Publicité en cours de chargement...
APSSIS – AFIB : un référentiel de sécurité pour les dispositifs médicaux connectés
La création d’un « Clausier de conformité » annoncée en 2023 par le Club des RSSI, en partenariat avec la C.A.I.H. et UniHA pour améliorer la prise en compte des risques numériques dès la phase d’achat, a fait des émules. L’AFIB (Association française des ingénieurs biomédicaux) a mis en place un groupe de travail regroupant ses représentants et ceux de l’APSSIS afin de travailler sur un référentiel de sécurité pour les dispositifs médicaux connectés. Sa v2 a été lancée en janvier dernier.
Cette idée est née après la visite de l’AFIB au congrès de l’APSSIS, en 2022, pendant laquelle « les ingénieurs biomédicaux ont eu les oreilles qui sifflent », a expliqué Sandrine Roussel, ingénieure biomédicale au CHU de Besançon, dans un point de situation lors du dernier congrès de l’APSSIS, mi-juin au Mans.
En effet, si les ingénieurs biomédicaux ont « l’habitude de travailler sur la gestion du risque, qu’il s’agisse du risque hygiène, de la sécurité électrique, de l’amiante, etc. ; c’est différent pour le risque cyber car il y a moins de normalisation », a-t-elle expliqué. En outre, les DM ne sont pas des systèmes informatiques lambdas et sont marqués CE médical, il est donc difficile d’installer des antivirus, des systèmes de détection d’intrusion (EDR), ou simplement de demander aux fournisseurs d’effectuer une mise à jour de l’OS.
Autre difficulté : les durées de cycles de vie entre DM et outils informatiques sont très différentes. La moyenne d’âge des équipements biomédicaux dans les établissements est de 9 ans et, « entre le moment où un appareil a été conçu et celui où il est remplacé, il peut s’être passé 25 ans », a noté Sandrine Roussel.
Pour répondre au « retard » des fournisseurs sur la sécurité numérique, le travail mené par l’AFIB et l’APSSIS a abouti à un questionnaire et des exigences techniques que chaque établissement pourra adjoindre dans les CCTP (Cahier des clauses techniques particulières) des appels d’offres locaux ou ceux des centrales d’achats lors des appels d’offres nationaux.
L’objectif est, pour un fournisseur, d’avoir un questionnaire unique pour tous les établissements clients acheteurs du DM ; et, pour les établissements, d’avoir un questionnaire cyber adapté dont les exigences sont adaptées aux spécificités des DM.
Le document compte 32 objectifs de sécurité et 48 questions fermées. Ils concernent des aspects techniques (authentification, protocoles réseaux, matrice de flux, logiciels tiers, mise à jour de sécurité…), la conformité (RGPD, certifications, auditabilité, sous-traitance…) et la gouvernance (procédure de gestion des incidents, signalement de vulnérabilités, référent SSI…). La plupart des exigences de sécurité rejoignent celles présentes dans le clausier de conformité du Club des RSSI, du fait de référentiels identiques.
« Ce questionnaire nous donne de l’autonomie sur un premier screening de cybersécurité », a expliqué Charles Blanc Rolin, chef de projet sécurité numérique en santé au GCS e-santé Pays de la Loire. « Puisque le fournisseur doit se positionner, nous pouvons aller voir le RSSI avec ses réponses et, s’il n’a pas l’air à niveau sur un point, demander au RSSI ce qu’il en pense ».
Sur 32 objectifs, 22 ne relèvent pas du marquage CE mais de l’organisation de la société et peuvent déjà être imposés aux fournisseurs. Reste que « si un fournisseur est marqué CE, nous n’avons pas le droit de le mettre de côté », a expliqué Charles Blanc Rolin. « Les recommandations que nous allons diffuser ne vont pas être suffisantes : il faudrait un référentiel de l’ANSSI ou l’ANS, qui aurait plus d’importance ».
Avez-vous apprécié ce contenu ?
A lire également.
FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies
06 oct. 2025 - 21:41,
Actualité
- DSIHPour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

L’Espace européen des données de santé : une opportunité stratégique pour la France et l’Europe
06 oct. 2025 - 21:21,
Actualité
- DSIHLe 30 septembre 2025, la Délégation du Numérique en Santé (DNS) a réuni l’écosystème lors d’une journée dédiée à l’Espace européen des données de santé (EEDS). Cette initiative fait suite à l’entrée en vigueur du règlement en mars 2025, marquant le début d’un chantier collectif pour construire un es...

Les jumeaux numériques en santé : vers une médecine personnalisée et prédictive
06 oct. 2025 - 20:46,
Actualité
- DSIH,Les jumeaux numériques représentent une avancée majeure dans le domaine de la santé numérique. Inspirés de l'industrie, ils sont des modèles dynamiques d'un patient, d'un organe ou d'un processus physiologique, construits à partir de données médicales, biologiques, environnementales et comportementa...

L'École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite
06 oct. 2025 - 10:50,
Communiqué
- EHESPDans un contexte d’accélération de la transformation numérique du système de santé, l’École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite à destination des équipes dirigeantes d’établissements sanitaires, sociaux et médico-sociaux.