Auteur

Contact

kamgaloique@gmail.com

Citation

Alban KAMGA, « cyber­sé­cu­ri­té des dis­po­si­tifs médi­caux : Envi­ron­ne­ment régle­men­taire », Uni­ver­si­té de Tech­no­lo­gie de Com­piègne (France), Mas­ter Ingé­nie­rie de la San­té, Par­cours Tech­no­lo­gies Bio­mé­di­cales et Ter­ri­toires de San­té (TBTS) et Dis­po­si­tifs Médi­caux et Affaires Régle­men­taires (DMAR), Mémoire de stage, Juillet 2021, https://travaux.master.utc.fr/formations-master/ingenierie-de-la-sante/ids101/

Résumé

L’augmentation de la pro­por­tion des logi­ciels de san­té dans la sphère des dis­po­si­tifs médi­caux, fait de la cyber­sé­cu­ri­té un enjeu majeur pour les fabri­cants et dis­tri­bu­teurs de dis­po­si­tifs médi­caux. Doré­na­vant les vul­né­ra­bi­li­tés et les attaques sont plus impor­tantes que par le pas­sé. Pour contrer cela, anti­ci­per sur les évo­lu­tions à venir et mettre sur le mar­ché des dis­po­si­tifs dignes de confiance, les exi­gences régle­men­taires ont été mises sur à jour par les auto­ri­tés com­pé­tentes de chaque juridiction.

Le pré­sent docu­ment décrit le pro­ces­sus de ges­tion de la cyber­sé­cu­ri­té d’une inno­va­tion tech­no­lo­gique avec une approche basée sur les risques de sécu­ri­té infor­ma­tique. L’analyse, l’évaluation et la maî­trise des risques ont été mises en place à par­tir de la méthode EBIOS déve­lop­pée par L’ANSSI. Elle est appli­quée sur un logi­ciel connec­té de navi­ga­tion du genou uti­li­sant la réa­li­té aug­men­tée. Elle per­met durant tout le cycle de vie du dis­po­si­tif de garan­tir la confi­den­tia­li­té de l’information, l’intégrité des don­nées, l’accessibilité aux res­sources et l’audibilité du sys­tème. Le socle de la démarche est fait sur le stan­dard UL2900-2-1, accom­pa­gné et ren­for­cé par les exi­gences et les recom­man­da­tions des réfé­ren­tiels de
cyber­sé­cu­ri­té de la FDA, la TGA et Européen.

Maî­tri­ser la concep­tion, sécu­ri­ser par la concep­tion, com­mer­cia­li­ser et suivre les acti­vi­tés de sécu­ri­té infor­ma­tique après la com­mer­cia­li­sa­tion sont les sujets trai­tés dans ce rapport.

Mots clés : Logi­ciels de san­té, Dis­po­si­tifs médi­caux, Cyber­sé­cu­ri­té, Approche par les risques, Confi­den­tia­li­té, Acces­si­bi­li­té, Inté­gri­té, Audibilité.

Abstract

The increa­sing pro­por­tion of heal­th­care soft­ware in the medi­cal device sphere makes cyber­se­cu­ri­ty a major issue for medi­cal device manu­fac­tu­rers and dis­tri­bu­tors. Vul­ne­ra­bi­li­ties and attacks are now more impor­tant than in the past. To coun­ter this, anti­ci­pate future deve­lop­ments and bring trust­wor­thy devices to the mar­ket, regu­la­to­ry requi­re­ments have been upda­ted by the com­petent autho­ri­ties in each jurisdiction.

This docu­ment des­cribes the cyber­se­cu­ri­ty mana­ge­ment pro­cess of a tech­no­lo­gi­cal inno­va­tion with an approach based on IT secu­ri­ty risks. The ana­ly­sis, the eva­lua­tion and the control of the risks have been imple­men­ted using the EBIOS method deve­lo­ped by ANSSI. It is applied to a connec­ted soft­ware of knee navi­ga­tion using aug­men­ted rea­li­ty. During the entire life cycle of the device, it gua­ran­tees the confi­den­tia­li­ty of the infor­ma­tion, the inte­gri­ty of the data, the acces­si­bi­li­ty to the resources and the audi­bi­li­ty of the sys­tem. The basis of the approach is the UL2900-2-1 stan­dard, accom­pa­nied and rein­for­ced by the requi­re­ments and recom­men­da­tions of the FDA, TGA and Euro­pean cyber­se­cu­ri­ty
stan­dards.
Mas­te­ring the desi­gn, secu­ring by desi­gn, com­mer­cia­li­zing and tra­cking post-mar­ke­ting cyber secu­ri­ty
acti­vi­ties are the topics cove­red in this report.

Key­words : Heal­th­care soft­ware, Medi­cal devices, Cyber­se­cu­ri­ty, Risk-based approach, Pri­va­cy, Acces­si­bi­li­ty, Inte­gri­ty, Audibility.

Téléchargement