Publicité en cours de chargement...
Les cinq recommandations de l’Afib en matière de sécurité numérique des équipements biomédicaux
Le virage numérique des équipements médicaux implique de nouvelles technologies, offre de nouvelles possibilités et induit de nouveaux risques. Mi-décembre l’Afib a présenté le fruit d’un travail relatif à l’état des lieux du contexte inhérent à l’intégration des systèmes informatiques dans les équipements biomédicaux et à la clarification du rôle de l’ingénieur ou du responsable biomédical dans cette évolution, mais aussi des recommandations pour améliorer la sécurité numérique de tels équipements face aux risques d’attaque ou de perte de données. Constitué en 2019, le groupe de travail qui a conduit cette analyse regroupe six ingénieurs biomédicaux, dont Sandrine Roussel (CHU de Besançon) et David Laurent (CHU de Grenoble), qui en ont présenté les résultats.
L’Afib a ainsi établi cinq recommandations destinées à définir les exigences auxquelles doivent se conformer les fournisseurs et à répondre tant à l’obsolescence rapide des équipements et des systèmes informatiques qu’à la diversité des matériels de plus en plus ouverts vers l’extérieur et donc exposés.
Intégrer la sécurité numérique dans les procédures d’acquisition
La première recommandation concerne l’intégration de la sécurité numérique dans les procédures d’acquisition des équipements biomédicaux. Pour y parvenir, l’Afib propose un formulaire standardisé de 160 questions à destination des fournisseurs afin d’évaluer leur degré de conformité par rapport à la réglementation et leur niveau de maturité. D’après Sandrine Roussel, ce questionnaire permettra de « recueillir les renseignements nécessaires à l’installation et à la gestion de la vie de l’équipement (sauvegardes, accès, codes génériques). L’avantage d’un questionnaire standardisé, c’est que les fournisseurs seront prêts à y répondre quel que soit l’établissement demandeur ».
Définir la collaboration dans les établissements de santé
L’Afib recommande la formalisation d’un contrat de collaboration avec la direction des systèmes d’information pour les achats, les installations et la maintenance. L’Association ne fournit pas de contrat type, mais a identifié des points de vigilance sur la définition des équipements et des dispositifs concernés, sur les renseignements nécessaires à leur installation et sur la politique de sécurité numérique propre à l’établissement. Elle recommande également que ce contrat soit évolutif. Par ailleurs, la collaboration implique l’instauration d’une politique de sécurité numérique spécifique en lien avec la politique de l’établissement.
Assurer la sécurité des équipements biomédicaux
Cette troisième recommandation concerne le marquage CE des équipements, la gestion de la sécurité des accès et des connexions ainsi que la réalisation de sauvegardes pour s’assurer de la maîtrise des dispositifs.
Définir la criticité des équipements biomédicaux
Pour aider à la définition de la criticité des équipements biomédicaux en termes de sécurité informatique, l’Afib propose une nouvelle notation de la vulnérabilité informatique en dix points, parmi lesquels : L’équipement est-il sur un réseau segmenté ? Le système d’exploitation est-il à jour ? Y a-t-il un code d’accès sécurisé ? Les données sont-elles sauvegardées ? Les ports USB sont-ils bloqués ? Le dispositif est-il en interface avec d’autres applications ? Les tests d’intrusion sont-ils réalisés ? La gestion de la vulnérabilité des équipements qui embarquent des systèmes informatiques passe par l’établissement d’un score pour chaque matériel, en commençant par ceux qui ont été nouvellement acquis.
Agir rapidement en cas de cyberattaque
Comme un système ne peut être sécurisé à 100 %, l’Afib émet enfin des recommandations pour agir le plus rapidement possible en relayant celles de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : ne pas éteindre l’appareil, débrancher le réseau, s’assurer que les sauvegardes sont bien connectées au réseau et signaler l’incident. L’objectif de l’Afib est de diffuser la culture informatique au sein des services biomédicaux afin d’augmenter les exigences en matière de sécurité. À cette fin, l’Anssi a travaillé sur un label de cybersécurité. De son côté, l’Afib recommande des formations en interne dans les établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.