Protection des dispositifs médicaux connectés
Les dispositifs médicaux connectés, qui combinent l'électronique et les soins de santé, offrent des avantages considérables. Cependant, cette interconnexion croissante n'est pas sans risque. La cybersécurité des dispositifs médicaux est devenue une préoccupation majeure, et les normes telles que l'IEC/TR 60601-4-5 et l'IEC 62304 jouent un rôle essentiel dans la protection de ces appareils vitaux. Les pirates informatiques peuvent exploiter les vulnérabilités pour accéder aux données des patients, perturber le fonctionnement des appareils ou même mettre en danger la vie des patients. La nécessité de garantir la cybersécurité des dispositifs médicaux est donc primordiale.
La cybersécurité des dispositifs médicaux est régie par un ensemble de normes internationales, dont les normes IEC 60601-1-4-5 et IEC 62304. L'IEC/TR60601-4-5, intitulée "Évaluation de la cybersécurité des dispositifs médicaux - Partie 4-5 : Approche du processus", fournit des lignes directrices essentielles pour l'évaluation de la cybersécurité des dispositifs médicaux. Elle établit un cadre méthodique pour identifier, évaluer et gérer les risques liés à la cybersécurité tout au long du cycle de vie des appareils médicaux. Les principaux aspects de la norme IEC/TR 60601-4-5 comprennent : L'évaluation des menaces potentielles et des vulnérabilités des dispositifs médicaux. La définition de l'environnement de sécurité et des exigences de sécurité. La mise en place de mesures de sécurité appropriées. L'identification des méthodes de tests et de validation pour garantir la cybersécurité. Cette norme encourage également la collaboration entre les fabricants, les utilisateurs et les organismes de réglementation pour assurer la conformité et la sécurité des dispositifs médicaux.
L'IEC62304 est une autre norme essentielle dans le domaine de la cybersécurité des dispositifs médicaux. Elle traite de la gestion du cycle de vie des logiciels médicaux et s'applique à la conception, au développement, à la maintenance et à la surveillance de ces logiciels. La cybersécurité des dispositifs médicaux dépend souvent des logiciels intégrés, ce qui fait de l'IEC 62304 une norme cruciale. Cette norme repose sur une approche de gestion des risques et encourage la documentation exhaustive, la traçabilité et la validation des logiciels. Elle vise à garantir que les logiciels utilisés dans les dispositifs médicaux répondent aux exigences de sécurité, de performance et de qualité tout au long de leur cycle de vie.
La cybersécurité des dispositifs médicaux est une préoccupation majeure dans le domaine de la santé connectée. Les normes IEC, en particulier l'IEC/TR 60601-4-5 et l'IEC 62304, jouent un rôle central dans la gestion des risques liés à la cybersécurité, garantissant ainsi la sécurité des patients et la qualité des soins de santé. La protection des dispositifs médicaux contre les menaces cybernétiques est un défi constant, mais un défi que l'industrie de la santé est déterminée à relever pour que la convergence de la santé et de la technologie bénéficie à tous.
Les défis de sécurité spécifiques à l’internet des objets médicaux. Démarrage sécurisé Garantir l’authenticité du firmware Protéger la propriété intellectuelle Authenticité des données Garantir que les données reçues par le moniteur ne sont pas modifiées entre la sonde et le moniteur. Protocole de communications sécurisées (TLS, IPsec) Offrir la possibilité d’envoyer de manière sécurisée (cryptée et authentifiée) les données à d’autres dispositifs et systèmes. De nombreux actifs doivent être protégés tels que : Les capteurs, Les moniteurs, Les implants de patients.
Secure-IC possède une expertise dans la protection des applications de santé, des équipements médicaux et des capteurs. Pour résister aux attaques, Secure-IC met en œuvre une racine de confiance sécurisée assurant sécurité et authenticité des données ainsi que des protocoles de communication sécurisés. L’approche PESC de Secure-IC repose sur un portefeuille de produits et de services de sécurité qui, lorsqu’ils sont combinés, créent une sécurité de bout en bout protégeant les fondements mêmes de votre industrie.
Protéger SecuryzrTM iSE (integrated Secure Elements, i.e. éléments de sécurité intégrés) pour la santé : conforme aux certifications pour une connectivité et une gestion à distance sécurisées avec les exigences du protocole TLS/Secure et la pile du firmware. SecuryzrTM Logiciel complet pour l’industrie pour les appareils existants ou déjà installés. Gestion des identifiants pour tous les appareils de la flotte qui peut être réalisée pour chaque appareil grâce au PUF (Fonction physique non clonable) de Secure-IC (à la fois au niveau matériel et logiciel). Le SecuryzrTM Server permet de gérer une flotte d’appareils, de les mettre en service/hors service, de mettre à jour le firmware à distance (over-the-air) de façon sécurisée.
Évaluer LaboryzrTM: Évaluation de la sécurité: Détection des chevaux de Troie matériels Vérification de la protection contre la rétro-ingénierie Tests d’intrusion matériels/logiciels. Le LaboryzrTM comprend 3 outils : AnalyzrTM, outil d’évaluation permettant de valider le niveau de sécurité des puces ou plateaux physiques réels après leur sortie de fonderie Garantit la conformité aux normes ISO/CEI 17825 et 20085 VirtualyzrTM, outil de CAO permettant d’évaluer la conception de sécurité à tous les niveaux de la conception matérielle (RTL, post-synthèse, Place & Route et disposition). CatalyzrTM, outil logiciel permettant d’évaluer la vulnérabilité d’un code logiciel grâce à une analyse statique et dynamique.
Servir & Certifier ExpertyzrTM : Offre de Secure-IC comprenant plusieurs services et formations pour amener votre entreprise à un niveau supérieur de connaissances en terme de sécurité : Service d’évaluation pour les dispositifs existants et les nouveaux dispositifs Accompagnement à la certification Formation à la sécurité et Veille Normes et certifications à prendre en compte dans le secteur de la santé Plusieurs normes existent et sont applicables au secteur la de santé, ainsi que des certifications générales telles que FIPS 140-3, OSCCA ou Common Criteria. En tant qu’expert en sécurité, Secure-IC accompagne les entreprises et les institutions qui souhaitent acquérir et renforcer leurs certifications, que ce soit par le biais de projets collaboratifs, de tutoriels, de formations ou de prestations de conseils. Normes spécifiques à la santé: SESIP GP TEE IEC 62304-2006 ISO/IEC 27032 IEC 82304-1 ISO/TR 80002 ISO/IEC 8001