Chris Harvey, le vice-président senior, protection de la marque Sedgwick, explique les conclusions de son rapport sur les rappels de dispositifs médicaux.
À mesure que les dispositifs médicaux sont de plus en plus connectés à Internet et à d’autres réseaux numériques, ils deviennent également plus vulnérables aux cyberattaques. Cela constitue une menace pour la sécurité et la vie privée des patients. Ce risque accru est devenu une préoccupation majeure pour l’industrie de la santé. Plusieurs incidents très médiatisés ont été signalés ces dernières années, affectant une gamme d’appareils, notamment des pompes IV, des appareils d’IRM et des moniteurs de fréquence cardiaque.
Raisons de l’augmentation des menaces de cybersécurité pour les dispositifs médicaux
Plusieurs facteurs conduisent au risque accru de cyberattaques pour les dispositifs médicaux :
- Une plus grande connectivité – La principale raison de l’augmentation des menaces de cybersécurité pour les dispositifs médicaux est leur connectivité croissante. De plus en plus souvent, les dispositifs médicaux sont conçus pour se connecter à Internet et à d’autres réseaux numériques. Cela améliore les soins aux patients en permettant la surveillance à distance, les mises à jour logicielles et d’autres fonctions. Cependant, cette connectivité rend également les appareils plus vulnérables aux cyberattaques. Les pirates peuvent exploiter les vulnérabilités des logiciels ou des connexions réseau pour accéder aux données sensibles des patients ou même prendre le contrôle de l’appareil lui-même. Dans ces cas, un rappel peut être particulièrement difficile en raison de la menace pour la vie des patients et de la nécessité d’une utilisation continue du dispositif médical concerné s’il n’existe pas d’alternative appropriée. Les fabricants seront confrontés à de nouveaux risques à mesure que la technologie continue de progresser.
- Absence de normes de sécurité – Comme c’est le cas dans de nombreux autres secteurs, les organismes de réglementation des dispositifs médicaux travaillent d’arrache-pied pour suivre l’évolution rapide de la technologie. Cependant, il n’existe actuellement aucune norme de sécurité uniforme dans l’industrie. Il est donc difficile pour les fabricants de concevoir des appareils sécurisés par défaut, et il est également difficile pour les prestataires de soins de santé d’évaluer la sécurité des appareils qu’ils utilisent.
- Héritage – De nombreux dispositifs médicaux sont construits sur des systèmes hérités qui n’ont pas été conçus en tenant compte des normes de sécurité modernes, principalement en raison du manque de connectivité en ligne. Ces systèmes peuvent être particulièrement vulnérables aux cyberattaques et sont plus difficiles à mettre à jour pour les cybermenaces modernes (ainsi que plus coûteux à moderniser), ce qui rend difficile pour les fabricants de corriger les vulnérabilités ou de résoudre d’autres problèmes de sécurité.
- Manque d’autorité – Enfin, il y a eu un manque d’autorité réglementaire dans l’industrie des dispositifs médicaux. La Food and Drug Administration (FDA) des États-Unis n’avait pas le pouvoir d’appliquer les directives de cybersécurité. Bien qu’il ait offert des conseils, il appartenait aux fabricants d’appareils de décider s’ils voulaient ou non tenir compte de ces recommandations – et il n’y avait pas de sanctions s’ils ne le faisaient pas.
Pour aider à réduire cette menace croissante, la loi de 2023 sur les crédits consolidés (HR 2617) qui a été signée en décembre 2022 comprenait des dispositions visant à améliorer la cybersécurité des dispositifs médicaux. Le projet de loi de crédits omnibus a également donné à la FDA le pouvoir d’établir et d’appliquer pour la première fois des normes de cybersécurité pour les dispositifs médicaux.
Comment la loi sur les crédits consolidés aidera
En plus de donner à la FDA plus de pouvoir réglementaire, la Consolidated Appropriations Act (la Loi) comprend plusieurs dispositions visant à améliorer la cybersécurité des dispositifs médicaux :
- Renforcement des exigences de sécurité pour les dispositifs médicaux – Les fabricants seront tenus de mettre en place des contrôles de sécurité pour empêcher l’accès non autorisé aux dispositifs, protéger la confidentialité et l’intégrité des données des patients et garantir la disponibilité des dispositifs en cas de cyberattaque. Ils seront également tenus de soumettre un plan de cybersécurité à la FDA pour examen dans le cadre du processus d’approbation préalable à la commercialisation.
- Définition des responsabilités post-commercialisation – Les plans des fabricants doivent également détailler leur processus et leur procédure pour s’assurer que les mises à jour des logiciels et des micrologiciels post-commercialisation, ainsi que les correctifs de leurs appareils et systèmes associés, sont mis à la disposition des consommateurs et des autres parties prenantes selon les besoins.
- Améliorer la transparence et la responsabilité – En vertu des nouvelles règles, les fabricants doivent signaler les incidents de cybersécurité à la FDA et aux patients concernés dans un délai précis. Ils seront également tenus de fournir des mises à jour sur l’état des efforts de remédiation et sur toutes les mesures prises pour empêcher que des incidents similaires ne se reproduisent à l’avenir. Les rappels devenant de plus en plus des événements publics car les agences n’ont pas peur d’appeler les entreprises par leurs canaux, ces règles répondront à la nécessité de tenir les patients informés. Cela rend également d’autant plus important pour les fabricants de suivre les conseils des experts pour établir des plans de rappel qui incluent la façon dont un fabricant réagira à une crise liée à un produit et comment il communiquera avec les clients. Pour se préparer, les fabricants doivent également prioriser les exercices de rappel simulés dans le cadre de leurs protocoles de gestion des risques.
- Promouvoir la collaboration et le partage d’informations – La législation comprend des dispositions visant à promouvoir la collaboration et le partage d’informations entre les fabricants, les prestataires de soins de santé et la FDA. La FDA sera tenue d’établir un partenariat public-privé pour promouvoir la cybersécurité dans l’industrie des dispositifs médicaux.
- Création d’un centre d’excellence en cybersécurité – L’une des principales dispositions de la législation établit un centre d’excellence en cybersécurité au sein de la FDA. Ce centre coordonnera les efforts pour améliorer la cybersécurité des dispositifs médicaux. Les responsabilités du Centre comprendront l’élaboration et la mise en œuvre de normes et de pratiques exemplaires en matière de cybersécurité, l’évaluation de la sécurité des appareils et la prestation de conseils aux fabricants et aux fournisseurs de soins de santé. Bien que les fabricants puissent faire face à une surveillance accrue en conséquence, le bureau dédié fournira des éclaircissements sur la manière dont les régulateurs américains traiteront les problèmes de cybersécurité dans l’industrie des dispositifs médicaux.
L’impact sur les rappels de dispositifs médicaux
Les rappels de dispositifs médicaux sont également touchés par la nouvelle loi sur les crédits consolidés. La loi oblige les fabricants de dispositifs médicaux à inclure des informations sur la cybersécurité dans leurs rapports de rappel à la FDA. Ces informations aideront la FDA et les prestataires de soins de santé à mieux comprendre les risques de cybersécurité associés aux dispositifs médicaux rappelés.
En outre, la FDA doit fournir des conseils aux fabricants de dispositifs médicaux sur la manière de mener des examens post-commercialisation axés sur la cybersécurité des dispositifs médicaux. Ces conseils aideront les fabricants à identifier et à résoudre les vulnérabilités de cybersécurité dans les appareils qui sont déjà sur le marché. En corrigeant ces vulnérabilités, les fabricants peuvent réduire le risque de futurs rappels en raison de problèmes de cybersécurité.
La FDA est également tenue d’établir un programme pilote pour évaluer l’efficacité des rapports sur la vulnérabilité de la cybersécurité des dispositifs médicaux. Ce programme fournira à la FDA des données précieuses sur les risques de cybersécurité et aidera l’agence à identifier les domaines où des mesures supplémentaires peuvent être nécessaires.
Dans l’ensemble, les dispositions incluses dans la nouvelle loi auront un impact significatif sur la sécurité des dispositifs médicaux et les rappels de produits, ainsi que sur la sécurité des patients. En obligeant les fabricants à inclure des informations sur la cybersécurité dans les rapports de rappel, en fournissant des conseils sur les examens post-commercialisation et en établissant un programme pilote pour évaluer l’efficacité des rapports de vulnérabilité, la législation contribuera à réduire le risque de rappels dus à des problèmes de cybersécurité.
Cela profitera non seulement aux patients, mais contribuera également à réduire le risque financier et de réputation pour les fabricants qui résulte souvent des rappels de produits.