Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

APSSIS – AFIB : un référentiel de sécurité pour les dispositifs médicaux connectés

16 juil. 2024 - 10:46,
Actualité - DSIH, Morgan Bourven
Les dispositifs médicaux (DM) connectés, parfois très anciens, font partie des éléments les moins maitrisés par les RSSI et pour lesquels le risque cyber est parfois élevé. L’AFIB, association professionnelle regroupant 500 ingénieurs biomédicaux, a donc créé un groupe de travail avec l’APSSIS pour inciter les constructeurs de matériels à s’améliorer.

La création d’un « Clausier de conformité » annoncée en 2023 par le Club des RSSI, en partenariat avec la C.A.I.H. et UniHA pour améliorer la prise en compte des risques numériques dès la phase d’achat, a fait des émules. L’AFIB (Association française des ingénieurs biomédicaux) a mis en place un groupe de travail regroupant ses représentants et ceux de l’APSSIS afin de travailler sur un référentiel de sécurité pour les dispositifs médicaux connectés. Sa v2 a été lancée en janvier dernier.

Cette idée est née après la visite de l’AFIB au congrès de l’APSSIS, en 2022, pendant laquelle « les ingénieurs biomédicaux ont eu les oreilles qui sifflent », a expliqué Sandrine Roussel, ingénieure biomédicale au CHU de Besançon, dans un point de situation lors du dernier congrès de l’APSSIS, mi-juin au Mans.

En effet, si les ingénieurs biomédicaux ont « l’habitude de travailler sur la gestion du risque, qu’il s’agisse du risque hygiène, de la sécurité électrique, de l’amiante, etc. ; c’est différent pour le risque cyber car il y a moins de normalisation », a-t-elle expliqué. En outre, les DM ne sont pas des systèmes informatiques lambdas et sont marqués CE médical, il est donc difficile d’installer des antivirus, des systèmes de détection d’intrusion (EDR), ou simplement de demander aux fournisseurs d’effectuer une mise à jour de l’OS.

Autre difficulté : les durées de cycles de vie entre DM et outils informatiques sont très différentes. La moyenne d’âge des équipements biomédicaux dans les établissements est de 9 ans et, « entre le moment où un appareil a été conçu et celui où il est remplacé, il peut s’être passé 25 ans », a noté Sandrine Roussel.

Pour répondre au « retard » des fournisseurs sur la sécurité numérique, le travail mené par l’AFIB et l’APSSIS a abouti à un questionnaire et des exigences techniques que chaque établissement pourra adjoindre dans les CCTP (Cahier des clauses techniques particulières) des appels d’offres locaux ou ceux des centrales d’achats lors des appels d’offres nationaux. 

L’objectif est, pour un fournisseur, d’avoir un questionnaire unique pour tous les établissements clients acheteurs du DM ; et, pour les établissements, d’avoir un questionnaire cyber adapté dont les exigences sont adaptées aux spécificités des DM.

Le document compte 32 objectifs de sécurité et 48 questions fermées. Ils concernent des aspects techniques (authentification, protocoles réseaux, matrice de flux, logiciels tiers, mise à jour de sécurité…), la conformité (RGPD, certifications, auditabilité, sous-traitance…) et la gouvernance (procédure de gestion des incidents, signalement de vulnérabilités, référent SSI…). La plupart des exigences de sécurité rejoignent celles présentes dans le clausier de conformité du Club des RSSI, du fait de référentiels identiques.

« Ce questionnaire nous donne de l’autonomie sur un premier screening de cybersécurité », a expliqué Charles Blanc Rolin, chef de projet sécurité numérique en santé au GCS e-santé Pays de la Loire. « Puisque le fournisseur doit se positionner, nous pouvons aller voir le RSSI avec ses réponses et, s’il n’a pas l’air à niveau sur un point, demander au RSSI ce qu’il en pense ».

Sur 32 objectifs, 22 ne relèvent pas du marquage CE mais de l’organisation de la société et peuvent déjà être imposés aux fournisseurs.  Reste que « si un fournisseur est marqué CE, nous n’avons pas le droit de le mettre de côté », a expliqué Charles Blanc Rolin. « Les recommandations que nous allons diffuser ne vont pas être suffisantes : il faudrait un référentiel de l’ANSSI ou l’ANS, qui aurait plus d’importance ».

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

17 oct. 2025 - 10:18,

Actualité

- Rédaction, DSIH

L’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

13 oct. 2025 - 10:01,

Actualité

- Rédaction, DSIH

À l’occasion de la Fête de la science, l’Espace Mendès France de Poitiers a récemment accueilli une conférence passionnante consacrée à l’intelligence artificielle (IA) en santé. Intitulée « Intelligence artificielle en santé, entre progrès technologique et éthique : où en est-on ? », cette rencontr...

Illustration Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

13 oct. 2025 - 09:46,

Actualité

- Rédaction, DSIH

L’Agence du Numérique en Santé (ANS) a récemment signalé plusieurs tentatives de fraude visant l’application e-CPS et le portail ProSantéConnect (PSC). Ces attaques, fondées sur des techniques d’ingénierie sociale, consistent à se faire passer pour le « service client CPS » afin d’obtenir des codes ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.