Objets connectés de santé et cybersécurité : que dit la loi ? (3/3)

Actuellement, au niveau européen, il n’existe pas de règlementation ayant pour objectif de sécuriser spécifiquement les objets connectés, à l’exception d’un projet de loi en Angleterre[1]. Cependant, cela ne signifie pas que les acteurs du milieu médical n’ont aucune obligation de sécurité concernant leurs projets IoT. Plusieurs règlementations viennent impacter la sécurité de ces projets en fonction du type de données ou du système d’information qui les traite.

Concernant le type de données traitées :

• Le Règlement Général sur la Protection des données (plus connu sous l’acronyme RGPD) impose une obligation de sécurité concernant les données personnelles.
• Les entreprises hébergeant des données de santé doivent répondre à un référentiel de sécurité pour recevoir la certification d’Hébergeur de Données de Santé.

Concernant les systèmes d’information :

• Depuis la Loi de Programmation Militaire de 2014, les établissements de santé et les fabricants de dispositifs médicaux considérés comme indispensables à la survie de la Nation ont été qualifiés d’Opérateurs d’Importance Vitale (OIV). Ces OIV doivent appliquer des mesures de sécurité très strictes pour protéger leur système d’information.
• Cette idée a été reprise et élargie au niveau européen avec la directive Network and Information Security (NIS) qui s’applique aux  Opérateurs de Services Essentiels (OSE). Plusieurs établissements de santé qui n’étaient pas des OIV sont devenus des OSE.

Les objets connectés de santé ne sont impactés qu’indirectement par ces règlementations. Cependant une règlementation européenne bientôt en vigueur pourrait avoir des conséquences majeures sur les dispositifs médicaux connectés : la Medical Device Regulation[2].

La distinction entre objets connectés de bien-être et dispositifs médicaux connectés a des conséquences importantes d’un point de vue règlementaire. Les seconds ne vont pas être réglementés au titre de la sécurité de objets connectés mais au titre de celle des dispositifs médicaux. Ils seront donc soumis à la Medical Device Regulation (ou MDR), publiée en mai 2017 et dont la mise en œuvre est prévue en mai 2021.

Depuis les années 1990, les fabricants de dispositifs médicaux doivent apposer un marquage “CE” pour pouvoir commercialiser leurs produits sur l’ensemble du marché européen. Pour obtenir ce sigle, ils doivent faire l’objet d’un contrôle de la part d’organismes notifiés qui évaluent la qualité et la sûreté du dispositif.

Suite à plusieurs scandales sanitaires[3], la commission européenne a souhaité réviser en profondeur la règlementation liée aux objets médicaux et a donc adopté la MDR en 2017. Cette dernière innove en intégrant des exigences relatives à la sécurité informatique des dispositifs intégrant du logiciel, les dispositifs médicaux connectés par exemple.

Ces exigences cyber concernent aussi bien la pré-commercialisation du dispositif que sa post-commercialisation.

Si un fabricant souhaite commercialiser un nouveau dispositif médical connecté, le volet cyber va principalement concerner la documentation technique. Il devra présenter :

• les caractéristiques techniques du produit (flux réseaux, architecture du logiciel, etc.) ;
• une analyse de risques cyber en prenant en compte l’impact de ces risques et des mesures de remédiation concernant la sûreté du dispositif ;
• l’énumération des exigences minimales de sécurité pour l’environnement d’exploitation du défibrillateur (le système d’information hospitalier) ;
• des rapports d’audits techniques (test d’intrusion, audit de code, test de fuzzing, etc.).

Si le fabricant répond à l’intégralité des exigences du contrôle de conformité pré-commercialisation, il pourra apposer le sigle « CE » sur son dispositif médical. Celui-ci pourra donc être commercialisé dans tous les pays de l’Union Européenne.

Les obligations de la MDR ne s’arrêtent pas là. Le fabricant va devoir surveiller le dispositif dans sa phase de post-commercialisation. Il existe deux exigences essentielles :

• Une obligation de matériovigilance : le fabricant a pour obligation de remonter à l’autorité de contrôle (en France, il s’agit de l’Agence Nationale de Sécurité du Médicament et des produits de santé,) tous les incidents graves concernant les dispositifs médicaux. La remontée d’informations doit se faire dans un dans un délai de 2 à 10 jours selon la gravité de l’incident.
• Le dispositif médical devra disposer d’un identifiant unique (IUD-ID) afin de fournir les rapports de sécurité à une base de données au niveau européen (EUDAMED).

Ces deux nouvelles exigences vont probablement inciter les fabricants à connecter de plus en plus les dispositifs médicaux pour faire remonter le plus rapidement possible les rapports d’incidents. Comme nous l’évoquions plus haut, l’entrée en application de la MDR, dans un premier temps prévue le 26 mai 2020, a finalement été reportée au 26 mai 2021, en raison de la crise sanitaire.

Cette règlementation permettra ainsi une plus grande sécurisation des objets médicaux de santé, faisant baisser les risques d’attaques pour le patient comme le praticien.

Pour (re)découvrir les deux premiers volets de notre série :

La sécurisation des objets connectés de santé

La sécurisation des défibrillateurs cardiaques

[1] Bitdefender.fr, « Le Royaume-Uni va renforcer la sécurité des objets connectés avec de nouvelles lois », www.bitdefender.fr/box/blog/actu-iot/le-royaume-uni-va-pousser-la-securite-des-objets-connectes-par-de-nouvelles-lois/

[2] Règlementation des Dispositifs Médicaux en français

[3] Prothèse mammaire PIP, par exemple