En raison de la crise du Covid-19, les hôpitaux utilisent plus que jamais des appareils de surveillance des patients. Les recherches montrent qu'un appareil sur quatre présente des problèmes de sécurité et, malheureusement, les attaques de cybersécurité ont considérablement augmenté dans le secteur de la santé ces dernières semaines pour profiter de ces vulnérabilités.
Les normes de sécurité et de sûreté dans le secteur de la santé sont censées aider en ces temps difficiles, n'est-ce pas ? Pourquoi n'est-ce pas le cas ? Et y a-t-il une pièce manquante au puzzle ?
Normes garantissant un partage sécurisé des DSE
En ce qui concerne le partage de dossiers médicaux électroniques ou DSE, de nombreuses normes, modèles d’architecture et pratiques sont utilisés pour la cybersécurité.
L’ensemble du DSE a atteint une réelle maturité en Europe, mais il lui reste encore beaucoup de chemin à parcourir, car la normalisation de l’ensemble du secteur est une entreprise complexe. La Commission européenne dispose du Cadre d’interopérabilité européen (EIF) pour définir les principes d’interopérabilité au sein des services publics. Quant au niveau de mise en œuvre, il existe l’Architecture de référence d’interopérabilité européenne ou EIRA. En revanche, le RGPD est clair sur les exigences de protection des données médicales qui ne peuvent pas traverser les frontières internationales par exemple, ce qui signifie que la télémédecine n’est pas autorisée par défaut d’un pays à l’autre.
À l’échelle internationale, un modèle similaire à celui de l’UE est utilisé, appelé Integrating the Healthcare Enterprise (IHE). Il comprend plusieurs domaines, et chacun dispose d’un cadre technique avec des normes spécifiques. L’IHE joue également un rôle majeur dans la spécification des normes de cybersécurité qui sont reconnues par la Commission européenne, l’Organisation mondiale de la santé et l’Interoperability Standard Advisory.
Le rôle de l'IHE est de fournir des profils sur des ensembles de spécifications sélectionnés, afin de garantir la durabilité technologique des projets informatiques du système de santé. Cela signifie que chaque architecture basée sur les profils IHE possède les mêmes modèles de cybersécurité de base.
Le partage des DSE dans le cadre de l'IHE est testé au cours d'événements appelés « connect-a-thons ». Les fournisseurs effectuent des tests d'interopérabilité et de conformité lors de ces événements d'une semaine en collaboration avec d'autres fournisseurs et outils logiciels. Ces événements privés sont déjà utilisés par l'infrastructure de services numériques de santé en ligne (eHDSI). Par exemple, le système d'évaluation de la conformité (CAS) a été conçu sur la base des outils des « connect-a-thons ».
Les données de santé, qui constituent la base du DSE, sont traitées comme une catégorie spéciale. Les établissements de soins de santé, tels que les hôpitaux et les cliniques privées, sont classés comme opérateurs de services essentiels. Il a été suggéré que le partage des DSE utilise un système de niveau eIDAS substantiel. Cependant, il existe également une pression pour un système de garantie eIDAS élevé.
Selon les définitions de ce type de données privées aux États-Unis, les données de santé sous forme de DSE seraient des actifs. Les systèmes logiciels qui partagent des DSE peuvent se conformer à des schémas et créer des niveaux d'évaluation élevés ou substantiels.
Les normes IHE , HL7 et DICOM fournissent les spécifications qui régissent le partage des DSE en mettant l'accent sur la sécurisation du canal de communication par le biais de procédures d'évaluation de la sécurité (par exemple, tests avec des outils automatisés, tests d'intrusion, révision du code source). Mais, à l'heure actuelle, il n'existe pas de procédures standard disponibles concernant le cycle de vie des produits, mais les meilleures pratiques sont suivies. En outre, les schémas et réglementations existants ne traitent pas clairement du cycle de vie d'un produit TIC médical comme l'exige l'article 51 de la loi européenne sur la cybersécurité (CSA).
Les normes manquent-elles de sécurité pour les dispositifs médicaux ?
En Europe, les fabricants doivent se conformer à la directive actuelle relative aux dispositifs médicaux (MDD) ou au nouveau règlement relatif aux dispositifs médicaux (MDR) 2017/745, et les normes suivantes ont été suggérées à titre indicatif et implicite :
- ISO 62304 (développement sécurisé de logiciels pour dispositifs médicaux)
- ISO 14971 (gestion des risques des dispositifs médicaux).
Le règlement CSA de l'UE s'appliquera dans un premier temps via des schémas de certification qui commencent à être mis en œuvre (ex : le schéma Critères Communs de l'UE SOGIS) ou ceux qui se positionnent comme candidats sur des marchés horizontaux (ex : Eurosmart IoT SCS, SESIP, etc.) mais d'ici là, les industriels doivent démontrer aujourd'hui que leurs produits sont à la pointe de la protection contre les cyberattaques.
C'est pourquoi les normes suivantes peuvent être utilisées avec succès pour guider les industriels vers cet état de conformité en mettant en avant les fonctionnalités et les contrôles de sécurité de manière pertinente et avec une approche risque :
- ISA / IEC 62443 EDSA - Assurance de sécurité des dispositifs intégrés
- UL 2900
- Programme de certification IoT Eurosmart
Aux États-Unis, la FDA a défini certaines exigences en matière de cybersécurité. Parallèlement, elle fait pression pour qu'un ensemble de normes consensuelles guide les fabricants dans le respect de ces exigences. Par exemple :
- ISA / IEC 62443 EDSA couvrant la fonctionnalité de sécurité des dispositifs médicaux
- ISO 62304 (développement sécurisé de logiciels pour dispositifs médicaux)
- ISO 14971 (gestion des risques des dispositifs médicaux)
Certains pays acceptent les certifications/normes médicales d’Europe ou des États-Unis, tandis que d’autres, comme la Chine, ont leurs propres réglementations.
Compléter le puzzle
Dans l'ensemble, les pirates informatiques ne cesseront pas d'exploiter le manque de sécurité dans les établissements de santé et les dispositifs médicaux. Il est donc essentiel de se concentrer sur l'amélioration de l'efficacité de la sécurité dans le secteur médical.
Par conséquent, les développeurs et les fabricants de dispositifs médicaux doivent appliquer dès maintenant les normes recommandées disponibles, mettre en place des principes de sécurité dès la conception et mener des processus de certification des produits TIC afin de combler les lacunes du puzzle.