Publicité en cours de chargement...
APSSIS – AFIB : un référentiel de sécurité pour les dispositifs médicaux connectés
La création d’un « Clausier de conformité » annoncée en 2023 par le Club des RSSI, en partenariat avec la C.A.I.H. et UniHA pour améliorer la prise en compte des risques numériques dès la phase d’achat, a fait des émules. L’AFIB (Association française des ingénieurs biomédicaux) a mis en place un groupe de travail regroupant ses représentants et ceux de l’APSSIS afin de travailler sur un référentiel de sécurité pour les dispositifs médicaux connectés. Sa v2 a été lancée en janvier dernier.
Cette idée est née après la visite de l’AFIB au congrès de l’APSSIS, en 2022, pendant laquelle « les ingénieurs biomédicaux ont eu les oreilles qui sifflent », a expliqué Sandrine Roussel, ingénieure biomédicale au CHU de Besançon, dans un point de situation lors du dernier congrès de l’APSSIS, mi-juin au Mans.
En effet, si les ingénieurs biomédicaux ont « l’habitude de travailler sur la gestion du risque, qu’il s’agisse du risque hygiène, de la sécurité électrique, de l’amiante, etc. ; c’est différent pour le risque cyber car il y a moins de normalisation », a-t-elle expliqué. En outre, les DM ne sont pas des systèmes informatiques lambdas et sont marqués CE médical, il est donc difficile d’installer des antivirus, des systèmes de détection d’intrusion (EDR), ou simplement de demander aux fournisseurs d’effectuer une mise à jour de l’OS.
Autre difficulté : les durées de cycles de vie entre DM et outils informatiques sont très différentes. La moyenne d’âge des équipements biomédicaux dans les établissements est de 9 ans et, « entre le moment où un appareil a été conçu et celui où il est remplacé, il peut s’être passé 25 ans », a noté Sandrine Roussel.
Pour répondre au « retard » des fournisseurs sur la sécurité numérique, le travail mené par l’AFIB et l’APSSIS a abouti à un questionnaire et des exigences techniques que chaque établissement pourra adjoindre dans les CCTP (Cahier des clauses techniques particulières) des appels d’offres locaux ou ceux des centrales d’achats lors des appels d’offres nationaux.
L’objectif est, pour un fournisseur, d’avoir un questionnaire unique pour tous les établissements clients acheteurs du DM ; et, pour les établissements, d’avoir un questionnaire cyber adapté dont les exigences sont adaptées aux spécificités des DM.
Le document compte 32 objectifs de sécurité et 48 questions fermées. Ils concernent des aspects techniques (authentification, protocoles réseaux, matrice de flux, logiciels tiers, mise à jour de sécurité…), la conformité (RGPD, certifications, auditabilité, sous-traitance…) et la gouvernance (procédure de gestion des incidents, signalement de vulnérabilités, référent SSI…). La plupart des exigences de sécurité rejoignent celles présentes dans le clausier de conformité du Club des RSSI, du fait de référentiels identiques.
« Ce questionnaire nous donne de l’autonomie sur un premier screening de cybersécurité », a expliqué Charles Blanc Rolin, chef de projet sécurité numérique en santé au GCS e-santé Pays de la Loire. « Puisque le fournisseur doit se positionner, nous pouvons aller voir le RSSI avec ses réponses et, s’il n’a pas l’air à niveau sur un point, demander au RSSI ce qu’il en pense ».
Sur 32 objectifs, 22 ne relèvent pas du marquage CE mais de l’organisation de la société et peuvent déjà être imposés aux fournisseurs. Reste que « si un fournisseur est marqué CE, nous n’avons pas le droit de le mettre de côté », a expliqué Charles Blanc Rolin. « Les recommandations que nous allons diffuser ne vont pas être suffisantes : il faudrait un référentiel de l’ANSSI ou l’ANS, qui aurait plus d’importance ».
Avez-vous apprécié ce contenu ?
A lire également.

Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data
14 mai 2025 - 16:59,
Communiqué
- ANAPSylvain Delair, directeur d’hôpital, prend la tête de la nouvelle cellule Data de l’Anap. Après avoir créé la Direction Data du CHU de Grenoble, il met son expertise au service de l’ensemble des établissements en contribuant à renforcer l’offre Data de l’Anap.

Galeon, le seul DPI certifié pour l’aide à la prescription hospitalière (LAP)
13 mai 2025 - 08:00,
Communiqué
- GaleonCertains ne font rien comme les autres dans le milieu hospitalier. C’est le cas de Galeon qui s’inscrit comme le premier logiciel à être certifié LAP. Une première dans le monde des logiciels hospitaliers.
La cyber : revue d’actualité un tantinet énervée
09 juil. 2024 - 09:33,
Tribune
- Cédric CartauEntre la poire et le fromage, je clique au hasard sur les liens de mon navigateur, et j’en ramène quelques news, dont certaines ont le don de me faire monter en pression – je parle de cyber, OK ?
VIDAL et BERGER LEVRAULT renforcent leurs synergies permettant à l’éditeur de gagner en agilité tout en répondant aux exigences réglementaires
16 juil. 2024 - 10:56,
Communiqué
- VIDAL GroupLe Groupe Berger-Levrault, acteur majeur dans l’édition de logiciels, renforce son partenariat de longue date avec VIDAL, leader des solutions d’aide à la décision thérapeutique. VIDAL a obtenu en juin 2023 le marquage CE pour son dispositif médical, VIDAL Sécurisation, classé IIb selon le règlement...