Passer au contenu principal

Sujet du message : Sécurité des dispositifs médicaux

Silence insaisissable : comment MAUDE peut amplifier l'appel à des appareils plus sûrs

Écrit par Julia Annaloro on . Publié dans Sécurité des dispositifs médicaux, Ressources et actualités.

Blog sur les dispositifs médicaux par Phil Englert, vice-président de la sécurité des dispositifs médicaux chez Health-ISAC

Les propriétaires de dispositifs médicaux sont de plus en plus frustrés par le manque d'informations partagées par les fabricants sur les vulnérabilités connues mais non divulguées des technologies médicales, ainsi que par la rapidité avec laquelle ils corrigent ces vulnérabilités. Tirer parti du programme MAUDE de la Food and Drug Administration (FDA) pourrait être un moyen de gagner en rapidité.

La base de données MAUDE de la FDA (abréviation de Manufacturer and User Facility Device Experience) est un référentiel public de rapports d'événements indésirables liés aux dispositifs médicaux. Elle s'inscrit dans le cadre de la stratégie de surveillance post-commercialisation de la FDA. Son objectif principal est d'aider la FDA à surveiller les performances des dispositifs, à détecter les problèmes de sécurité potentiels et à faciliter les évaluations bénéfices-risques après leur mise sur le marché. Les déclarants obligatoires (comme les fabricants, les importateurs et les établissements de santé) doivent soumettre des rapports lorsqu'un dispositif est susceptible d'avoir causé ou contribué à un décès, une blessure grave ou un dysfonctionnement. Les déclarants volontaires (comme les professionnels de santé, les patients ou les soignants) peuvent également soumettre des rapports s'ils constatent ou rencontrent un problème lié à un dispositif.

En savoir plus sur MAUDE, y compris un exemple d'un récit de rapport MAUDE lié à la cybernétique, dans TechNation.

Cliquez ici

Sécurité des dispositifs médicaux : ce que veulent vraiment les acheteurs du secteur de la santé

Écrit par Julia Annaloro on . Publié dans Sécurité des dispositifs médicaux, Livres Blancs.

La cybersécurité est désormais le gardien de l’accès au marché

NOTE D'INFORMATION DE L'INDICE DE CYBERSÉCURITÉ DES DISPOSITIFS MÉDICAUX 2025

Le secteur de la santé a atteint un point de basculement en matière de cybersécurité. 22 % des organisations de soins de santé ont subi des cyberattaques qui ont compromis des dispositifs médicaux, dont 75 % incidents ayant un impact direct sur les soins aux patients. Lorsque des attaques forcent le transfert de patients vers d'autres installations — ce qui s'est produit dans près d'un quart des cas — nous ne parlons plus d'informatique désagréments, mais urgences médicales.

 

LA DEMANDE DE SÉCURITÉ DES DISPOSITIFS MÉDICAUX EST ÉLEVÉE

1. Transparence grâce aux SBOM – 78 % des entreprises considèrent les nomenclatures logicielles comme essentielles dans leurs décisions d'achat. Il ne s'agit pas seulement d'une question de conformité réglementaire, mais aussi d'une gestion pratique des vulnérabilités dans un écosystème interconnecté.

2. Sécurité intégrée ou boulonnée ? 60 % privilégient les protections de cybersécurité intégrées aux solutions modernisées. Les responsables de la santé ont appris que les mesures de sécurité temporaires sont inefficaces face aux attaques sophistiquées.

3. Protection d'exécution avancée - 36 % recherchent activement des appareils dotés d'une protection d'exécution, tandis que 38 % supplémentaires en sont conscients mais n'en ont pas encore besoin, ce qui suggère une évolution rapide du marché, de l'adoption précoce aux attentes du grand public.

Lisez le livre blanc de RunSafe Security, un navigateur Health-ISAC. Cliquez ici

État de la cybersécurité dans le secteur de la santé : progrès et pièges

Écrit par Julia Annaloro on . Publié dans Actualités, Sécurité des dispositifs médicaux.

Phil Englert de Health-ISAC et Murad Dikeidek de UI Health parlent des défis de la sécurité du secteur de la santé et offrent des perspectives.

Bien que le secteur de la santé progresse en matière de cyber-résilience, il est toujours confronté à des défis profondément enracinés, notamment la collaboration, les problèmes de cyber-main-d'œuvre et les contraintes budgétaires, ce qui nécessite une demande constante d'adaptation et de repriorisation à mesure que les adversaires modifient leurs tactiques, ont déclaré les experts en sécurité Phil Englert et Murad Dikeidek.

« L’une des choses que nous voyons se produire de plus en plus, et toujours pas suffisamment, est le partage d’informations », a déclaré Englert, vice-président de la sécurité des dispositifs médicaux au Health Information Sharing and Analysis Center.

Le partage d'informations peut être essentiel pour aider l'ensemble du secteur à mieux comprendre les menaces auxquelles il est confronté, mais il existe encore une incertitude dans de nombreuses organisations quant au niveau de détails que les prestataires de soins de santé doivent divulguer, a-t-il déclaré.

Lisez ou écoutez cette conversation dans Data Breach Today. Cliquez ici

Vulnérabilité de Contec CMS8000

Écrit par Julia Annaloro on . Publié dans Sécurité des dispositifs médicaux, Ressources et actualités.

Vulnérabilité Contec CMS8000 : un problème critique de cybersécurité ou une mauvaise pratique de codage ?

Blog sur la sécurité des dispositifs médicaux Health-ISAC dans TechNation

Rédigé par Phil Englert, vice-président de la sécurité des dispositifs médicaux chez Health-ISAC

Le 30 janvier 2025, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié l'avis médical ICSMA-25-030-01, soulignant des vulnérabilités critiques dans les moniteurs patient Contec CMS8000. Ces vulnérabilités, qui incluent une écriture hors limites, une fonctionnalité de porte dérobée cachée et une fuite de données personnelles, présentent des risques importants pour la sécurité des patients et la sécurité des données. La Food and Drug Administration (FDA) américaine a publié un communiqué de sécurité le même jour, soulignant les risques associés à ces vulnérabilités. La FDA a souligné que le Contec CMS8000 et ses versions re-étiquetées, comme l'Epsimed MN-120, peuvent être contrôlés à distance par des utilisateurs non autorisés, compromettant potentiellement les données des patients et le fonctionnement de l'appareil. Le CMS8000 a été commercialisé vers 2005 et a obtenu l'autorisation 510(k) de la FDA en juin 2011.

Les recommandations de la FDA aux professionnels de santé et aux patients étaient doubles : débrancher et cesser d'utiliser l'appareil si vous comptez sur les fonctions de surveillance à distance. Deuxièmement, la FDA recommandait d'utiliser uniquement les fonctions de surveillance locales, comme la désactivation des connexions sans fil et le débranchement des câbles Ethernet. Les moniteurs physiologiques ne fournissent pas de traitement vital, mais ils sont essentiels au suivi de l'état des patients à risque. La surveillance des moniteurs patients est centralisée afin d'informer rapidement les soignants de toute évolution de l'état du patient. Une réponse rapide peut faire la différence entre un bon et un mauvais pronostic.

Les vulnérabilités du Contec CMS8000 révélées par la CISA et analysées par la FDA, Claroty et Cylera soulignent l'importance cruciale de mesures de cybersécurité robustes dans le secteur de la santé. Elles soulignent également que les vulnérabilités peuvent provenir d'une conception non sécurisée plutôt que d'une intention malveillante. Leur impact potentiel sur la sécurité des patients et la sécurité des données ne doit pas être sous-estimé. Les prestataires de soins doivent agir rapidement pour atténuer ces risques et garantir l'intégrité de leurs dispositifs médicaux.

Lisez le blog complet sur TechNation. Cliquez ici

 

La cybersécurité des dispositifs médicaux pourrait être mise à mal par les réductions de personnel du HHS

Écrit par Julia Annaloro on . Publié dans Actualités, Sécurité des dispositifs médicaux.

L'audition du sous-comité de la Chambre sur la protection de la cybersécurité des dispositifs médicaux hérités est éclipsée par les coupes budgétaires du HHS.

Les panélistes participant à la discussion du sous-comité de surveillance et d'enquêtes sur le thème « Technologie vieillissante, menaces émergentes : examen des vulnérabilités en matière de cybersécurité dans les dispositifs médicaux existants » ont été interrogés sur l'impact des réductions de personnel de la FDA sur la sécurité des dispositifs médicaux. 

« Excellente », a déclaré Kevin Fu, professeur au département de génie électrique et informatique du Khoury College of Computer Sciences de l'Université Northeastern. M. Fu a précédemment occupé les fonctions de premier directeur par intérim du département de cybersécurité des dispositifs médicaux au Centre pour les dispositifs et la santé radiologique (CDRH) de la FDA et de directeur de programme pour la cybersécurité au Centre d'excellence en santé numérique.

Erik Decker, vice-président et RSSI chez Intermontagne Santé, a déclaré que la FDA est un acteur clé dans les efforts de cybersécurité.

« Oui, cela aura un impact », a déclaré Decker. 

Les fabricants de dispositifs médicaux, les hôpitaux et la FDA collaborent, a-t-il déclaré. Le HHS, la FDA et le secteur de la santé ont créé de nombreux groupes de travail au sein du groupe de travail sur la cybersécurité (CWG) du Conseil de coordination du secteur de la santé (HSCC).

Cependant, a déclaré Decker, l'analyse montre qu'en moyenne, les hôpitaux n'ont mis en œuvre qu'environ 55 % des pratiques recommandées par les pratiques de cybersécurité de l'industrie de la santé (HICP) pour la sécurité des dispositifs médicaux. 

Decker a déclaré qu’il existe quatre groupes d’acteurs de la menace : les acteurs étatiques, le crime organisé, les « hacktivistes » et les menaces internes. 

Le panéliste Greg Garcia, directeur exécutif du groupe de travail sur la cybersécurité du Conseil de coordination du secteur de la santé, a déclaré que la semaine prochaine, ils publieraient un livre blanc sur la manière dont les systèmes de santé manquent de ressources financières et de personnel pour la protection de la cybersécurité.

Lisez l’article complet dans Healthcare Finance News. Cliquez ici

Comment le personnel de HTM peut se préparer aux modifications proposées aux règles de sécurité HIPAA

Écrit par Julia Annaloro on . Publié dans Actualités, Sécurité des dispositifs médicaux.

Blog sur la sécurité des dispositifs médicaux Health-ISAC dans TechNation

Rédigé par Phil Englert, vice-président de la sécurité des dispositifs médicaux chez Health-ISAC

 

Le 27 décembre 2024, le Bureau des droits civiques (OCR) du Département de la Santé et des Services sociaux des États-Unis (HHS) a publié un avis de proposition de réglementation (NPRM) visant à modifier la règle de sécurité de la loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA). L'objectif est de renforcer les défenses en matière de cybersécurité qui protègent les informations de santé électroniques (ePHI). Cette mise à jour proposée représente une approche proactive pour la protection des informations de santé sensibles dans un contexte de cybermenaces croissantes.

Les modifications proposées mettent en avant plusieurs mesures essentielles pour renforcer la protection des données de santé électroniques. Certaines de ces règles sont axées sur les processus, tandis que d'autres sont techniques. L'intégration de ces modifications proposées au processus d'approvisionnement aidera les organisations à se préparer à ces changements dès leur entrée en vigueur. Voici une sélection de mesures particulièrement pertinentes pour les dispositifs médicaux.

Continuez à lire cet article dans TechNation. Cliquez ici

Analyse de l'impact des risques liés aux dispositifs médicaux pour les prestataires de soins de santé

Écrit par Julia Annaloro on . Publié dans Sécurité des dispositifs médicaux, Ressources et actualités.

Blog sur la sécurité des dispositifs médicaux Health-ISAC dans TechNation

Rédigé par Phil Englert, vice-président de la sécurité des dispositifs médicaux chez Health-ISAC

Dans le secteur de la santé, garantir la sécurité et l'efficacité des dispositifs médicaux est primordial. Trop souvent, la cybersécurité se concentre sur les vulnérabilités et, bien qu'importante, l'analyse des vulnérabilités est trop étroite. Les vulnérabilités sont évaluées à l'aide du système commun de notation des vulnérabilités (CVSS), qui tente de déterminer leur dangerosité. Cette information est utile, mais elle prend en compte le risque de vulnérabilité au niveau du composant concerné plutôt qu'au niveau du produit. Cette vision limitée ne prend pas en compte les risques que la vulnérabilité représente pour un environnement spécifique. Des facteurs contextuels tels que l'importance de l'actif, son utilisation ou les contrôles en place, que ce soit au sein du produit ou du réseau, doivent également être pris en compte lors de l'évaluation des risques. Compte tenu de ces limites, la réalisation d'une analyse d'impact des risques liés aux dispositifs médicaux (ADRIA) est un processus essentiel qui aide les professionnels de santé à identifier, évaluer et atténuer les risques associés aux dispositifs médicaux. Cet essai présente les éléments essentiels d'une ADRIA.

Lisez le blog complet sur TechNation.  Cliquez ici

Logo d'Industrial Cyber ​​en haut Image d'un écran de télévision avec une capture d'écran de cet article dessus. Mention retirée : Chronologie du transfert des responsabilités au cours du cycle de vie des dispositifs médicaux

Le livre blanc de l'ISAC sur la santé souligne les responsabilités en matière de cybersécurité dans le cycle de vie des dispositifs médicaux et met l'accent sur la résilience

Écrit par Julia Annaloro on . Publié dans Santé-ISAC, Actualités, Livres Blancs.

 

Health-ISAC a publié un livre blanc abordant les tâches nécessaires pour maintenir la cyber-résilience des dispositifs médicaux et la manière dont les responsabilités peuvent être transférées d'une partie à l'autre tout au long du produit. À mesure que les dispositifs médicaux évoluent dans les différentes phases du cycle de vie, la responsabilité des tâches peut être transférée entre les fabricants et le client. Le livre blanc de Health-ISAC identifie que la communication entre les deux parties est essentielle à mesure que le dispositif évolue dans le cycle de vie afin que les tâches soient coordonnées et que les failles de sécurité au sein du produit soient réduites.

Intitulé « Exploration des rôles de cybersécurité des fabricants et des organisations de soins de santé pendant le cycle de vie des dispositifs médicaux », le livre blanc identifié que Les dispositifs médicaux passent par quatre phases de leur cycle de vie, avec différents niveaux de responsabilité attribués au fabricant du dispositif médical et à l'organisme de prestation de soins de santé. Les organismes de prestation de soins de santé (HDO) devraient effectuer des évaluations des risques plus régulières avant la fin de vie (EOL) et la fin de support (EOS) pour déterminer s'ils peuvent accepter le risque d'une utilisation continue. Il souligne également que la responsabilité du maintien de la posture de cybersécurité d'un dispositif médical évolue tout au long du cycle de vie de l'appareil. 

Lire l'article complet dans Industrial Cyber. Cliquez ici

Exploration des rôles des fabricants et des organisations de santé en matière de cybersécurité tout au long du cycle de vie des dispositifs médicaux

Écrit par Julia Annaloro on . Publié dans Santé-ISAC, Sécurité des dispositifs médicaux, Livres Blancs.

 

TLP : BLANC Ce rapport peut être partagé sans restriction.
Les membres de Health-ISAC doivent s'assurer de télécharger la version complète du rapport à partir du portail de renseignements sur les menaces de Health-ISAC (HTIP)

Jugements clés

  • Les dispositifs médicaux passent par quatre phases de leur cycle de vie, avec différents niveaux de responsabilités confiés au fabricant du dispositif médical et à l'organisme de prestation de soins de santé.

  • Les organismes de prestation de soins de santé devraient effectuer des évaluations des risques plus régulières avant la fin de vie et la fin du support afin de déterminer s'ils peuvent accepter le risque d'une utilisation continue.

  • Le fabricant met en œuvre des catégories de contrôle de sécurité dans la phase de développement pour garantir que l'appareil est sécurisé par conception, sécurisé par défaut et sécurisé par demande.

  • La documentation et la transparence sont essentielles pour maintenir la cybersécurité. Cela comprend la fourniture d'une documentation de sécurité détaillée, d'une nomenclature logicielle (SBOM) et d'une communication claire sur les vulnérabilités et les mises à jour. 

 

Téléchargez ce livre blanc.

Exploration des rôles des fabricants et des organisations de santé en matière de cybersécurité tout au long du cycle de vie des dispositifs médicaux
Taille: 3.2 MB Format: PDF

Introduction

À mesure que les dispositifs médicaux deviennent de plus en plus interconnectés et disposent de capacités de communication Internet et sans fil, la compréhension des étapes du cycle de vie et des tâches nécessaires pour maintenir leur niveau de sécurité aidera les organisations à sécuriser les dispositifs contre les menaces de cybersécurité. Le cycle de vie d'un appareil correspond aux différentes étapes par lesquelles passe un appareil, de la recherche et développement à la commercialisation, en passant par la fin de vie et la fin de support. Au fur et à mesure que les dispositifs médicaux traversent les différentes phases du cycle de vie, la responsabilité des tâches peut être transférée entre les fabricants et le client. La communication entre les deux parties est essentielle au fur et à mesure que l'appareil avance dans le cycle de vie afin que les tâches soient coordonnées et que les failles de sécurité au sein du produit soient réduites.

Ce document explore les tâches nécessaires pour maintenir la cyber-résilience des dispositifs médicaux et la manière dont les responsabilités peuvent passer d'une partie à l'autre tout au long du produit total. La responsabilité du maintien de la posture de cybersécurité d'un dispositif médical évolue tout au long du cycle de vie d'un dispositif. Le processus commence avec le fabricant du dispositif pendant la phase de conception et de développement et peut de plus en plus passer à l'organisme de prestation de soins de santé (HDO) une fois en utilisation clinique. Les principes et pratiques de l'International Medical Device Regulators Forum (IMDRF) pour la cybersécurité des dispositifs médicaux existants décrivent quatre phases du cycle de vie. La Food and Drug Administration (FDA) fournit des exigences pour la cybersécurité des dispositifs médicaux dans les directives avant et après la mise sur le marché. Les fabricants peuvent aborder la cybersécurité d'un dispositif pendant la conception et le développement en utilisant les exigences avant la mise sur le marché. Les exigences après la mise sur le marché sont nécessaires en raison des risques de cybersécurité qui continuent d'évoluer après la mise sur le marché du dispositif médical.

Comment gérer les cyber-risques liés aux dispositifs médicaux – à vie

Écrit par Julia Annaloro on . Publié dans Actualités, Sécurité des dispositifs médicaux.

Des experts proposent des conseils pour gérer les stocks croissants et des ressources pour les fournisseurs

Les directives du HSCC « Health Industry Cybersecurity – Managing Legacy Technology Security » (Cybersécurité du secteur de la santé – Gestion de la sécurité des technologies héritées) ou HIC-MaLTS offrent aux organisations les meilleures pratiques qui peuvent être utilisées pour gérer les cyber-risques des technologies médicales héritées, a déclaré Phil Englert, vice-président de la sécurité des dispositifs médicaux au Health Information Sharing and Analysis Center.

HIC-MaLTS s’attaque aux défis courants de la cybersécurité dans le secteur de la santé. Par exemple, « de nombreux types d’appareils médicaux et les divers lieux dans lesquels ils sont utilisés présentent des profils de risque uniques et incluent des fonctionnalités de diagnostic, de thérapie, de portage, d’implantation et de logiciel médical, entre autres, qui peuvent être utilisées dans les hôpitaux, les cliniques et d’autres environnements de soins de santé non cliniques et à domicile », a-t-il déclaré.

Également dans cet article :

  • Les quatre phases du cycle de vie des dispositifs médicaux
  • Inventaires « vue système » combinés à une segmentation et à des contrôles d’accès au réseau
  • Modèle de contrat du HSCC pour la cybersécurité des technologies médicales 

Lisez l’article dans Healthcare Infosecurity ici. Cliquez ici

Améliorer la cybersécurité dans le secteur de la santé : le rôle de Health-ISAC

Écrit par Julia Annaloro on . Publié dans Actualités, Sécurité des dispositifs médicaux.

La participation à Health-ISAC peut rendre les prestataires de soins de santé moins susceptibles piratages et violations.

 

À l'ère des cybermenaces de plus en plus sophistiquées et répandues, les professionnels de santé sont confrontés à des défis uniques pour protéger les données sensibles des patients et préserver l'intégrité de leurs systèmes. La participation au Centre d'analyse et de partage des informations de santé (Health-ISAC) constitue un outil puissant dans la lutte contre la cybercriminalité. Cette organisation collaborative rend les professionnels de santé moins vulnérables aux piratages et aux violations de données.

L'un des principaux avantages de l'adhésion à Health-ISAC est l'accès à des renseignements sur les menaces en temps réel. Les cybermenaces évoluent rapidement et disposer d'informations actualisées est essentiel pour une défense efficace. Health-ISAC collecte et diffuse des informations sur les menaces émergentes, les vulnérabilités et les vecteurs d'attaque. Ces renseignements permettent aux prestataires de soins de santé de gérer les risques potentiels avant que des acteurs malveillants ne puissent les exploiter proactivement. Par exemple, si une nouvelle souche de rançongiciel est détectée ciblant les systèmes de santé, Health-ISAC peut alerter rapidement ses membres, leur fournissant des détails sur la menace et des recommandations de stratégies d'atténuation. Cette diffusion rapide d'informations peut faire la différence entre un incident mineur et une violation majeure.

La cybersécurité n’est pas une entreprise solitaire.

Lisez le blog complet de Phil Englert, vice-président de la sécurité des dispositifs médicaux chez Health-ISAC, dans TechNation. Cliquez ici

IA, ransomware et dispositifs médicaux : protéger les soins de santé

Écrit par Julia Annaloro on . Publié dans Actualités.

Podcast Cyber ​​Focus de l'Institut McCrary

L'animateur Frank Cilluffo interviewe Errol Weiss, responsable de la sécurité au Centre d'analyse et de partage des informations sur la santé (Health ISAC).

Ils discutent des défis de cybersécurité en constante évolution dans le secteur de la santé, notamment les ransomwares, les vulnérabilités de la chaîne d'approvisionnement et le besoin crucial de meilleures mesures de sécurité pour protéger les dispositifs médicaux et les données des patients. Weiss partage les enseignements tirés de sa vaste expérience en cybersécurité dans les domaines de la santé et des services financiers, en soulignant les leçons apprises, le rôle du partage d'informations et l'importance de mesures proactives pour atténuer les risques.

Écoutez le podcast sur YouTube Cliquez ici

Sujets abordés :

  • Santé et ransomware

  • Pannes dans les hôpitaux

  • Cyberbudgets santé

  • Sécurité et conformité

  • Leçons de FS

  • Technologie future

  • Dispositifs médicaux

  • Partage d'informations intersectorielles

  • Mesures pratiques pour la sécurité