,
2 min de lecture
Avec le développement des avancées technologiques, il y a une augmentation de l'utilisation de la technologie de connexion réseau pour les dispositifs médicaux. Les dispositifs médicaux connectés stockent et transmettent les données des patients et exigent à la fois confidentialité et exactitude. Par conséquent, la cybersécurité des dispositifs médicaux restera au centre des préoccupations des régulateurs et des fabricants.
Lors du développement d'un dispositif, les fabricants doivent être conscients qu'il devra être à l'épreuve de toute menace cybernétique et atténuer les événements pouvant entraîner des conséquences sur l'intégrité des données et la confidentialité des patients. Par conséquent, les agences réglementaires mondiales ont élaboré plusieurs normes et exigences pour aider les fabricants à créer des dispositifs médicaux sûrs, sécurisés et efficaces. Dans ce blog, examinons quelques-unes des meilleures pratiques en matière de cybersécurité des dispositifs médicaux, telles que définies dans les normes IEC 62304 et ISO 14971.
Norme IEC 62304 pour l'ensemble du cycle de vie des logiciels de dispositifs médicaux
Connue comme une norme de sécurité fonctionnelle, l'IEC 62304 couvre les pratiques de conception et de maintenance des logiciels de dispositifs médicaux tout au long du cycle de vie du produit. Elle s'applique aussi bien aux SaMD (logiciels en tant que dispositif médical) qu'aux dispositifs médicaux intégrant des logiciels dans leur fonctionnalité. L'une des meilleures pratiques de cette norme est d'intégrer des mesures de sécurité dès le début du développement. Les processus liés à la sécurité sont déterminés à partir des lignes directrices de classification de la sécurité logicielle de la norme, impactant l'ensemble des exigences du cycle logiciel. Les trois (03) classes de sécurité pour les dispositifs médicaux liés aux logiciels sont :
- Classe A : Aucun risque de blessure ou de dommage pour la santé n'est possible.
- Classe B : Une blessure est possible, mais elle n'est pas grave.
- Classe C : Le décès ou une blessure grave est probable.
La norme IEC 62304 comporte neuf (09) parties, qui décrivent les différents aspects d'un dispositif médical, comme détaillé ci-dessous :
- Partie 1 : Domaine d'application
- Partie 2 : Références normatives
- Partie 3 : Termes et définitions
- Partie 4 : Exigences générales
- Partie 5 : Processus de développement logiciel
- Partie 6 : Processus de maintenance logicielle
- Partie 7 : Processus de gestion des risques logiciels
- Partie 8 : Processus de gestion de la configuration logicielle
- Partie 9 : Processus de résolution des problèmes logiciels
Norme ISO 14971 pour la gestion des risques des dispositifs médicaux
Cette norme internationale est principalement axée sur la gestion des risques liés aux dispositifs médicaux, et elle s'applique à la sécurité des patients, garantissant un contact sûr entre le dispositif et le patient ou l'utilisateur final. Les procédures liées à la sécurité, à diverses étapes du cycle de vie du produit, doivent être présentées dans la documentation et mises en œuvre en conséquence. Les composants essentiels des lignes directrices de gestion des risques sont l'analyse et l'atténuation des risques. Il convient d'anticiper les façons dont les dispositifs connectés pourraient tomber en panne et quelles pourraient être les conséquences de ces défaillances. Cela aidera à intégrer les dispositifs de sécurité nécessaires pour atténuer le potentiel de danger. L'AAMI (Association for the Advancement of Medical Instrumentation) a publié un rapport technique, connu sous le nom de TIR57:2016, qui est lié à la norme ISO 14971 et qui décrit les principes de sécurité des dispositifs médicaux. Ce rapport établit un lien entre les risques de sécurité (incluant les violations de la sécurité des données et des systèmes et la réduction de l'efficacité) et les pratiques de gestion des risques liés à la sécurité que l'on trouve dans la norme ISO 14971.
Le TIR57:2016 fournit des lignes directrices pour la réalisation d'évaluations des risques de cybersécurité des dispositifs médicaux et la gestion des risques liés aux menaces de sécurité, affectant la confidentialité, l'intégrité et la disponibilité du dispositif, ou les informations traitées par celui-ci. De plus, la norme IEC 80002-1:2009 pour les logiciels de dispositifs médicaux fournit des lignes directrices sur l'application de l'ISO 14971 aux logiciels de dispositifs médicaux et se concentre sur l'analyse des risques, la gestion des risques, l'évaluation des risques et les mesures de contrôle des risques applicables aux logiciels de dispositifs médicaux.
Enfin, face à l'augmentation des dispositifs médicaux connectés au réseau, les fabricants doivent respecter les normes réglementaires proposées afin d'éviter ou d'atténuer les risques de cybersécurité. Pour obtenir les meilleures solutions pour la gestion complète du cycle de vie de vos dispositifs médicaux connectés, consultez Freyr - un expert réglementaire reconnu dans ce domaine. Restez informé. Restez conforme.
