour ? Y a-t-il un code d’accès sécurisé ? Les données sont-elles sauvegardées ? Les ports USB sont-ils bloqués ? Le dispositif est-il en interface avec d’autres applications ? Les tests d’intrusion sont-ils réalisés ? La gestion de la vulnérabilité des équipements qui embarquent des systèmes informatiques passe par l’établissement d’un score pour chaque matériel, en commençant par ceux qui ont été nouvellement acquis.

Agir rapidement en cas de cyberattaque

Comme un système ne peut être sécurisé à 100 %, l’Afib émet enfin des recommandations pour agir le plus rapidement possible en relayant celles de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : ne pas éteindre l’appareil, débrancher le réseau, s’assurer que les sauvegardes sont bien connectées au réseau et signaler l’incident. L’objectif de l’Afib est de diffuser la culture informatique au sein des services biomédicaux afin d’augmenter les exigences en matière de sécurité. À cette fin, l’Anssi a travaillé sur un label de cybersécurité. De son côté, l’Afib recommande des formations en interne dans les établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

ethicovigilance-numerique-premiers-signaux-dalerte-dans-la-sante-connectee

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

contourner-les-regles-faille-cyber-eternelle-et-consubstantielle-a-lespece-humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

larnaque-a-larret-de-travail-comme-source-de-reflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

panorama-forcement-non-exhaustif-du-fleau-des-arnaques-en-ligne-en-ce-debut-2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.