[2025-11-24] (Accès libre) La Therapeutic Goods Administration (TGA) australienne a publié, le 24 Novembre 2025, une alerte de sécurité en anglais sur son site internet, intitulée « Windows 10 end of support: Potential impact on medical devices » (« Fin du support pour Windows 10 : impact potentiel sur les dispositifs médicaux »).
Le support de Microsoft pour Windows 10 s’est arrêté le 14 octobre 2025. Les dispositifs médicaux qui ne se sont pas « montés en version » sous Windows 11 ont potentiellement des risques de vulnérabilité et d’incident de cybersécurité. L’information de Microsoft est disponible sur le lien suivant.
Les recommandations de la TGA pour les acteurs sont les suivantes :
Pour les clients
Si vous utilisez un dispositif et n’êtes pas sûr si son système d’exploitation est Windows 10, contactez le « sponsor* », le fournisseur ou le « distributeur » pour les possibilités d’assistance.
Pour les fabricants et les « sponsors* »
Les utilisateurs de Windows 10 ne peuvent continuer à bénéficier du support de Microsoft que s’ils s’inscrivent au programme de « Mises à jour de sécurité étendues de Windows 10 » (« Extended Security Updates »). Ce programme de transition permet de recevoir les mises à jour de sécurité jusqu’au 10 octobre 2028 (à condition de disposer d’une version Professionnelle ou Entreprise).
Il est recommandé aux fabricants et sponsors qui font appel à ce programme de profiter de ce délai pour mettre en place une transition vers Windows 11 (si le matériel concerné le permet).
Les fabricants et les sponsors ont l’obligation de notifier les utilisateurs au cas où leur matériel ne permet pas la mise à jour vers Windows 11, et de leur fournir une solution alternative.
Toute mise à jour du système d’exploitation doit maintenir la conformité aux Principes Essentiels, afin de protéger le patient et d’assurer la fonctionnalité du dispositif.
Informations clés pour les « Sponsors* » et les fabricants
La TGA fournit des liens vers les guides suivants :
1/ Complying with medical device cyber security requirements (pour se conformer avec les exigences sur la cybersécurité des dispositifs médicaux) ;
2/ Understanding your post-market responsibilities for medical devices (pour comprendre les exigences en matière de surveillance après commercialisation) ;
3/ Procedure for recalls, product alerts and product corrections (PRAC) (pour mettre en place des procédures pour les rappels, alertes de sécurité et d’action corrective des produits).
En raison des risques encourus, il peut être nécessaire de prendre des mesures commerciales (alerte en cas de poursuite d’utilisation de Windows 10, information des utilisateurs s’il y a modification du dispositif ou mise à jour vers Windows 11).
Déclaration des problèmes
Enfin la TGA encourage les utilisateurs et les professionnels de santé à informer des problèmes relatifs aux dispositifs, via le système de déclaration d’incident et d’investigation de la TGA : TGA Incident Report and Investigation Scheme (IRIS).
* Rappel du rôle de « Sponsors » selon la réglementation australienne
Nous vous rappelons que, selon la réglementation australienne, « l’importateur » d’un dispositif médical en Australie endosse également les obligations réglementaires d’un « Mandataire » (« Authorised Representative » dans l’Union européenne). Il est ainsi dénommé « Sponsor ». Celui-ci est responsable de l’enregistrement des dispositifs médicaux auprès de la TGA australienne, ainsi que de toutes les obligations de déclarations qui incombent à un mandataire.
Concernant les obligations qui s’appliquent à l’importation des dispositifs médicaux en Australie, vous pouvez aussi consulter notre article d‘avril 2025 « TGA : demandes d’autorisation d’importer, de fournir ou d’exporter des DM qui ne respectent pas les principes essentiels. »
Contexte de la cybersécurité
Cette alerte s’inscrit dans le contexte global de l’expansion des dispositifs médicaux numériques, tels que les dispositifs électro-médicaux connectés, ceux qui disposent d’un logiciel dispositif médical pour leur fonctionnement, ainsi que les logiciels dispositifs médicaux en soi, appelés également « logiciels autonomes ».
Concernant les exigences cybersécurité de la TGA australienne, nous vous rappelons l’article que nous avons publié en novembre 2025 : « TGA : mise à jour du guide sur la cybersécurité des DM ».
Article rédigé par Julien PASQUIER, membre du réseau DMEXPERTS