La Food and Drug Administration (FDA) travaille à la rédaction de directives sur la sécurité des objets connectés de santé, a fait savoir l’agence américaine fin mai.
L’usage croissant de dispositifs connectés dans le champ de la santé accroît les probabilités de cyberattaques, avec violation de données voire altération des soins dispensés aux patients.
Pour pallier ces risques, la Food and Drug Administration (FDA) américaine a lancé des travaux en vue de la publication d’une directive sur la sécurité des objets connectés, a-t-elle fait savoir fin mai.
Le futur texte, à l’étude, s’appuie sur six principes:
- l’intégration de la cybersécurité dans les normes générales de sécurité des produits (Quality System Requirements)
- la security by design (objectifs de disponibilité, de confidentialité et d’intégrité, mises à jour et corrections sécurisées)
- la transparence
- la gestion des risques
- l’architecture de sécurité dans laquelle le produit doit être intégré, ainsi que la réalisation de tests
- la fourniture de “preuves objectives” de conformité du produit aux nouveaux standards
- La transparence implique que les utilisateurs soient informés des risques inhérents à la cybersécurité et disposent des renseignements et des outils pour y faire face, parmi lesquelles la liste des interfaces susceptibles de recevoir et d’envoyer des données, les logiciels anti-programme malveillant, l’utilisation de pare-feu, les exigences en matière de mot de passe et de mise en réseau, les procédures de sauvegarde et de restauration des données, les interfaces de chiffrement
La gestion des risques induit que soient mises en œuvre, lors de la phase de développement, une évaluation comprenant au minimum des contrôles de conception, une validation des processus de production et des actions correctives et préventives, a rappelé le gendarme américain.
Ces directives, une fois entrées en vigueur, pourraient être un prérequis à toute autorisation de développement ou de mise sur le marché d’un logiciel ou d’un dispositif médical.
Ce projet devrait être validé par le Congrès américain au sein de la loi PATCH (Protecting and Transforming Cyber Health Care Act) qui viendra réviser l’actuelle loi fédérale sur les aliments, les médicaments et les cosmétiques.
