• IDS101- Cybersécurité des dispositifs médicaux : Environnement règlementaire.

    Avertissement

    Les projets ou stages publiés auxquels vous accédez sont des rapports d'étudiants et doivent être pris comme tels. Il peuvent donc comporter des imperfections ou des imprécisions que tout lecteur doit admettre et donc supporter. Il ont été réalisés pendant les périodes de formation et constituent avant-tout des travaux de compilation bibliographique, d'initiation et d'analyse sur des thématiques associées aux concepts, méthodes, outils et expériences sur les démarches qualité dans les organisations ou sur les technologies en santé.

    Si, malgré nos précautions, vous avez des raisons de contester ce droit de diffusion libre, , nous nous efforcerons d'y apporter une réponse rapide. L'objectif de la présentation des travaux sur le web est de permettre l'accès à l'information et d'augmenter ainsi la qualité des échanges professionnels.

    Nous ne faisons aucun usage commercial des travaux de projet ou de stage publiés, par conséquent les citations des informations et l'emploi des outils mis à disposition sont totalement libres. Dans ce cas, nous vous demandons de respecter les règles d'éthique en citant explicitement et complètement vos sources bibliographiques.

    Bonne lecture...

    Auteur

    Alban Loique KAMGA

    Contact

    Citation

    Alban KAMGA, « cyber­sé­cu­ri­té des dis­po­si­tifs médi­caux : Envi­ron­ne­ment régle­men­taire », Uni­ver­si­té de Tech­no­lo­gie de Com­piègne (France), Mas­ter Ingé­nie­rie de la San­té, Par­cours Tech­no­lo­gies Bio­mé­di­cales et Ter­ri­toires de San­té (TBTS) et Dis­po­si­tifs Médi­caux et Affaires Régle­men­taires (DMAR), Mémoire de stage, Juillet 2021, https://travaux.master.utc.fr/formations-master/ingenierie-de-la-sante/ids101/

    Résumé

    L’augmentation de la pro­por­tion des logi­ciels de san­té dans la sphère des dis­po­si­tifs médi­caux, fait de la cyber­sé­cu­ri­té un enjeu majeur pour les fabri­cants et dis­tri­bu­teurs de dis­po­si­tifs médi­caux. Doré­na­vant les vul­né­ra­bi­li­tés et les attaques sont plus impor­tantes que par le pas­sé. Pour contrer cela, anti­ci­per sur les évo­lu­tions à venir et mettre sur le mar­ché des dis­po­si­tifs dignes de confiance, les exi­gences régle­men­taires ont été mises sur à jour par les auto­ri­tés com­pé­tentes de chaque juridiction.

    Le pré­sent docu­ment décrit le pro­ces­sus de ges­tion de la cyber­sé­cu­ri­té d’une inno­va­tion tech­no­lo­gique avec une approche basée sur les risques de sécu­ri­té infor­ma­tique. L’analyse, l’évaluation et la maî­trise des risques ont été mises en place à par­tir de la méthode EBIOS déve­lop­pée par L’ANSSI. Elle est appli­quée sur un logi­ciel connec­té de navi­ga­tion du genou uti­li­sant la réa­li­té aug­men­tée. Elle per­met durant tout le cycle de vie du dis­po­si­tif de garan­tir la confi­den­tia­li­té de l’information, l’intégrité des don­nées, l’accessibilité aux res­sources et l’audibilité du sys­tème. Le socle de la démarche est fait sur le stan­dard UL2900-2-1, accom­pa­gné et ren­for­cé par les exi­gences et les recom­man­da­tions des réfé­ren­tiels de
    cyber­sé­cu­ri­té de la FDA, la TGA et Européen.

    Maî­tri­ser la concep­tion, sécu­ri­ser par la concep­tion, com­mer­cia­li­ser et suivre les acti­vi­tés de sécu­ri­té infor­ma­tique après la com­mer­cia­li­sa­tion sont les sujets trai­tés dans ce rapport.


    Mots clés : Logi­ciels de san­té, Dis­po­si­tifs médi­caux, Cyber­sé­cu­ri­té, Approche par les risques, Confi­den­tia­li­té, Acces­si­bi­li­té, Inté­gri­té, Audibilité.

    Abstract

    The increa­sing pro­por­tion of heal­th­care soft­ware in the medi­cal device sphere makes cyber­se­cu­ri­ty a major issue for medi­cal device manu­fac­tu­rers and dis­tri­bu­tors. Vul­ne­ra­bi­li­ties and attacks are now more impor­tant than in the past. To coun­ter this, anti­ci­pate future deve­lop­ments and bring trust­wor­thy devices to the mar­ket, regu­la­to­ry requi­re­ments have been upda­ted by the com­petent autho­ri­ties in each jurisdiction.

    This docu­ment des­cribes the cyber­se­cu­ri­ty mana­ge­ment pro­cess of a tech­no­lo­gi­cal inno­va­tion with an approach based on IT secu­ri­ty risks. The ana­ly­sis, the eva­lua­tion and the control of the risks have been imple­men­ted using the EBIOS method deve­lo­ped by ANSSI. It is applied to a connec­ted soft­ware of knee navi­ga­tion using aug­men­ted rea­li­ty. During the entire life cycle of the device, it gua­ran­tees the confi­den­tia­li­ty of the infor­ma­tion, the inte­gri­ty of the data, the acces­si­bi­li­ty to the resources and the audi­bi­li­ty of the sys­tem. The basis of the approach is the UL2900-2-1 stan­dard, accom­pa­nied and rein­for­ced by the requi­re­ments and recom­men­da­tions of the FDA, TGA and Euro­pean cyber­se­cu­ri­ty
    stan­dards.
    Mas­te­ring the desi­gn, secu­ring by desi­gn, com­mer­cia­li­zing and tra­cking post-mar­ke­ting cyber secu­ri­ty
    acti­vi­ties are the topics cove­red in this report.

    Key­words : Heal­th­care soft­ware, Medi­cal devices, Cyber­se­cu­ri­ty, Risk-based approach, Pri­va­cy, Acces­si­bi­li­ty, Inte­gri­ty, Audibility.

    Téléchargement

    IDS101 - Mémoire de stage

    Cyber­sé­cu­ri­té des dis­po­si­tifs médi­caux : Envi­ron­ne­ment règlementaire

    searchhomearrow-circle-left