Santé-Piratage du système de santé par l'ISAC 10/6/2023

Bon retour à Le piratage des soins de santé™

Sommet européen Santé-ISAC

Le Health-ISAC souhaite rappeler aux membres qu’il est encore temps de s’inscrire au prochain Sommet européen de 2023. L’événement se tiendra à Dubrovnik, en Croatie, du 17 au 19 octobre. Pour ceux qui souhaitent en savoir plus sur l’intelligence artificielle responsable ou obtenir une mise à jour sur NIS2, veuillez envisager de vous inscrire avant la date limite du 12 octobre.

Link: https://web.cvent.com/event/3e5fb53c-28a0-4d5d-ad1b-7b82eb63d4ce/summary

Exercice de loisir Santé-ISAC 2023

Le Health-ISAC a le plaisir d'annoncer la quatrième édition de notre Hobby Exercise Americas le 25 octobre à Washington DC. Le Hobby Exercise est un événement annuel du secteur de la santé et de la santé publique (HPH) conçu pour mobiliser le secteur de la santé et les partenaires stratégiques sur les défis importants en matière de sécurité et de résilience. L'objectif principal est d'informer et de fournir des opportunités d'amélioration organisationnelle continue tout en augmentant la résilience du secteur de la santé.

Les membres qui souhaitent en savoir plus ou exprimer leur intérêt à participer doivent visiter le lien d'inscription suivant : https://portal.h-isac.org/s/community-event?id=a1Y7V00000VJ560UAD

La FDA publie des directives actualisées sur la cybersécurité des dispositifs médicaux 

Le 26 septembre, la FDA a publié ses directives définitives sur la cybersécurité des dispositifs médicaux. Intitulé, Cybersécurité dans les dispositifs médicaux : considérations relatives au système qualité et contenu des soumissions préalables à la mise sur le marché,[I] le document de 57 pages met à jour et remplace les directives existantes, Contenu des soumissions de précommercialisation pour la gestion de la cybersécurité dans les dispositifs médicaux, de 2014. Examinons les raisons de cette nouvelle orientation, le contenu auquel s'attendre et ce que les membres de Health-ISAC pourraient envisager de faire en réponse à celle-ci.

Présentation

La justification de la FDA pour la mise à jour des directives incluait notamment l'augmentation des dispositifs médicaux et de l'échange électronique d'informations de santé liées aux dispositifs médicaux, ainsi que les cybermenaces plus fréquentes et plus graves pour le secteur de la santé, qui pourraient toutes entraîner des préjudices pour les patients si elles ne sont pas traitées de manière adéquate.[Ii]

Il prend également en compte les nouvelles obligations des fabricants de dispositifs médicaux qui découlent de l’adoption de l’article 3305 de la loi de crédits consolidés de 2023.[Iii] L’article 3305 définit les exigences en matière de cybersécurité pour diverses demandes et soumissions liées au sous-chapitre A du chapitre V de la loi fédérale sur les aliments, les médicaments et les cosmétiques (FD&C Act). Bien que les nouvelles directives de la FDA ne soient pas spécifiques à l’article 3305, « les recommandations [des nouvelles directives] visent à aider les fabricants à respecter [ces] obligations ».[Iv] Coïncidence ou non, ces nouvelles directives mises à jour ont été publiées quelques jours avant l'intensification attendue par la FDA de l'application des nouvelles règles figurant dans la section 3305, qui sont techniquement entrées en vigueur il y a plusieurs mois.[V]

Les directives mises à jour visent à compléter d’autres directives existantes en matière de cybersécurité des dispositifs médicaux, notamment :

• – Orientations post-commercialisation en matière de cybersécurité[Vi]
• – Cybersécurité des dispositifs médicaux en réseau contenant des logiciels prêts à l’emploi (OTS)[Vii]
• – Contenu des demandes de pré-commercialisation pour les fonctions logicielles des appareils[Viii]

Menu

En plus de mettre en évidence les principes généraux, les directives mises à jour reflètent les nouvelles réalités décrites ci-dessus en insistant particulièrement sur « l’importance de garantir que les appareils sont conçus de manière sécurisée et sont conçus pour être capables d’atténuer les risques émergents en matière de cybersécurité tout au long du cycle de vie total du produit (TPLC) ».[Ix] Cette approche TPLC est particulièrement illustrée par les recommandations relatives à la conception sécurisée et à l’utilisation d’un cadre de développement de produits sécurisés (SPDF), que le guide décrit comme « un ensemble de processus qui réduisent le nombre et la gravité des vulnérabilités des produits tout au long du cycle de vie de l’appareil ».[X]

La section sur la mise en œuvre d’un SPDF est la plus longue du document et comprend des détails sur sa relation avec la gestion des risques de sécurité, l’architecture de sécurité et les tests de cybersécurité. La FDA ne préconise aucun cadre spécifique, notant plutôt que les organisations doivent faire preuve de souplesse pour appliquer ce qui convient à leur situation particulière. Cependant, les directives fournissent le National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity (NIST CSF), « le cadre spécifique aux dispositifs médicaux que l’on peut trouver dans le Medical Device and Health IT Joint Security Plan (JSP) et la norme IEC 81001-5-1 », comme exemples qui peuvent s’aligner sur les réglementations nécessaires.[xi]

Action et analyse
**Disponible avec l'adhésion à Health-ISAC**

Congrès

Le mardi 3 octobre

Aucune réunion pertinente

Wednesday, Octobre 4

Aucune réunion pertinente

Le jeudi 5 octobre

Aucune réunion pertinente

International Audiences/Réunions

Aucune réunion pertinente

À propos de l’auteur

Le piratage des soins de santé est co-écrit par John Banghart et Tim McGiff.

John Banghart a été conseiller principal sur les incidents de cybersécurité et la préparation à ces incidents et a dirigé les efforts du Conseil national de sécurité pour faire face aux incidents de cybersécurité importants, notamment ceux survenus à l'OPM et à la Maison Blanche. John est actuellement directeur principal des services de cybersécurité chez Venable. Il a notamment été directeur de la cybersécurité fédérale au Conseil national de sécurité, conseiller principal en cybersécurité pour les Centers for Medicare and Medicaid Services, chercheur en cybersécurité et expert en politique au National Institute of Standards and Technology (NIST) et au Bureau du sous-secrétaire au commerce pour les normes et la technologie.

Tim McGiff est actuellement responsable du programme de services de cybersécurité chez Venable, où il coordonne l'exercice annuel Hobby du Health-ISAC et fournit des mises à jour juridiques et réglementaires pour le briefing mensuel sur les menaces du Health-ISAC.

Vous pouvez joindre John au jbanghart@h-isac.org et jfbanghart@venable.com.
Vous pouvez joindre Tim à tmcgiff@venable.com.