APSSIS – AFIB : un référentiel de sécurité pour les dispositifs médicaux connectés

La création d’un « Clausier de conformité » annoncée en 2023 par le Club des RSSI, en partenariat avec la C.A.I.H. et UniHA pour améliorer la prise en compte des risques numériques dès la phase d’achat, a fait des émules. L’AFIB (Association française des ingénieurs biomédicaux) a mis en place un groupe de travail regroupant ses représentants et ceux de l’APSSIS afin de travailler sur un référentiel de sécurité pour les dispositifs médicaux connectés. Sa v2 a été lancée en janvier dernier.

Cette idée est née après la visite de l’AFIB au congrès de l’APSSIS, en 2022, pendant laquelle « les ingénieurs biomédicaux ont eu les oreilles qui sifflent », a expliqué Sandrine Roussel, ingénieure biomédicale au CHU de Besançon, dans un point de situation lors du dernier congrès de l’APSSIS, mi-juin au Mans.

En effet, si les ingénieurs biomédicaux ont « l’habitude de travailler sur la gestion du risque, qu’il s’agisse du risque hygiène, de la sécurité électrique, de l’amiante, etc. ; c’est différent pour le risque cyber car il y a moins de normalisation », a-t-elle expliqué. En outre, les DM ne sont pas des systèmes informatiques lambdas et sont marqués CE médical, il est donc difficile d’installer des antivirus, des systèmes de détection d’intrusion (EDR), ou simplement de demander aux fournisseurs d’effectuer une mise à jour de l’OS.

Autre difficulté : les durées de cycles de vie entre DM et outils informatiques sont très différentes. La moyenne d’âge des équipements biomédicaux dans les établissements est de 9 ans et, « entre le moment où un appareil a été conçu et celui où il est remplacé, il peut s’être passé 25 ans », a noté Sandrine Roussel.

Pour répondre au « retard » des fournisseurs sur la sécurité numérique, le travail mené par l’AFIB et l’APSSIS a abouti à un questionnaire et des exigences techniques que chaque établissement pourra adjoindre dans les CCTP (Cahier des clauses techniques particulières) des appels d’offres locaux ou ceux des centrales d’achats lors des appels d’offres nationaux. 

L’objectif est, pour un fournisseur, d’avoir un questionnaire unique pour tous les établissements clients acheteurs du DM ; et, pour les établissements, d’avoir un questionnaire cyber adapté dont les exigences sont adaptées aux spécificités des DM.

Le document compte 32 objectifs de sécurité et 48 questions fermées. Ils concernent des aspects techniques (authentification, protocoles réseaux, matrice de flux, logiciels tiers, mise à jour de sécurité…), la conformité (RGPD, certifications, auditabilité, sous-traitance…) et la gouvernance (procédure de gestion des incidents, signalement de vulnérabilités, référent SSI…). La plupart des exigences de sécurité rejoignent celles présentes dans le clausier de conformité du Club des RSSI, du fait de référentiels identiques.

« Ce questionnaire nous donne de l’autonomie sur un premier screening de cybersécurité », a expliqué Charles Blanc Rolin, chef de projet sécurité numérique en santé au GCS e-santé Pays de la Loire. « Puisque le fournisseur doit se positionner, nous pouvons aller voir le RSSI avec ses réponses et, s’il n’a pas l’air à niveau sur un point, demander au RSSI ce qu’il en pense ».

Sur 32 objectifs, 22 ne relèvent pas du marquage CE mais de l’organisation de la société et peuvent déjà être imposés aux fournisseurs.  Reste que « si un fournisseur est marqué CE, nous n’avons pas le droit de le mettre de côté », a expliqué Charles Blanc Rolin. « Les recommandations que nous allons diffuser ne vont pas être suffisantes : il faudrait un référentiel de l’ANSSI ou l’ANS, qui aurait plus d’importance ».