La sécurité des appareils médicaux est compromise par un cadre réglementaire trop flou
La digitalisation des environnements hospitaliers et des outils médicaux pose d’énormes défis. A Y-Parc, lors de l’événement Black Alps dédié à la cybersécurité, une conférence a abordé la problématique via le point de vue du CIO du CHUV, d’un fabricant d’appareils médicaux connectés et d’un spécialiste de la conformité dans le domaine.
La sécurisation des équipements médicaux connectés pose de gigantesques défis à l’IT des établissements hospitaliers, dans un contexte où les directives réglementaires restent encore floues. Cette problématique était au cœur d’une conférence ce jeudi 8 novembre, lors de l’événement Black Alps 2018 au parc technologique Y-Parc d’Yverdon-les-Bains.
CIO du Centre hospitalier universitaire vaudois (CHUV) et membre du Digital Circle, Pierre-François Regamey a expliqué que la multiplication des wearables et des équipements connectés (médicaux ou non) au sein du réseau informatique des CHUV pose d’énormes challenges en termes de cybersécurité. Une sécurisation d’autant plus complexe que l’hôpital est interconnecté avec de nombreux partenaires friands de données numériques, par exemple les prestataires de soins externes ou les instituts de recherche. Il s’agit ainsi d’assurer la protection de 2 petabytes de données transitant sur un réseau qui interconnecte des appareils de centaines de fabricants différents. Ces équipements et objets médicaux sont en général mal sécurisés, souligne le CIO, car développés par des fournisseurs de matériel de mesure dont le principal souci consiste à assurer la sûreté des patients. Pierre-François Regamey a aussi pointé du doigt le manque de cadre réglementaire et de directives d’application suffisamment claires qui garantiraient aux hôpitaux de disposer d’équipements toujours à jour en termes de sécurité.
Processus de validation très lourd
De leur côté, les fabricants d’appareils médicaux sont forcés de jouer aux équilibristes entre les contraintes relatives à la sûreté des patients et celles de la protection du matériel contres les cyberattaques. Devant les participants de la conférence Black Alps, Stephan Proennecke, project manager chez Debiotech, a exposé les difficultés rencontrées au cours du développement d’une pompe à insuline connectée. L’objectif du fournisseur consiste à mitiger les cybermenaces tout en respectant des contraintes de sûreté répondant aux normes de l’industrie. Les équipements font sur ce point l’objet d’une certification pour laquelle les processus de validation sont très lourds. Chaque update du software nécessiterait de recommencer le processus à zéro, une démarche «impossible à réaliser tous les six mois», déplore Stephan Proennecke.
Corpus réglementaire disponible
Spécialiste de la conformité dans le domaine médical, Kim Rochat de la société Medidee estime que le corpus réglementaire qui pourrait satisfaire aux exigences cybersécuritaires est disponible bien que peu connu et pas très bien appliqué. Des standards qui existent notamment pour la sécurité des systèmes industriels (par exemple la famille de certifications ISO 27001) sont, selon le spécialiste, tout à fait applicables au domaine médical. Toutefois, pour le responsable de projet de Debiotech, les normes actuelles sont insuffisamment précises: «On sait ce que l’on doit garantir, mais pas comment. Nous souhaiterions disposer de directives claires sur comment sécuriser et tester les systèmes que l’on développe». La conférence a ainsi permis de constater la problématique de la sécurité des appareils médicaux selon le point de vue des différents partis impliqués. Lesquels plaident tous pour une intensification du dialogue entre industriels, milieux médicaux et spécialistes IT.
