Emplois et stages
emplois et stages

L’AFIB répond à l’Europe sur la cybersécurité des équipements médicaux

Suite à la publication du Cyber Resilience Act (CRA), la présidence polonaise de l’Union Européenne a lancé une enquête d’opinion relative à la sécurité numérique des dispositifs médicaux, pour juger, en particulier, de la suffisance de l’évaluation du risque cyber lors du marquage CE des équipements médicaux. L’AFIB a répondu à cette enquête fin février. La restitution de l’enquête par l’union européenne est attendue pour mai 2025.

Je vous livre en résumé l’analyse de l’AFIB sur le sujet :

Le Cyber Resilience Act, adopté le 23 octobre 2024, et définissant les exigences de cybersécurité pour les produits comportant des éléments numériques, exclut clairement les équipements médicaux de son champ d’application (chapitre 25, RE 2024/2847 : « Les produits comportant des éléments numériques relevant de l’un ou l’autre de ces règlements [2017/745 et 2017/746] ne devraient donc pas être soumis au présent règlement. »)1.

La directive NIS 2 organise la défense européenne face aux cyber-attaques et impose aux établissements de santé des mesures préventives et réactives plus strictes2. De facto, les RSSI, garant de la mise en œuvre et du suivi de la sécurité des systèmes d’information, mettent en place des politiques de sécurité exigeantes dans nos établissements.

Or, le marquage CE selon le RE 2017/745 ou 746 ne traite qu’indirectement la cybersécurité sur la base d’une analyse des risques2,3. Le risque principal évalué est le risque direct sur le patient. Le risque d’exploitation d’une faille de sécurité pour attaquer un établissement et nuire au patient est indirect et dépend de l’environnement de production. Il n’est donc pas suffisamment pris en compte dans l’obtention du marquage CE. Les mouvements peuvent même être antinomiques : pour limiter le risque de dysfonctionnement d’un équipement, le fabricant stabilise l’environnement informatique alors qu’un des principes de base de la cybersécurité est d’appliquer les patchs de sécurité et de faire évoluer les versions d’OS.

Nous sommes donc dans une situation incohérente où le marque CE est jugé suffisant par l’EU dans le Cyber Resilience Act mais insuffisant par les RSSI dans les établissements de santé.

Il est donc urgent de coordonner les textes et d’annoncer clairement les besoins aux fabricants d’équipements biomédicaux. L’AFIB s’est proposé pour participer aux groupes de travail qui se mettraient en place.

Je tiens à souligner la réactivité de l’AFIB sur cette enquête. Nous avons été sollicité et nous avons répondu en moins de 10 jours sur un sujet très technique, en s’appuyant sur les travaux en cours par un groupe de travail actif constitué d’Alain Bergery, Eric Franceschetti, Mathieu le Tutour et de moi-même. C’est une force de notre association de rester mobilisée sur les sujets qui nous (pré !) occupent.

 

Sandrine Roussel

 

Liens :

  1. Cyber Resilience Act - Regulation - 2024/2847 - EN - EUR-Lex
  2. Directive NIS 2 Directive - 2022/2555 - EN - EUR-Lex
  3. Marquage CE MDR Règlement - 2017/745 - EN - EUR-Lex
  4. Marquage CE IVDR Règlement - 2017/746 - EN - EUR-Lex