Santé : l’administration américaine donne ses conseils pour les objets connectés

L’agence américaine de la sécurité sanitaire, la Food and Drug Administration (FDA), vient de publier de nouvelles recommandations de cybersécurité pour les appareils médicaux connectés, sur fond de préoccupation croissante face au risque de piratage.

Ces nouvelles recommandations, visant les appareils déjà en exploitation, viennent compléter celles d’octobre 2014 qui concernant leurs fabricants, en amont de leur mise sur le marché, et une autre série de conseils relatifs aux objets connectés, publiée en janvier 2016. Suzanne Schwartz, directrice de FDA en charge des contremesures et de la préparation aux questions de cybersécurité, explique ainsi dans un billet de blog que les nouvelles recommandations constituent une « reconnaissance de la réalité d’aujourd’hui – les menaces sont réelles, toujours présentes, et en évolution continue ». Et de souligner que « les réseaux des hôpitaux rencontrent des tentatives constantes d’intrusion et d’attaque, susceptibles de menacer la sécurité des patients. Et alors que les pirates deviennent de plus en plus sophistiqués, ces risques de cybersécurité vont évoluer ».

Et pour combattre ces risques, la FDA recommande aux fabricants d’appareils médicaux de proposer une façon de surveiller et de détecter les vulnérabilités dans leurs produits, d’être capables d’analyser et de comprendre les risques qu’elles posent, et d’adopter une politique de divulgation coordonnée de vulnérabilités qui assure une communication effective de l’information sur celles-ci. Le tout en proposant une façon de déployer des correctifs rapidement.

Pour Suzanne Schwartz, « cette approche permet aux fabricants de se concentrer sur une amélioration de la qualité en continu, qui est essentielle pour garantir la sûreté et l’efficacité des appareils médicaux, à toutes les étapes de leur cycle de vie ».

Les recommandations de la FDA insistent en outre sur l’importance, pour les fabricants, de suivre les principes de sécurité fondamentaux énoncés par le NIST pour améliorer la cybersécurité des infrastructures critiques : « ce n’est qu’avec l’application de ces principes, suivis aux côtés des pratiques de référence comme la divulgation coordonnée des vulnérabilités, que nous pourrons tous évoluer dans cet territoire inconnu des risques en constante évolution pour la sécurité des appareils ».