approche de la cybersécurité appliquée aux dispositifs médicaux
TRANSCRIPT
Réf: MKT-PDM-1605-06 vA
Approche de la Cybersécurité appliquée aux Dispositifs Médicaux
Rédacteur : Charles BOURRIEZDate : le 20 Mai 2016
COMMUNICATION
Réf: MKT-PDM-1605-06 vA
Retour sommaire 2
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
Les points abordés
1- Introduction : définition de la Cybersécurité
2- Quelques exemples de vulnérabilité en santé
3- Cybersécurité et réglementations pour les Dispositifs Médicaux
4- De quoi va dépendre la Cybersécurité ?
5- Quels sont les types de contrôles à mettre en place
6- Quelle documentation faut-il fournir ?
7- Management de la Cybersécurité selon le NIST
8- Les étapes définies par le NIST
9- Que dois-je faire si je trouve une vulnérabilité ?
10- Conclusion : approche globale de la Cybersécurité
Réf: MKT-PDM-1605-06 vA
Retour sommaire 3
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
Définition : « Processus empêchant l’accès, la modification, la mauvaise utilisation ou l’utilisation non autorisée des informations stockées, accessibles, ou transférées d’un dispositif médical à un destinataire externe ».*
La cybersécurité dans l’industrie des dispositifs médicaux ?
1- Qu’est-ce-que la cybersécurité ?
• Permet de maintenir la performance et la sécurité des dispositifs médicaux (DM) dues à l’augmentation de l’utilisation d’internet, des réseaux sans fil et des clouds au sein de ces DM (ex : software).
• Exemples de DM vulnérables : pacemakers, pompe à morphine, neuro-stimulateurs…
*source : FDA - Content of premarket submissions for management of cybersecurity in medical devices
Réf: MKT-PDM-1605-06 vA
Retour sommaire 4
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
1001101110 0101110110101100101001101110 101101011101101100101001101110 101101011101101100101001101110 1011010111011010110101110110100100101001101110 101101011101101100101001101110 101101011101100100101001101110 011010110011010110101110110110000101001101110 101101011101101100101001101110 101101011101100100101001101110 10110101110110 10101110110101100101001101110 101101011101100100101001101110 101101011101100100101001101110 1101011101101000100000010111 01001001000111 001001001001 1100101001101110
10110101110110110110010100110111010110101110110110010100110111010110101110110110010100110111010110101110110110110101110110111110110010100110111010110101110110110010100110111010110101110110111100101001101110 1011010111011011101011010111011011001010011011101011010111011011001010011011101011010111011011111001010011011101011010111011000110110101110110101110010100110111011101101011101101100101001101110110101101011101101011001010011011101101101011101101100001010111011000010100000111100000100010010100
MalwareRansomware* infectant le DM
Cryptage des donnéesVerrouillage du DM
Demande de rançon €€€Ex: Hollywood Presbyterian Medical Center
(Article – Le Parisien)
Contrôle à distance du DMEx: Hospira Symbiq Infusion System : pompe à morphine
Retirée du marché par le fabricant (2015)Ex: Piratage d’un pacemaker
(Article – FranceInfo)
DonnéesAccès aux données sensibles
Divulgation publiqueEx: Laboratoire d’analyses LABIO
(Article – Le Monde)
*Ransomware (ou rançongiciel) : Technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. (source ANSSI)
2- Quelques exemples de vulnérabilités en santé
Réf: MKT-PDM-1605-06 vA
Retour sommaire 5
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
En Europe, la directive SRI « Sécurité des Réseaux et de l’Information » proposée en 2013 par la Commission européenne et approuvée le 18 Décembre 2015 devrait être adoptée au mois de Juillet 2016.
Objectifs Sécuriser les systèmes de réseaux et d’information des entreprises de l’Union Européenne pour :
- Lutter contre la cybercriminalité - Sensibiliser les entreprises sur le risque d’intrusion, de piratage de leur système
informatique- Maitriser la sécurité de leur système
Acteurs concernésOpérateurs publics et privés des différents secteurs tels que :
- Energie, transport, bancaire et notamment santé
Obligations en matière de sécurité Déclaration des incidents auprès des autorités compétentes (ANSSI pour la France : Agence Nationale de la Sécurité des Systèmes d’Information)
3- Cybersécurité et réglementations pour les DM
Réf: MKT-PDM-1605-06 vA
Retour sommaire 6
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
La Food and Drug Administration (FDA) a mis à la disposition des fabricants de DM deux guidances.
En Octobre 2014 : un guide décrivant les principes essentiels de la cybersécurité avant la mise sur le marché de DM.
Le 15 Janvier 2016 : un projet de guide « Gestion post-commercialisation de la cybersécurité dans les dispositifs médicaux », passant en revue les points à aborder afin d’établir une cybersécurité.
La suite de cette présentation repose sur ces deux guidances*.
A l’heure actuelle, l’Union Européenne n’a pas publiée de guidances intégrant la notion de cybersécurité pour les dispositifs médicaux.Les Etats-Unis ont été les premiers a proposer des guidances sur le management de la cybersécurité dans ce secteur.
*Les traductions réalisées dans cette présentation ont été faites par Nexialist.
3- Cybersécurité et réglementations pour les DM
Réf: MKT-PDM-1605-06 vA
Retour sommaire 7
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
I. Premarket Submissions for management of Cybersecurity in Medical Devices
II. Postmarket management of Cybersecurity in Medical Devices
Réf: MKT-PDM-1605-06 vA
Retour sommaire 8
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
La FDA recommande aux fabricants d’avoir une approche de la cybersécurité dès la conception et le développement du DM.
1001101110 0101110110101100101001101110 101101011101101100101001101110 101101011101101100101001101110 1011010111011010110101110110100100101001101110 101101011101101100101001101110 101101011101100100101001101110 011010110011010110101110110110000101001101110 101101011101101100101001101110 101101011101100100101001101110 10110101110110 10101110110101100101001101110 101101011101100100101001101110 101101011101100100101001101110 1101011101101000100000010111 01001001000111 001001001001 1100101001101110
10110101110110110110010100110111010110101110110110010100110111010110101110110110010100110111010110101110110110110101110110111110110010100110111010110101110110110010100110111010110101110110111100101001101110 1011010111011011101011010111011011001010011011101011010111011011001010011011101011010111011011111001010011011101011010111011000110110101110110101110010100110111011111101101011101100010100110111011001101011101101011001010011011101101101011101101100001010111011000010100000111100000100010010100
Utilisation prévue
Type devulnérabilité
Risque probablede préjudice pour
le patient
Probabilitéd’exploitation
de la vulnérabilité
Environnement d’utilisation
4- De quoi va dépendre la cybersécurité ?
Réf: MKT-PDM-1605-06 vA
Retour sommaire 9
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
Exemples de contrôles :
Limiter l’accès par l’authentification des utilisateurs
Fermeture automatique des sessions utilisateurs
Renforcer la sécurité des mots de passe
Le cas échéant, fournir des verrous physiques sur le DM
Assurer le transfert de données sécurisées depuis/vers le DM
Mettre en œuvre un système protégeant la fonctionnalité critique du DM, même lorsque la cybersécurité de l’appareil a été compromise
1001101110 0101110110101100101001101110 101101011101101100101001101110 101101011101101100101001101110 1011010111011010110101110110100100101001101110 101101011101101100101001101110 101101011101100100101001101110 011010110011010110101110110110000101001101110 101101011101101100101001101110 101101011101100100101001101110 10110101110110 10101110110101100101001101110 101101011101100100101001101110 101101011101100100101001101110 1101011101101000100000010111 01001001000111 001001001001 1100101001101110
10110101110110110110010100110111010110101110110110010100110111010110101110110110010100110111010110101110110110110101110110111110110010100110111010110101110110110010100110111010110101110110111100101001101110 1011010111011011101011010111011011001010011011101011010111011011001010011011101011010111011011111001010011011101011010111011000110110101110110101110010100110111011101101011101101100101001101110110101101011101101011001010011011101101101011101101100001010111011000010100000111100000100010010100
5- Quels sont les types de contrôles à mettre en place ?
Réf: MKT-PDM-1605-06 vA
Retour sommaire 10
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
6- Quelle documentation faut-il fournir ?
• Une gestion des risques relative aux menaces de cybersécurité intentionnelles et non intentionnelles.
• Une matrice de traçabilité reliant les contrôles de cybersécurité mis en œuvre vis-à-vis des risques identifiés.
• Un résumé décrivant les plans, les contrôles et les instructions mis en place pour assurer la cybersécurité de l’appareil tout au long de son cycle de vie.
Réf: MKT-PDM-1605-06 vA
Retour sommaire 11
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
I. Premarket Submissions for management of Cybersecurity in Medical Devices
II. Postmarket management of Cybersecurity in Medical Devices
Réf: MKT-PDM-1605-06 vA
Retour sommaire 12
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
NIST Framework for Improving Critical Infrastructure Cybersecurity : Identify, Protect,Detect,
Respond, and Recover.
A travers ce guide, la FDA propose aux fabricants différentes étapes à suivre afin de contrôler et améliorer la cybersécurité des DM présents sur le marché.La FDA se base sur un cadre de travail du National Institute of Standards and Technologies (NIST) comportant 5 grandes étapes.
7- Management de la cybersécurité selon le NIST
Réf: MKT-PDM-1605-06 vA
Retour sommaire 13
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
Définir la Performance Clinique Essentielle* : « performance qu’il est nécessaire d’atteindre afin d’éliminer tout risque clinique inacceptable » Cette définition permet : -d’évaluer l’impact d’une (des) vulnérabilité(s) sur la performance du DM.-d’assurer que le risque de vulnérabilité de la cybersécurité est contrôlé.
Surveillance des sources d’information-Identifier et détecter tous signaux qui pourraient affecter la performance du produit.
1
2
*Means performance that is necessary to achieve freedom from unacceptable clinical risk, as defined by the manufacturer.
8- Les étapes définies par le NISTa) Identifier
Réf: MKT-PDM-1605-06 vA
Retour sommaire 14
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
Evaluation et caractérisation des vulnérabilités-Outils de classification des vulnérabilités : « Common Vulnerability Scoring System ».-Facteurs : Type de l’attaque, impact sur la confidentialité, complexité de l’attaque..
Analyse de risques, incluant une modélisation des menaces
Analyse des sources de menaces Incorporation de moyens de détection de menaces
Evaluation de l’impact sur tous les dispositifs médicaux du fabricant
1
3
2
4
5
8- Les étapes définies par le NISTb) Protéger et Détecter
Réf: MKT-PDM-1605-06 vA
Retour sommaire 15
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
Contrôles compensatoires -Mise en place d’instructions pour les utilisateurs visant à protéger l’appareil contre la découverte d’une menace.-Mise en place d’une politique de divulgation.
Atténuation du risque sur la performance clinique essentielle-Evaluation du risque résiduel sur la performance clinique essentielle.-Evaluation du bénéfice-risque et des nouveaux risques.
1
2
8- Les étapes définies par le NISTc) Protéger, Répondre et Rétablir
Réf: MKT-PDM-1605-06 vA
Retour sommaire 16
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
9- Que dois-je faire si je trouve une vulnérabilité ?
Dans la plupart des cas :Mesures correctives par le fabricant : « mises à jour / patches ».Pas de notification nécessaire auprès de la FDA.
Si performance clinique essentielle impactée :Notification auprès de la FDA.
Réf: MKT-PDM-1605-06 vA
Retour sommaire 17
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
10- Conclusion : approche globale de la cybersécurité ?
Identification des menaces et des vulnérabilités.
Evaluation de la probabilité qu’une vulnérabilité soit exploitée.
Evaluation de l’impact des menaces et des vulnérabilités sur les fonctionnalités de l’appareil et sur les utilisateurs finaux.
Détermination du niveau de risque et d’une stratégie d’atténuation appropriée.
Mise en place de contrôles.
Evaluation des risques résiduels.
Réf: MKT-PDM-1605-06 vA
Retour sommaire 18
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
En résumé, la FDA indique clairement qu’une approche de la cybersécurité doit être menée, celle-ci doit être effectuée tout au long du cycle de vie du dispositif médical.
Cette gestion de risques de la cybersécurité proposée par la FDA, est une approche valide et universelle, dont les entreprises du secteur de la santé en Europe peuvent transposer au sein de leur organisation.
10- Conclusion : approche globale de la cybersécurité ?
Si vous souhaitez des informations, être accompagné sur la mise en place de la Cybersécurité au sein de votre société, nexialist se tient à votre disposition :[email protected]
Crédits photos : Alten, Mazars, L’usine digitale, shutterstock.com © 2016. Tous droits réservés.
Réf: MKT-PDM-1605-06 vA
Retour sommaire 19
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
FDA Premarket guidance : http://www.fda.gov/downloads/medicaldevices/deviceregulationandguidance/guidancedocuments/ucm356190.pdf Postmarket guidance : http://www.fda.gov/downloads/medicaldevices/deviceregulationandguidance/guidancedocuments/ucm482022.pdf
Europe Proposition Directive NIS :http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52013PC0048&from=EN
ANSSIwww.anssi.fr
Bibliographie
Réf: MKT-PDM-1605-06 vA
Retour sommaire 20
Reproduction et diffusion strictement interdite sans autorisation écrite de Nexialist© Nexialist 2016
Créée en 2006 à la Ciotat (France), nexialist compte à ce jour 15 collaborateurs et se distingue par ses capacités d’anticipation de la réglementation qui se traduisent chez les clients en conseils simples, concrets et directement exploitables.
nexialist accompagne et conseille les sociétés dans les secteurs des dispositifs médicaux, du diagnostic in vitro et des thérapies innovantes. nexialist intervient principalement en vue d’optimiser la stratégie réglementaire pour l’homologation d’un produit sur les marchés internationaux (Europe, US, Canada …), de réintroduire le client dans le cycle de développement du produit, d’optimiser le développement du produit et d’en assurer la conformité, ou encore de mettre en place un système de management par la qualité en vue d’une certification.
Forte de ses expériences, de son équipe pluridisciplinaire et de son réseau, nexialist fait partie aujourd’hui des acteurs incontournables dans le domaine du conseil pour les fabricants de dispositifs médicaux. Quel que soit le besoin, nexialist conçoit en collaboration avec ses clients une solution personnalisée, adaptée et conforme aux exigences réglementaires.
Une équipe d’experts à vos cotés pour redonner du sens à la réglementation et l’intégrer dans votre stratégie d’entreprise, au bénéfice de la performance.
Réf: MKT-PDM-1605-06 vA
www.nexialist.fr
515 avenue de la TramontaneLe Forum, Bât. B13600 La Ciotat
+33 (0)4 42 01 60 29 [email protected]