Focus sur deux nouveaux référentiels en matière de cybersécurité
Partager l'article



*


Informations sur la gestion de vos données




Focus sur deux nouveaux référentiels en matière de cybersécurité

 

Article rédigé le 11 octobre 2022 par Céline Cadoret

 

La cybersécurité est au cœur de l’actualité, comme en témoigne la récente attaque par ransomware du Centre hospitalier sud francilien (CHSF). Le Cybermoi/s est ainsi l’occasion d’évoquer deux référentiels en matière de cybersécurité qui viennent tout juste de sortir : le projet de règlement européen Cyber Resilience Act et les recommandations de l’Agence Nationale de Sécurité du Médicament (ANSM) en matière de cybersécurité des dispositifs médicaux intégrant du logiciel et que nous allons étudier dans cet article.

 

Le projet de règlement européen Cyber Resilience Act

Le 15 septembre 2022, la Commission européenne a publié un projet de règlement européen relatif aux exigences de cybersécurité applicables aux produits comportant des éléments numériques, appelé la « loi sur la cyberrésilience » ou « Cyber Resilience Act ».

Ce projet fait suite à la volonté de la Commission européenne que soit développée une cyberdéfense européenne et que l’Union européenne investisse de manière substantielle pour faire face aux menaces de cyberattaques, et notamment celles de grande ampleur. A ce titre, elle évoque dans un communiqué sur son site internet qu’elle estime que « l’UE, ses États membres et les acteurs privés pourraient investir jusqu’à 4,5 milliards d’euros sur la période 2021-2027 dans le développement et le déploiement des technologies de cyber-sécurité ».

Selon le champ d’application prévu au sein de l’article 2, ce nouveau projet de règlement européen s’applique aux produits comportant des éléments numériques dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte de données logiques ou physiques à un appareil ou à un réseau. Le projet de Cyber Resilience Act ne s’applique toutefois pas aux produits comportant des éléments numériques qui sont considérés comme étant des dispositifs médicaux (DM) ou des dispositifs de diagnostics médicaux in vitro (DMDIV) au sens du règlement (UE) 2017/745 et du règlement (UE) 2017/746.

Les produits comportant des éléments numériques visés par ce projet de règlement sont définis dans ce projet de règlement européen comme « tout produit logiciel ou matériel et ses solutions de traitement des données à distance, y compris les composants logiciels ou matériels devant être mis sur le marché séparément ».

Comme pour le projet de règlement européen sur l’intelligence artificielle proposé en avril 2021 par la Commission européenne, le projet de Cyber Resilience Act prévoit que les fabricants de tels produits devront procéder à une évaluation de leur conformité aux exigences essentielles de cybersécurités listées dans une annexe 1 à ce projet de règlement.

L’article 10 prévoit à ce titre que les fabricants de ces produits devront notamment réaliser une évaluation des risques et prendre en compte le résultat de cette évaluation pendant les phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit comportant des éléments numériques. On retrouve ainsi cette exigence de « security by design » qui commence à être familière des lecteurs des règlements européens concernant les usages des données (RGPD, projet de règlement sur l’intelligence artificielle…).

A l’instar du projet de règlement sur l’intelligence artificielle également, le Cyber Resilience Act prévoit un système d’organismes notifiés en charge de délivrer les certificats de conformité (chapitre IV). En cas de fourniture d’informations incorrectes, incomplètes ou trompeuses à ces organismes notifiés ou aux autorités de surveillance de marchés, les fabricants pourraient d’ailleurs encourir une sanction administrative pouvant aller jusqu’à 5 000 000 euros ou 1% du chiffre d’affaires annuel mondial total pour des entreprises, le montant retenu étant le plus élevé (article 53.3).

A côté de cette évaluation de la conformité, ce projet de règlement prévoit aussi un certain nombre d’obligations à l’égard des fabricants de ces produits, par exemple l’obligation de fournir une documentation technique et d’informer les utilisateurs finaux sur le niveau de sécurité de ces produits mis sur le marché.

Le Cyber Resilience Act va être adopté selon la procédure législative ordinaire après avoir été approuvé à la fois par le Parlement européen et le Conseil de l’Union européenne via une série de lectures, avant que ce dernier ne puisse être intégré dans le droit de l’Union européenne. Donc ce n’est pas pour tout de suite !

Outre ce nouveau projet de règlement européen, l’Agence Nationale de Sécurité du Médicament (ANSM) en France a également publié récemment des recommandations en matière de cybersécurité qui cette fois, concernent les logiciels considérés comme des dispositifs médicaux ou des dispositifs médicaux de diagnostics in vitro. Contrairement au projet de règlement européen Resilience Act, les recommandations de l’ANSM n’ont en revanche pas de valeur contraignante.

 

Les recommandations de l’ANSM pour la cybersécurité des dispositifs médicaux intégrant du logiciel

L’ANSM a publié un guide de recommandations relatives à la cybersécurité des dispositifs médicaux (DM) et des dispositifs médicaux de diagnostic in vitro (DMDIV) intégrant du logiciel au cours de leur cycle de vie le 23 septembre 2022.

En particulier, ce guide vise les logiciels dispositifs médicaux et les logiciels dispositifs médicaux connectés. En effet, de plus en plus de logiciels sont proposés à titre de solutions médicales et peuvent faire l’objet d’un marquage de conformité au Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux et au Règlement (UE) 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro.

Fruit d’un long travail depuis 2017 par un groupe composé d’experts dans ce domaine, ce guide propose soixante-huit recommandations en matière de cybersécurité et évoque des référentiels déjà érigés en la matière tels que le Référentiel Général de Sécurité (RGS), les recommandations de l’ANSSI, les méthodes EBIOS et MEHARI ou encore la norme ISO 2005.

A titre d’exemple, la recommandation n°10 au sein de ce document prévoit qu’une gestion fine des habilitations en fonction des rôles/profils et des différentes fonctions au sein du logiciel (fonction d’export, de mise à jour etc.) soit intégrée dès la conception de ces dispositifs médicaux. Cette exigence pourrait ainsi éviter que des professionnels non considérés comme faisant partie de l’équipe de soins du patient (article L.1110-4 du CSP) puissent accéder à des données d’autres patients par exemple. Sur ce sujet, l’autorité de contrôle italienne compétente en matière de protection des données a récemment infligé une sanction de 70 000 euros à l’encontre d’un établissement de santé pour avoir permis aux professionnels non impliqués dans le processus de traitement d’accéder aux dossiers médicaux des patients.

Ce guide rappelle notamment que la sécurité est l’affaire de tous et que « Le développement des objets à usage médical connectés ainsi que le déploiement de la télémédecine représentent les principaux nouveaux facteurs de risques ». et qu’ « Il devient donc essentiel que les fabricants de dispositifs médicaux aient la capacité d’intégrer, dès la conception de leurs produits, des processus de base et des exigences relatives aux produits permettant de garantir un niveau minimum de sécurité face à la malveillance informatique ». On retrouve encore ici cette exigence de « security by design ».

Néanmoins, ce document n’a pas de valeur normative et n’est donc en conséquent pas opposable aux fabricants de dispositifs médicaux intégrant du logiciel. Se pose ainsi la question de la place du droit souple et de son application ? A ce sujet, la CNIL a par exemple estimé dans sa délibération SAN-2022-018 du 8 septembre 2022, prononçant une sanction de 250 000 euros à l’encontre du Groupement d’intérêt économique (GIE) Infogreffe, que « le guide de la CNIL relatif à la sécurité des données à caractère personnel et la note technique de l’ANSSI relative aux mots de passe cités dans les écrits du rapporteur n’ont certes pas de caractère impératif, ils exposent toutefois les précautions élémentaires de sécurité correspondant à l’état de l’art » et qu’elle retient « un manquement aux obligations découlant de l’article 32 du RGPD et non du non-respect des recommandations, qui constituent au demeurant un éclairage pertinent pour évaluer les risques et l’état de l’art en matière de sécurité des données à caractère personnel ».

Pour conclure, dans le cadre de sa stratégie européenne de cybersécurité, la Commission européenne souhaite établir de plus en plus de règles communautaires et harmonisées en la matière.

Outre au niveau européen, Guillaume Poupard, Directeur Général de l’ANSSI a évoqué à l’occasion d’un webinaire dans le cadre de ce cybermoi/s que « la cybersécurité mérite d’être une grande cause nationale ». Les récentes recommandations de l’ANSM démontrent une fois de plus cette vigilance de sécurité dans la mise en œuvre ou le recours à dispositifs médicaux intégrant du logiciel.

Ainsi, il est constant que les questions de cybersécurité sont plus que d’actualité de nos jours et c’est une bonne chose d’avoir de nombreux référentiels en la matière, mais encore faudrait-il que les établissements de santé puissent avoir réellement les moyens de mettre en œuvre ces nombreuses mesures ou du moins, au moins celles déjà prévues par l’ instruction ministérielle n°SG/DSSIS/2016/309 du 14 octobre 2016  relative à la mise en œuvre d’un plan d’action sur la sécurité des systèmes d’information dans ces établissements.

 

Céline Cadoret a rejoint le pôle santé numérique du Cabinet Houdart et Associés en 2021.

Avant de rejoindre le cabinet, elle a travaillé dans différentes structures lui permettant d’acquérir des compétences notamment en droit du numérique, en propriété intellectuelle et en droit des contrats.

Désormais, elle accompagne les acteurs de la santé publics ou privés pour leur porter conseil et assistance sur ces sujets et notamment sur :

La mise en conformité à la règlementation sur la protection des données à caractère personnel (audits, formations, rédaction de documentations liées au principe d’accountability, négociation et rédaction de DPA et de contrats de responsabilité conjointe, formalités en matière de recherche en santé…) ;
La rédaction et la négociation de contrats informatiques (contrat de logiciel, d’infogérance, d’hébergement de données de santé à caractère personnel…) ou de recherche et d’innovation (contrat de collaboration de recherche scientifique, contrat de prestation technique…) ;
Les problématiques juridiques en matière de propriété intellectuelle (droits d’auteur, droit des marques, droit des bases de données…).