Vue d’ensemble

Se retrouver dans le domaine de la cybersécurité dans le secteur de la santé

Guide de consultation :

Le secteur de la santé dépend de plus en plus des appareils connectés et des systèmes numériques, ce qui donne lieu à de nouvelles vulnérabilités en matière de cybersécurité. La protection des données sensibles des patients, la sécurisation des dispositifs médicaux et le maintien de l’intégrité des réseaux de soins de santé sont essentiels pour assurer la santé publique et maintenir la confiance du public. Avec l’augmentation de la complexité des technologies dans le secteur de la santé, il est devenu essentiel de connaître les cybermenaces qui sont en constante évolution dans ce secteur.

Principaux défis en matière de cybersécurité visant les dispositifs médicaux
Les systèmes de santé font face à un ensemble unique de difficultés en matière de cybersécurité. Elles vont de la protection des renseignements personnels des patients à la protection des dispositifs médicaux qui sont vulnérables aux attaques. Voici quelques-uns des défis les plus urgents :

  • L’accès aux données des patients par l’entremise des dispositifs médicaux connectés.
  • Les vulnérabilités des réseaux hospitaliers et de l’infrastructure informatique liée aux soins de santé.
  • La conformité aux règlements complexes et évolutifs dans le secteur de la santé.
  • La sophistication croissante des cyberattaques qui ciblent les systèmes de santé critiques.

Normes et réglementation pertinentes sur la cybersécurité

Pour atténuer les risques, il est essentiel de confirmer que les systèmes industriels sont conformes aux normes et aux règlements qui leur sont propres et à ceux qui sont de nature générale en matière de cybersécurité. Ces normes énoncent des exigences techniques sur la sécurisation des réseaux, des appareils et des données dans les milieux industriels complexes, ce qui facilite le respect des règlements et l’adoption de pratiques de cybersécurité rigoureuses.

Règlements sur la cybersécurité

Règlement Description
Règlement délégué (UE) 2022/30 Ce règlement énonce les exigences en matière de cybersécurité visant certaines catégories d’équipements radio, tout en accroissant le domaine d’application de la directive d’origine sur les équipements radioélectriques 2014/53/UE. Il porte surtout sur la protection des réseaux et la prévention des accès non autorisés, en particulier en ce qui a trait aux appareils offrant une connectivité Internet, en confirmant qu’ils répondent aux normes de sécurité pertinentes avant d’entrer sur le marché de l’Union européenne (UE).
Loi sur la cyberrésilience de l’UE (CRA) La loi sur la cyberrésilience (CRA) vise à améliorer la cybersécurité des appareils connectés et des produits numériques au sein de l’UE en imposant le respect d’exigences en matière de sécurité tout au long de leur cycle de vie. Les fabricants, les développeurs et les entreprises sont responsables de respecter ces exigences afin d’améliorer la sécurité des produits et de protéger les consommateurs contre les cybermenaces.
Directive NIS2 de l’UE La Directive NIS2 renforce les exigences en matière de cybersécurité que les fournisseurs de services essentiels et numériques au sein de l’UE sont tenus de respecter, ce qui élargit le domaine d’application de la directive NIS précédente. Elle impose aux secteurs essentiels, comme les soins de santé, l’énergie et les transports des obligations plus rigoureuses en matière de gestion des risques et de signalement des incidents, afin de se prémunir contre les cyberattaques.
Loi sur la cybersécurité de l’UE La Loi sur la cybersécurité de l’UE établit un cadre visant la certification des produits, des services et des processus en matière de cybersécurité dans l’ensemble de l’UE. Elle renforce le mandat de l’ENISA (l’Agence de l’Union européenne pour la cybersécurité) et présente un système de certification pour l’ensemble de l’Europe visant à promouvoir l’adoption de normes élevées en matière de cybersécurité pour les appareils et systèmes connectés.
Règlement sur la résilience opérationnelle numérique (DORA) de l’UE DORA vise surtout le secteur financier, en établissant des normes de cybersécurité permettant de vérifier que les institutions financières sont en mesure de résister à toute perturbation opérationnelle et de s’en remettre, le cas échéant. Le règlement oblige les entreprises à adopter des stratégies de gestion des risques et des protocoles d’essais rigoureux afin qu’elles se prémunissent contre les cybermenaces et qu’elles améliorent leur résilience opérationnelle.
Directive sur les équipements radioélectriques 2014/53/UE – Exigences en matière de cybersécurité Les exigences de la Directive sur les équipements radioélectriques (RED) en matière de cybersécurité traitent de la sécurité des équipements radioélectriques et sans fil vendus au sein de l’UE. Ces exigences permettent de valider que les appareils offrant une connectivité Internet ou qui transmettent des données personnelles disposent de mesures de cybersécurité intégrées adéquates, comme une méthode de cryptage avancée et des protocoles de communication sécurisés, afin de prévenir tout accès non autorisé.
Règlement général sur la protection des données (RGPD) de l’UE Le RGPD est la réglementation de l’UE sur la protection des données, qui établit des règles strictes sur la manière dont les organisations collectent, stockent et utilisent les données personnelles. Il accorde aux citoyens de l’UE certains droits sur leurs données personnelles, comme le droit d’y accéder, de les corriger ou de les supprimer, et impose de lourdes amendes en cas de non-conformité en vue de faire respecter des mesures rigoureuses en matière de protection de la vie privée dans l’ensemble de l’UE.
UK Product Security and Telecommunications Infrastructure (PSTI) Act La loi sur la PSTI énonce des exigences en matière de cybersécurité pour les appareils grand public connectés au Royaume-Uni. Elle impose des normes de sécurité de base, comme l’interdiction d’utiliser les mots de passe par défaut, la diffusion de renseignements sur les mises à jour liées à la sécurité et la confirmation des mécanismes de signalement des vulnérabilités, afin d’améliorer la sécurité des produits connectés vendus au Royaume-Uni.
California Privacy Rights Act (CPRA) La CPRA (loi de la Californie sur le droit à la vie privée), qui est une extension de la California Consumer Privacy Act (loi californienne sur la vie privée des consommateurs), renforce la protection de la confidentialité des données des Californiens en instaurant de nouveaux droits, comme le droit de limiter l’utilisation des données personnelles sensibles, et a donné lieu à la mise sur pied de la California Privacy Protection Agency. Elle impose également aux entreprises de nouvelles obligations concernant la collecte et le stockage des données et la transparence quant à leur utilisation.
SB-1121 California Consumer Privacy Act (CCPA) La loi SB-1121, qui est un amendement de la loi originale de la Californie sur le droit à la vie privée (CCPA), apporte des éclaircissements sur certaines dispositions de la loi et modifie le calendrier de sa mise en application. La CCPA accorde aux résidents californiens plus de droits en ce qui a trait à leurs données personnelles, comme le droit de savoir si leurs renseignements sont vendus, de refuser qu’ils le soient, et de les supprimer, et s’applique aux entreprises qui atteignent certains seuils particuliers relatifs au traitement des données.
SB-327 California IoT Cybersecurity Law La loi SB-327 de Californie sur la cybersécurité relative à l’Internet des objets (IdO) est une loi novatrice qui impose l’adoption de mesures de cybersécurité pour tous les appareils IdO vendus dans cet État. Elle oblige les fabricants à doter leurs appareils de fonctionnalités de sécurité acceptables, comme le recours à des mots de passe uniques et des protocoles d’authentification sécurisés, pour qu’ils soient protégés contre les accès non autorisés et les atteintes à la sécurité des données.

Normes sur la cybersécurité générale

Norme Description
UL 2900-1 Il s’agit d’une norme sur la cybersécurité qui vise principalement la sécurisation des produits et des systèmes connectés à un réseau. Elle offre des lignes directrices sur la façon de relever les vulnérabilités, d’effectuer des essais d’intrusion et d’analyser le code source en vue de gérer les risques relatifs à la cybersécurité. La norme aide les fabricants à mettre en œuvre, pour leurs produits, des mesures de sécurité et à répondre aux attentes réglementaires nécessaires. La norme UL 2900-1 est couramment mise en application dans divers secteurs pour vérifier la sécurité des appareils connectés.
Série de normes IEC 62443 Il s’agit d’un ensemble de normes internationales visant à protéger les systèmes d’automatisation et de contrôle industriels (IACS) contre les menaces relatives à la cybersécurité. Elle offre une approche structurée pour la gestion des risques dans les milieux industriels, en traitant de domaines comme la conception des systèmes, les niveaux de sécurité et le contrôle d’accès. En adoptant cette série de normes, les organisations sont en mesure d’améliorer la résilience de leurs systèmes industriels en cas de cybermenaces, tout en appuyant la protection de leurs infrastructures et de leurs opérations essentielles. Ces normes sont polyvalentes et divers secteurs ont la possibilité d’en tirer parti, notamment les secteurs de l’énergie, des transports et de la santé, et le secteur manufacturier, en vue d’améliorer la sécurité de leurs systèmes industriels.

Normes et règlements sur la cybersécurité visant les dispositifs médicaux

Norme Description
IEC 81001-5-1 IEC 81001-5-1 est une norme internationale qui traite de la cybersécurité visant les produits du secteur de la santé, et particulièrement des dispositifs médicaux et des logiciels liés aux soins de santé. Elle énonce les exigences visant à garantir la confidentialité, l’intégrité et la disponibilité des données médicales, ainsi que des mesures visant à protéger les renseignements personnels des patients contre tout accès ou toute altération non autorisés. Cette norme offre des lignes directrices à l’intention des fabricants et des utilisateurs sur la manière de mettre en œuvre des contrôles de sécurité tout au long du cycle de vie des dispositifs, contribuant ainsi à atténuer les risques liés à la cybersécurité tout en assurant le maintien de la sûreté et des performances des dispositifs médicaux.
UL 2900-2-1 Cette norme, qui fait partie de la série de normes UL 2900, met l’accent sur la sécurité des patients, le respect de la norme ISO 14971, les essais d’intrusion structurée visant les systèmes de soins de santé, la gestion sécurisée du cycle de vie et l’amélioration de la documentation. Elle traite de l’ajout de couches de protection qui sont adaptées aux milieux de soins de santé en tenant compte de leur nature sensible et de la réglementation à laquelle ils sont soumis, ce qui permet de garantir que les atteintes à la sécurité ne compromettent pas les fonctions médicales essentielles.
Série de normes IEC 62443 Cette série de normes traite de la cybersécurité visant les systèmes d’automatisation et de contrôle industriels, notamment les dispositifs médicaux utilisés dans les établissements de santé. Elle énonce des exigences en matière de sécurité pour l’ensemble du cycle de vie des dispositifs médicaux, depuis la conception et le développement jusqu’au déploiement et à la maintenance. En adoptant la norme IEC 62443, les fabricants de dispositifs médicaux sont en mesure de mieux sécuriser les systèmes connectés contre les cyberattaques, assurant ainsi la sécurité des patients et la fiabilité des infrastructures de santé.
Règlement 745/2017 relatif aux dispositifs médicaux (RDM) Le Règlement 745/2017 relatif aux dispositifs médicaux (RDM) énonce les exigences en matière de sécurité, de performances et de gestion des risques visant les dispositifs médicaux au sein de l’UE. Il souligne l’importance d’intégrer des mesures de cybersécurité tout au long du cycle de vie des dispositifs médicaux pour se protéger contre les cybermenaces qui pourraient compromettre la sécurité des patients et la fonctionnalité des dispositifs. En respectant le RDM, les fabricants démontrent qu’ils satisfont aux normes de sécurité nécessaires pour commercialiser leurs dispositifs au sein de l’UE.
Règlement 746/2017 relatif aux dispositifs médicaux de diagnostic in vitro (RDMDIV) Le Règlement 746/2017 relatif aux dispositifs médicaux de diagnostic in vitro (RDMDIV) régit la sécurité et les performances des dispositifs de diagnostic in vitro (DIV) au sein de l’UE. Tout comme le RDM, le RDMDIV souligne la nécessité de gérer les risques liés à la cybersécurité pour protéger les données de diagnostic et l’intégrité des systèmes. En respectant le RDMDIV, les fabricants de dispositifs de DIV sont en mesure de démontrer que leurs produits répondent aux exigences réglementaires en matière de sécurité et de cybersécurité, ce qui leur permet d’accéder au marché de l’UE, tout en contribuant à protéger les patients et les systèmes de santé.

Autres exigences applicables aux dispositifs médicaux

Loi FD&C Description
FD&C Act Section 524B – Ensuring Cybersecurity of Medical Devices L’article 524B de la loi FD&C est une disposition statutaire de la loi fédérale sur les aliments, les médicaments et les cosmétiques (FD&C Act). Il a été ajouté dans le cadre de la loi de 2023 intitulée Consolidated Appropriations Act afin de traiter de la cybersécurité des dispositifs médicaux. L’article 524B de la loi FD&C exige des fabricants de dispositifs médicaux qu’ils intègrent des mesures de cybersécurité tout au long du cycle de vie du dispositif afin qu’il puisse résister aux menaces qui évoluent constamment. Ce règlement permet de s’assurer que les fabricants évaluent, atténuent et gèrent les risques liés aux accès non autorisés et aux perturbations possibles de la fonctionnalité des dispositifs. En exigeant la présentation de documents sur la cybersécurité, il contribue à garantir la sécurité des patients et l’intégrité des données.
Principaux thèmes relatifs à la cybersécurité visant les dispositifs médicaux

Ressources en matière de cybersécurité dans le secteur de la santé. Exclusion de responsabilité : Veuillez noter que les ressources suivantes ne sont disponibles qu’en anglais à l’heure actuelle

Services

Nous personnalisons ces services pour vous guider dans le processus de certification et d’essais, afin que vous puissiez vendre vos produits sur tous les marchés du monde.

Outre les audits et les inspections, le Groupe CSA offre une gamme exhaustive de solutions pour combler vos besoins en certification, inspection et évaluation de vos produits

Icône en vedette. Essais

Essais

Transformez vos innovations en produits conformes aux exigences essentielles avec nos services experts en essais.

Icône en vedette. Certification

Certification

Commercialisez de nouveaux produits et moussez la confiance des clients en Amérique du Nord et ailleurs avec nos services de certification mondiaux.

Icône en vedette. Marques et étiquettes

Marques et étiquettes

Procurez-vous les marques dont vous avez besoin pour accéder en toute confiance à vos marchés cibles en Amérique du Nord.

Icône en vedette. Services à valeur ajoutée

Services à valeur ajoutée

Gagnez du temps et soyez plus efficace en accédant à notre portail clients, à nos listes de produits certifiés et bien plus.