Protéger les patients contre les risques potentiels pour la cybersécurité liés aux instruments médicaux

La ligne directrice de Santé Canada décrit comment les entreprises qui produisent et vendent des instruments médicaux au Canada doivent prévoir des mesures de protection

26 juin 2019                       Ottawa (Ontario)                   Santé Canada

Les Canadiens veulent avoir accès aux instruments médicaux les plus avancés sur le plan technologique et s’attendent à ce qu’ils soient aussi sûrs que possible. Si l’idée que des instruments médicaux pourraient être utilisés pour causer un préjudice intentionnel semble relever de la science-fiction, le risque est en fait suffisamment réel pour justifier que des précautions soient prises par les organismes de réglementation des instruments médicaux.

Afin de mieux protéger les Canadiens contre ce risque, Santé Canada a publié la ligne directrice Exigences relatives à la cybersécurité des instruments médicaux avant leur mise en marché dans le but d’assurer la sécurité des patients. La nouvelle ligne directrice indique comment et quand mettre en œuvre des stratégies pour réduire les risques associés aux instruments médicaux munis de logiciels et de technologies permettant la communication avec des réseaux externes.

Les technologies médicales évoluent rapidement. Beaucoup d’appareils et d’applications reposent sur des programmes et des interfaces informatiques, ainsi que sur des connexions réseau pour fonctionner correctement et interagir avec les patients et les soignants. Or, cette capacité à se connecter à des réseaux externes présente des vulnérabilités potentielles qui doivent être réduites au minimum pour protéger la sécurité des patients.

Bien qu’il n’y ait pas eu de rapports ou de preuves laissant supposer que des préjudices directs ont été causés aux patients dans des situations réelles, les experts et les chercheurs en cybersécurité ont démontré que des manipulations seraient possibles si des mesures particulières de sécurité ne sont pas appliquées.

Selon les nouvelles exigences de la ligne directrice, qui entreront en vigueur immédiatement, il faudra prévoir des mesures de protection, comme des mots de passe, pour empêcher toute manipulation non autorisée. Dans plusieurs cas, des précautions cybersécuritaires telles que des mots de passe ou des communications protégées ont été intégrées dans certains types d’instruments médicaux pendant des années. Toutefois, les fabricants d’instruments médicaux devront dorénavant considérer la cybersécurité pour tous les produits qu’ils manufacturent. Santé Canada mettra à jour la ligne directrice au besoin pour tenir compte des changements dans la conception et la fonction des instruments médicaux.

Cette ligne directrice s’inscrit dans la foulée des travaux réalisés dans le cadre du Plan d’action de Santé Canada sur les instruments médicaux. Ce plan décrit une stratégie en trois temps visant à améliorer encore plus la manière dont les instruments médicaux sont mis en marché, à renforcer la surveillance et le suivi des instruments déjà employés et à fournir aux Canadiens plus de renseignements sur les instruments médicaux dont ils ont besoin.