2 min lire
Bien que la numérisation et l'internet des objets (IdO) aient amélioré les performances des dispositifs médicaux, ils les ont également rendus vulnérables aux cyber-vulnérabilités. Les logiciels malveillants et les logiciels espions qui envahissent les appareils sont de plus en plus nombreux. Les pirates informatiques cherchent des failles dans les appareils et les logiciels associés qui leur permettent de corrompre les appareils et de compromettre les données des utilisateurs en les faisant mal fonctionner. Toutes ces difficultés entravent les efforts déployés par les organisations pour sécuriser les données des utilisateurs et prévenir les dommages.
Pour faire face à la menace que représente la cybersécurité des dispositifs médicaux, toutes les autorités sanitaires membres de l'International Medical Device Regulators Forum (IMDRF) ont publié des projets de documents d'orientation contenant des politiques de réglementation pour le stade de la précommercialisation. Toutefois, la Therapeutic Goods Administration (TGA) d'Australie a anticipé la nécessité d'une réglementation même au stade de la post-commercialisation des dispositifs et a publié un projet de document d'orientation qui couvre l'ensemble du cycle de vie du produit.
À qui s'appliquent les orientations ?
L'approche TPLC proposée par la TGA met l'accent sur la mise à jour permanente des systèmes de gestion de la qualité, des procédures de gestion des risques et des procédures de gestion du changement. Étant donné que les orientations couvrent des aspects du scénario avant et après la mise sur le marché, les règlements qu'elles contiennent s'adressent à de multiples parties prenantes, énumérées ci-dessous.
- Les fabricants qui développent des logiciels médicaux (SaMD)
- Fabricants de dispositifs comprenant des composants logiciels vulnérables à la cybersécurité
- Promoteurs responsables de la fourniture de dispositifs en Australie
- Les professionnels de la santé qui utilisent des dispositifs médicaux pour diagnostiquer et traiter les patients
- Les ingénieurs cliniques et biomédicaux qui sont responsables de la gestion des actifs des dispositifs dans l'environnement médical et sanitaire.
- Administration générale et informatique responsable des systèmes, des procédures et des processus dans le domaine de la santé et des services médicaux
- Consommateurs qui utilisent un dispositif médical enregistré
- sous l'égide de leur professionnel de santé et de leur médecin
- qui ne nécessite pas de surveillance médicale
Orientations pour l'industrie des dispositifs médicaux :
Tout en aidant l'industrie des dispositifs médicaux à se préparer à la cybersécurité, les orientations soulignent également que les dispositifs doivent être inscrits au registre australien des produits thérapeutiques (ATRG) pour pouvoir être commercialisés dans le pays. Cependant, l'inclusion dans l'ARTG nécessite des considérations qui couvrent l'ensemble de la durée de vie d'un dispositif médical, qui est divisée en quatre étapes :
- Pré-commercialisation via l'évaluation de la conformité
- Autorisation de mise sur le marché via l'inclusion dans l'ARTG
- Surveillance après la mise sur le marché
- Fin de vie / retrait de l'aide
Les orientations précisent également que les fabricants sont seuls responsables de l'évaluation et de la gestion du risque de cybersécurité du dispositif, tant avant qu'après la mise sur le marché. Pour ce faire, ils doivent tenir compte de certaines considérations dans les deux cas :
- Considérations préalables à la mise sur le marché : Ces considérations incluent les risques lors de la conception et du développement des dispositifs médicaux. Elles sont de nature générale et technique.
- Considérations générales telles que l'approche du développement, l'application des normes, les stratégies de gestion des risques, l'évaluation de la chaîne d'approvisionnement et la fourniture d'informations aux utilisateurs
- Les considérations techniques telles que les tests de performance en matière de cybersécurité, l'architecture modulaire, la sécurité des plates-formes d'exploitation, les logiciels émergents, l'accès sécurisé et la fourniture de contenu.
- Considérations post-commercialisation : Dans le cadre du régime post-commercialisation, les fabricants et les promoteurs de dispositifs sont tenus d'évaluer les risques liés à la cybersécurité et d'agir en conséquence, de manière continue. Il s'agit notamment de comprendre les risques et les menaces et d'y répondre lorsqu'ils se présentent.
Points saillants de l'orientation :
Alors que les autres régulateurs de l'IMDRF ont énuméré des principes de cybersécurité préalables à la mise sur le marché, la TGA est allée plus loin en énumérant 15 "principes essentiels" qui mettent notamment l'accent sur la sécurité à long terme. En outre, huit autres principes essentiels ont été ajoutés aux orientations pour traiter de la prévention des logiciels malveillants. Les orientations mettent en évidence le cadre de cybersécurité élaboré par l'Institut national américain des normes et de la technologie (National Institute of Standards and Technology). Il comprend également des exemples courants de vulnérabilités, des normes connues qui contribuent à renforcer la sécurité, ainsi que des instructions pour les utilisateurs finaux, les essais cliniques et les établissements de soins de santé qui utilisent les dispositifs.
Le projet de guide comprend une gamme complète d'informations pour mettre en place l'approche TLPC pour les fabricants de dispositifs médicaux. Toutefois, la forme actuelle des orientations est destinée à recevoir des commentaires et des changements sont attendus dans les prochaines versions. Pour rester en conformité et en sécurité, les parties prenantes doivent prendre les mesures nécessaires bien à l'avance avec l'aide d'un expert en réglementation des dispositifs médicaux. Soyez conforme.
