[2016-12-28] La FDA (Food and Drug Administration américaine) a publié le 28 décembre 2016 un guide de 30 pages sur la gestion post-commercialisation de la cybersécurité des dispositifs médicaux. En effet, la cybersécurité doit être prise en compte non seulement dans la phase de conception, mais inclure également une démarche pro-active (plutôt que réactive) dans la phase post-commercialisation. Ce document propose une approche claire et très structurée pour mettre en place une telle démarche.
Ce guide concerne les DM qui incorporent un logiciel (y compris un « firmware » ou une logique programmable), mais aussi les logiciels qui sont eux-mêmes des DM (ce qui inclut les applications mobiles). Il s’applique également aux dispositifs qui font partie d’un « système interopérable », et aux DM existants, c’est-à-dire les DM qui sont déjà sur le marché ou en utilisation.
Ce guide s’appuie sur plusieurs autres guides publiés antérieurement, tels que :
– La cybersécurité des DM connectés qui incorporent des logiciels du commerce (FDA, 7 pages, 14 janvier 2005)
– Cadre pour l’amélioration de la cybersécurité des infrastructures critiques (NIST, 41 pages, 12 février 2014)
– Guide pour la gestion efficace de la cybersécurité dans les DM (FDA, 9 pages, 2 octobre 2014), pour lequel nous avions rédigé un article dans un numéro antérieur du « Flash de DM Experts ».
Le « NIST » est le National Institute of Standards and Technology américain. Le guide qu’il a publié organise les activités de cybersécurité en 5 phases (auxquelles il est souvent fait référence) :
– identifier (identify)
– protéger (protect)
– détecter (detect)
– répondre (respond)
– restaurer (recover)