2 min lire
Avec le développement des avancées technologiques, l'utilisation de la technologie de connexion en réseau pour les dispositifs médicaux est en augmentation. Les dispositifs médicaux connectés stockent et transmettent les données des patients et exigent à la fois confidentialité et précision. Par conséquent, la cybersécurité des dispositifs médicaux continuera d'être au centre des préoccupations des régulateurs et des fabricants.
Lors de la mise au point d'un dispositif, les fabricants doivent être conscients qu'il devra être à l'épreuve de toute forme de cybermenace et atténuer les conséquences de tels événements sur l'intégrité des données et la vie privée des patients. C'est pourquoi les agences réglementaires mondiales ont élaboré plusieurs normes et exigences pour aider les fabricants à créer des dispositifs médicaux sûrs, sécurisés et efficaces. Dans ce blog, nous allons comprendre certaines des meilleures pratiques en matière de cybersécurité des dispositifs médicaux que l'on trouve dans les normes IEC 62304 et ISO 14971.
Norme IEC 62304 pour l'ensemble du cycle de vie des logiciels de dispositifs médicaux
Connue sous le nom de norme de sécurité fonctionnelle, la CEI 62304 couvre les pratiques de conception et de maintenance des logiciels de dispositifs médicaux tout au long du cycle de vie du produit. Elle s'applique à la fois aux dispositifs médicaux de type SaMD (Software as a Medical Device) et aux dispositifs médicaux dont la fonctionnalité repose sur des logiciels intégrés. L'une des meilleures pratiques de cette norme consiste à mettre en place des mesures de sécurité dès le début du développement. Les processus liés à la sécurité sont déterminés à partir des lignes directrices de la norme relatives à la classification de la sécurité des logiciels, qui ont un impact sur l'ensemble des exigences du cycle logiciel. Les trois (03) classes de sécurité pour les dispositifs médicaux liés à des logiciels sont les suivantes :
- Classe A : aucune blessure ou atteinte à la santé n'est possible.
- Classe B : des blessures sont possibles mais sans gravité.
- Classe C : Risque de décès ou de blessures graves.
La CEI 62304 comporte neuf (09) parties qui décrivent les différents aspects d'un dispositif médical, comme indiqué ci-dessous :
- Partie 1 : Champ d'application
- Partie 2 : Références normatives
- Partie 3 : Termes et définitions
- Partie 4 : Exigences générales
- Partie 5 : Processus de développement de logiciels
- Partie 6 : Processus de maintenance des logiciels
- Partie 7 : Processus de gestion des risques logiciels
- Partie 8 : Processus de gestion de la configuration des logiciels
- Partie 9 : Processus de résolution des problèmes logiciels
Norme ISO 14971 pour la gestion des risques liés aux dispositifs médicaux
Cette norme internationale est principalement axée sur la gestion des risques liés aux dispositifs médicaux. Elle s'applique à la sécurité des patients et garantit un contact sûr entre le dispositif et le patient ou l'utilisateur final. Les procédures liées à la sécurité à différents stades du cycle de vie du produit doivent être présentées dans la documentation et mises en œuvre en conséquence. Les composantes essentielles des lignes directrices relatives à la gestion des risques sont l'analyse et l'atténuation des risques. Il convient de prévoir comment les dispositifs connectés pourraient tomber en panne et quelles pourraient être les conséquences de ces défaillances. Cela permettra de mettre en place les dispositifs de sécurité nécessaires pour atténuer les risques potentiels. L'AAMI (Association for the Advancement of Medical Instrumentation) a publié un rapport technique connu sous le nom de TIR57:2016, qui est lié à la norme ISO 14971, et qui décrit les principes de la sécurité des dispositifs médicaux. Ce rapport fait le lien entre les risques de sécurité (y compris les atteintes à la sécurité des données et des systèmes et la réduction de l'efficacité) et les pratiques de gestion des risques liés à la sécurité que l'on trouve dans la norme ISO 14971.
La norme TIR57:2016 fournit des orientations sur la réalisation d'évaluations des risques de cybersécurité des dispositifs médicaux et sur la gestion des risques liés aux menaces de sécurité ayant un impact sur la confidentialité, l'intégrité et la disponibilité du dispositif, ou sur les informations traitées par le dispositif. Par ailleurs, la norme CEI 80002-1:2009 pour les logiciels de dispositifs médicaux fournit des orientations sur l'application de la norme ISO 14971 aux logiciels de dispositifs médicaux et met l'accent sur l'analyse des risques, la gestion des risques, l'évaluation des risques et les contrôles des risques, tels qu'ils s'appliquent aux logiciels de dispositifs médicaux.
Enfin, compte tenu de l'augmentation du nombre de dispositifs médicaux connectés en réseau, les fabricants doivent respecter les normes réglementaires proposées afin d'éviter ou d'atténuer les risques en matière de cybersécurité. Pour obtenir les meilleures solutions pour la gestion du cycle de vie complet de vos dispositifs médicaux connectés, consultez Freyr - un expert réglementaire reconnu dans ce domaine. Restez informé. Restez conforme.
