[2017-07-05] Les « Underwriters Laboratories (UL) » ont publié le 5 juillet 2017 la première norme d’une série consacrée à la cybersécurité des dispositifs médicaux. Cette série de normes UL 2900 sont regroupées sous le titre « Standard for Software Cybersecurity for Network-Connectable Devices » (Norme pour la cybersécurité logicielle des dispositifs connectables à un réseau).
La terminologie « connectables à un réseau » couvre toutes les connexions telles que WiFi ou Bluetooth, y compris bien entendu les connexion par câble réseau.
La norme publiée en juillet porte la référence UL 2900-1 (ou UL 2900 partie 1) et son titre est : « Standard for Software Cybersecurity for Network-Connectable Products, Part 1: General Requirements » (Norme pour la cybersécurité logicielle des dispositifs connectables à un réseau, partie 1 : exigences générales).
Les autres normes à paraître sont les suivantes :
– UL 2900 Part 2-1 : Particular Requirements for Healthcare Systems (Exigences particulières pour les systèmes de santé)
– UL 2900 Part 2-2 : Particular Requirements for Industrial Control Systems (Exigences particulières pour les systèmes de contrôle industriels)
– UL 2900 Part 3 : General Requirements for the Organization and Product Development Security Lifecycle Processes for Network-Connectable Devices (Exigences générales pour l’organisation et les processus de sécurité du cycle de vie du développement produit pour les dispositifs connectables à un réseau).
La FDA (Food and Drug Administration américaine) serait sur le point d’adopter ces normes pour permettre aux fabricants de dispositifs médicaux de démontrer la conformité aux exigences de cybersécurité.
Underwriters Laboratories est une société privée américaine qui a été créée il y a plus de 120 ans. C’est à la fois un laboratoire de tests, un organisme de certification et un organisme de normalisation, axé sur la sécurité des produits.