Publicité en cours de chargement...
APSSIS – AFIB : un référentiel de sécurité pour les dispositifs médicaux connectés
La création d’un « Clausier de conformité » annoncée en 2023 par le Club des RSSI, en partenariat avec la C.A.I.H. et UniHA pour améliorer la prise en compte des risques numériques dès la phase d’achat, a fait des émules. L’AFIB (Association française des ingénieurs biomédicaux) a mis en place un groupe de travail regroupant ses représentants et ceux de l’APSSIS afin de travailler sur un référentiel de sécurité pour les dispositifs médicaux connectés. Sa v2 a été lancée en janvier dernier.
Cette idée est née après la visite de l’AFIB au congrès de l’APSSIS, en 2022, pendant laquelle « les ingénieurs biomédicaux ont eu les oreilles qui sifflent », a expliqué Sandrine Roussel, ingénieure biomédicale au CHU de Besançon, dans un point de situation lors du dernier congrès de l’APSSIS, mi-juin au Mans.
En effet, si les ingénieurs biomédicaux ont « l’habitude de travailler sur la gestion du risque, qu’il s’agisse du risque hygiène, de la sécurité électrique, de l’amiante, etc. ; c’est différent pour le risque cyber car il y a moins de normalisation », a-t-elle expliqué. En outre, les DM ne sont pas des systèmes informatiques lambdas et sont marqués CE médical, il est donc difficile d’installer des antivirus, des systèmes de détection d’intrusion (EDR), ou simplement de demander aux fournisseurs d’effectuer une mise à jour de l’OS.
Autre difficulté : les durées de cycles de vie entre DM et outils informatiques sont très différentes. La moyenne d’âge des équipements biomédicaux dans les établissements est de 9 ans et, « entre le moment où un appareil a été conçu et celui où il est remplacé, il peut s’être passé 25 ans », a noté Sandrine Roussel.
Pour répondre au « retard » des fournisseurs sur la sécurité numérique, le travail mené par l’AFIB et l’APSSIS a abouti à un questionnaire et des exigences techniques que chaque établissement pourra adjoindre dans les CCTP (Cahier des clauses techniques particulières) des appels d’offres locaux ou ceux des centrales d’achats lors des appels d’offres nationaux.
L’objectif est, pour un fournisseur, d’avoir un questionnaire unique pour tous les établissements clients acheteurs du DM ; et, pour les établissements, d’avoir un questionnaire cyber adapté dont les exigences sont adaptées aux spécificités des DM.
Le document compte 32 objectifs de sécurité et 48 questions fermées. Ils concernent des aspects techniques (authentification, protocoles réseaux, matrice de flux, logiciels tiers, mise à jour de sécurité…), la conformité (RGPD, certifications, auditabilité, sous-traitance…) et la gouvernance (procédure de gestion des incidents, signalement de vulnérabilités, référent SSI…). La plupart des exigences de sécurité rejoignent celles présentes dans le clausier de conformité du Club des RSSI, du fait de référentiels identiques.
« Ce questionnaire nous donne de l’autonomie sur un premier screening de cybersécurité », a expliqué Charles Blanc Rolin, chef de projet sécurité numérique en santé au GCS e-santé Pays de la Loire. « Puisque le fournisseur doit se positionner, nous pouvons aller voir le RSSI avec ses réponses et, s’il n’a pas l’air à niveau sur un point, demander au RSSI ce qu’il en pense ».
Sur 32 objectifs, 22 ne relèvent pas du marquage CE mais de l’organisation de la société et peuvent déjà être imposés aux fournisseurs. Reste que « si un fournisseur est marqué CE, nous n’avons pas le droit de le mettre de côté », a expliqué Charles Blanc Rolin. « Les recommandations que nous allons diffuser ne vont pas être suffisantes : il faudrait un référentiel de l’ANSSI ou l’ANS, qui aurait plus d’importance ».
Avez-vous apprécié ce contenu ?
A lire également.
Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...
Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare
24 avril 2025 - 10:06,
Communiqué
- MaincareLe GHT Hôpitaux de Provence, un des groupements hospitaliers les plus importants de France avec 13 établissements et un bassin de 2 millions d’habitants, a choisi la solution M-SESAME, développée par Atout Majeur Concept, distribuée et intégrée par Maincare, pour répondre à ses besoins en matière de...
La cyber : revue d’actualité un tantinet énervée
09 juil. 2024 - 09:33,
Tribune
- Cédric CartauEntre la poire et le fromage, je clique au hasard sur les liens de mon navigateur, et j’en ramène quelques news, dont certaines ont le don de me faire monter en pression – je parle de cyber, OK ?
VIDAL et BERGER LEVRAULT renforcent leurs synergies permettant à l’éditeur de gagner en agilité tout en répondant aux exigences réglementaires
16 juil. 2024 - 10:56,
Communiqué
- VIDAL GroupLe Groupe Berger-Levrault, acteur majeur dans l’édition de logiciels, renforce son partenariat de longue date avec VIDAL, leader des solutions d’aide à la décision thérapeutique. VIDAL a obtenu en juin 2023 le marquage CE pour son dispositif médical, VIDAL Sécurisation, classé IIb selon le règlement...