La cybersécurité dans la norme IEC 62304
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
La cybersécurité est explicitement abordée dans le projet de norme internationale IEC 62304 ED2.
Une deuxième version du document préparatoire a été soumise au vote en janvier 2021. Par rapport à la version précédente, cette nouvelle version traite plus amplement de cybersécurité.
Pourquoi cette évolution ? Quelles seront les implications de la prise en compte de la cybersécurité dans la nouvelle version de la norme IEC 62304 ?
Définition de cybersécurité dans la norme IEC 62304
La notion de cybersécurité est abordée timidement dans la norme IEC 62304:2006.
En effet, le terme "cybersécurité" n'est pas employé explicitement. Néanmoins, la notion de cybersécurité est couverte à travers la notion de sûreté du logiciel dont la définition proposée est la suivante :
SURETE
Protection des informations et des données de sorte que des personnes ou des systèmes non autorisés ne puissent les lire ou les modifier et que l'accès à ces informations et données ne soit pas refusé à des personnes ou des systèmes autorisés
Source : Norme CEI EN 62304:2006
Dans le cadre du projet de norme internationale IEC 62304 ED2, le terme "cybersécurité" fait son apparition dans la deuxième version du document préparatoire. Il est utilisé comme synonyme du terme "sûreté" avec la définition suivante :
SURETE
CYBERSECURITE
Etat de protection des informations et des systèmes contre les activités non autorisées, telles que l'accès, l'utilisation, la divulgation, l'interruption, la modification ou la destruction, à un degré auquel les risques associés pour la confidentialité, l'intégrité et la disponibilité sont maintenus à un niveau acceptable tout au long du cycle de vie
Source : Projet de norme IEC 62304 ED2 diffusé en janvier 2021
L'utilisation du terme "cybersécurité" dans ce projet de norme internationale va de pair avec une évolution des exigences de cybersécurité des logiciels (de) dispositifs médicaux.
Evolution des exigences de cybersécurité dans la norme IEC 62304
Dans le cadre de la norme IEC 62304:2006, on trouve la notion de cybersécurité du logiciel
- dans le point 5.2.2, qui traite de la teneur des exigences du logiciel, et
- dans le point 9.1, qui traite de l'élaboration des rapports de problème du logiciel.
Le but est de forcer la prise en compte de considérations de cybersécurité dans les exigences de logiciel (de) dispositif médical et de fournir un exemple d'évaluation de la criticité d'un problème logiciel.
Dans le projet de norme IEC 62304 ED2, l'exigence de cybersécurité des logiciels (de) dispositifs médicaux s'accentue.
Le tableau ci-dessous montre l'évolution de prise en compte de la cybersécurité par la norme IEC 62304 avec les deux versions du projet de norme internationale IEC 62304 ED2 diffusées jusqu'à maintenant.
Section du document
2006
Projet IEC 62304 ED2
2019
2021
Avant propos
Introduction
4.2 Gestion des risques
4.4.2.2 Détermination des défaillances logicielles potentielles qui peuvent contribuer à une situation dangereuse
4.5.2 Activités de gestion de risques (de logiciel hérité)
5.2.2 Contenu des exigences du logiciel
7.1.2 Identification des causes potentielles de contribution à une situation dangereuse
9.1 Elaboration des rapports de problème
Cybersécurité ou sureté prise en compte
Cybersécurité ou sureté non prise en compte
Section inexistante
Ce tableau met en évidence que les considérations de cybersécurité sont accentuées à deux grands niveaux des logiciels (de) dispositifs médicaux :
- le classement de sécurité du logiciel (point 4.4.2.2 du projet de norme internationale IEC 62304 ED2) et
- le processus de gestion des risques du logiciel (point 7.1.2 de la norme).
Cette évolution est en accord avec l'augmentation des cyberattaques de centres de santé que l'on constate depuis quelques années dans le monde occidental.
Elle place la cybersécurité du logiciel (de) dispositif médical à un niveau essentiel de la conception du logiciel : son classement de sécurité.
Implications pour les fabricants de dispositifs médicaux
Le projet de norme IEC 62304 ED2 aboutira probablement à une nouvelle version de la norme harmonisée IEC EN 62304.
Dès lors, les exigences prévues par ce projet de norme internationale seront applicables aux logiciels (de) dispositifs médicaux commercialisés dans l'Union Européenne.
Parmi les points importants dans les évolutions prévues par ce projet de norme, on remarque l'introduction de considérations de cybersécurité pour le classement de sécurité du logiciel (de) dispositif médical.
En d'autres termes, le classement de sécurité d'un logiciel (de) dispositif médical serait fonction
- des conséquences possibles des dysfonctionnements potentiels du logiciel et
- des conséquences possibles d'une cyberattaque du logiciel.
Etant donné le coût de maintenance d'un logiciel (de) dispositif médical, il semble judicieux de tenir compte de ces considérations dans la phase de conception architecturale des projets logiciels (de) dispositifs médicaux à lancer dans un proche avenir.
Pour en savoir plus
La cybersécurité des dispositifs médicaux a fait l'objet d'un guide publié par l'Union Européenne.
Outre les considérations de cybersécurité, le projet de norme IEC 62304 ED2 prévoit aussi une évolution du domaine d'application de la norme.