Comment les fabricants de dispositifs médicaux intègrent les enjeux de cybersécurité

La santé est un secteur vulnérable en matière de cybersécurité. Selon un rapport de la société de conseil informatique Wipro, 41 % des failles repérées dans le monde ciblaient l’industrie de la santé, contre 30 % en 2016. Ce sont en outre les données personnelles qui sont les plus recherchées et, parmi elles, les données de santé. “La valeur commerciale des données de santé est en hausse constante et nous prévoyons donc que ce secteur deviendra parmi les plus à risque en matière de cybersécurité”, indique Loïc Chabanier, associé chez EY. En parallèle, les dispositifs médicaux digitaux se multiplient. Selon le cabinet d’analyses Markets & Markets, le marché des DM connectés à l’hôpital pourrait représenter au global 64,43 milliards de dollars en 2023, contre 20,59 milliards de dollars aujourd’hui. Il croîtra d’ici là à un rythme moyen annuel de 25,2 %. Une croissance soutenue qui représente autant de portes ouvertes vers les systèmes d’informations des hôpitaux cibles privilégiées des cyber-attaques. “Le plus grand risque en matière de sécurité des DM  réside dans son interconnexion avec un implant connecté ou un SI hospitalier. Le dispositif s’inscrit dans un écosystème relativement fragile”, indique Loïc Chabanier.

Pour autant, les récentes révélations par le consortium international des journalistes d’investigation sur les “implant files” a démontré que la certification dispositif médical n’est pas le gage d’une sécurité maximale : une journaliste néerlandaise a par exemple réussi à obtenir le feu vert d’un organisme notifié pour certifier comme DM un filet de mandarine. Qu’en est-il de la cybersécurité des dispositifs médicaux ? Comment s’assurer que les exigences de cybersécurité sont à leur maximum ?

Des normes contraignantes, mais peu de contrôles

Le premier constat est que les normes imposées en matière de cybersécurité, notamment en France, sont exigeantes. Elles proviennent à la fois de la Haute Autorité de santé (HAS) pour l’hébergement de données, du règlement général européen sur la protection des données (RGPD) pour l’hébergement et la traçabilité des datas, de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et de l’Agence nationale de sécurité du médicament (ANSM) pour les recommandations relatives au dispositif médical. “Suivre les réglementations françaises en matière de cybersécurité nous permet d’être au maximum de ce qui peut nous être demandé sur tous les marchés dans le monde”, affirme Patrick Alff, directeur technique de Voluntis, éditeurs de logiciels médicaux pour les malades chroniques, certifiés dispositif médical et marqués CE. La société indique toutefois n’avoir “jamais été contrôlée” sur ces questions. Et selon certains, c’est là que le bât blesse : l’obtention d’une certification DM, qui exige notamment de se conformer à la norme ISO 13485, dépend de déclarations effectuées par les fabricants eux-mêmes, or les consignes ne sont pas toujours claires et les contrôles rares : “les normes, cela s’interprète et elles sont parfois tellement contraignantes que certaines sociétés, notamment les plus jeunes, les contournent”, indique Christophe Guillot, vice-président de l’association Ocssimore et par ailleurs directeur digital des laboratoires Pierre Fabre. L’association qu’il copréside a été fondée par BPCE, Météo France, Thalès et Pierre Fabre autour d’un constat commun : “nous voyons trop de start-up qui proposent des produits très pauvres en matière de sécurité, simplement parce qu’elles souhaitent sortir rapidement un “minimum viable product”. Et ceci est vrai, même dans les grosses start-up de la santé”, explique-t-il. Il observe notamment de nombreuses failles dans les systèmes d’authentification, dans le recueil du consentement “incomplet ou pas explicite” ou encore dans les techniques d’identification.

La cybersécurité doit représenter entre 5 et 10 % du coût de fabrication

 Pourtant, selon les acteurs interrogés, un haut niveau de sécurité ne peut être assuré que si les mesures de cybersécurité sont prises en compte dès la conception du produit, selon le principe du “privacy by design”. Mais toutes les sociétés ne l’appliquent pas car “ce sont des processus qui nécessitent beaucoup de temps et coûtent très cher”, explique Liouma Tokitsu, cofondateur et président d’Ad Scientiam. La start-up créée en 2013 travaille avec des industriels du médicament, dans la phase de l’essai clinique. “Nous sommes audités par ces industriels qui accordent une importance particulière aux aspects de sécurité, cela va plus loin que les exigences du simple DM”, explique-t-il. Pour cela la société s’est d’abord fait accompagner par Altran. Puis, “quand la société s’est davantage structurée en PME, nous avons été capables d’internaliser ces compétences en recrutant des experts du réglementaire et de la qualité spécialisés dans les dispositifs médicaux et les essais cliniques, des profils très rares donc chers”, indique Liouma Tokitsu. La nouvelle organisation, “qui impacte toute l’entreprise”, implique de mettre en place un système de gestion de la qualité et du risque afin de réaliser des analyses de risques, toujours plus importantes, à chaque étape du développement. “Il s’agit d’identifier tous les impacts que chaque modification du logiciel pourrait avoir sur le reste du dispositif, le patient et l’intégrité de la donnée”, explique Amélie Martinez, responsable qualité et réglementaire d’Ad Scientiam, qui reconnaît que sur ces sujets “la norme ISO 13485 que nous suivons indique les grandes lignes de ce qu’il faut faire mais il faut une personne formée et compétente pour connaître les processus à suivre. Il ne suffit pas d’appliquer la norme.”

C’est aussi l’avis de Frédéric Savino, directeur des opérations et associé de Domicalis, qui édite la solution de suivi post-opératoire en cours de certification DM Ambulis. Selon cet ancien architecte technique au sein de la division Security (anciennement D3S) de Thales, “la dimension culturelle de la cybersécurité est au moins aussi importante que les normes.” Sur la dizaine de personnes qu’emploie cette société, trois sont d’anciens référents techniques de Thales, qui ont été capables de mener en interne les audits de cybersécurité nécessaires. Selon Frédéric Savino, adresser ces enjeux, même en interne, coûte entre 5 et 10 % du budget global de la solution, “quand cela est pris en compte d’entrée de jeu”. Dans la phase en amont de la conception, “un quart du développement doit être consacré à la sécurité sous tous ses aspects”, estime-t-il. Patrick Alff, CTO de Voluntis, considère lui aussi que la cybersécurité représente entre 5 et 10 % du coût de fabrication totale de la solution. Parmi les dépenses “directes” identifiées, la société de 130 personnes emploie trois personnes dans une équipe consacrée à plein temps à la cybersécurité. L’une de leurs principales missions consiste à sensibiliser et former le reste de la société, notamment les développeurs, à la cybersécurité, ce qui représente un fort investissement en temps. La société se fait également accompagner ponctuellement en externe : sur l’évaluation de vulnérabilité au démarrage, puis au sujet de la sécurisation des bases de données… De plus, Voluntis effectue des tests de pénétration réguliers et assure un monitoring d’intrusion, qui répertorie les tentatives d’attaque.

Pour tenter d’uniformiser les pratiques et de réduire les aléas liés à la sensibilité des sociétés aux enjeux de cybersécurité, plusieurs initiatives se mettent place. Partant du principe que “toutes les sociétés ne sont pas au même niveau d’information concernant ces sujets”, l’ANSM prévoit ainsi la publication d’un guide à leur destination avec l’ambition de le porter au niveau européen afin d’encourager à l’adoption de normes unifiées. L’association Ocssimore, qui milite pour que les développeurs et les UX designer travaillent avec les experts en cybersécurité dès le début du projet, prévoit lui aussi la sortie d’un guide méthodologique, se basant sur des cas concrets étudiés lors de quatre séances de travail. Les publications de ces deux guides sont prévues pour le premier semestre 2019.