5 mars 2013

Les normes ISO 14971 et ISO 27005

ISO-27005

Les deux normes présentent une approche de la gestion du risque avec une finalité différente : la norme 14971:2013 présente les risques d’usage des dispositifs médicaux tandis que la norme 27005:2008 présente les risques pesant sur les informations. Les liens entre les risques matériels et immatériels (données de santé) semblent intéressants pour répondre à certains enjeux de la sécurité de l’information de santé.

 

Entre les cas de propagation virale comme « Conficker » dans les établissements de santé [1], les récents exploits permettant de tuer un patient en piratant son pacemaker [2], et la forte évolution de la e-santé et de la télémédecine, le besoin de sécurité des appareils médicaux connectés n’est plus à démontrer. De multiples travaux ont été rédigés sur le sujet dont des recommandations de l’association française des ingénieurs biomédicaux [3] ou encore les interventions du FSSI sur le « hacking » des dispositifs biomédicaux lors des assises de la sécurité (2012), mais il y a peu de littérature concernant un éventuel rapprochement entre ces deux normes.

Il est évoqué dans les prérequis de la norme ISO 14971 que les parties prenantes de l’analyse de risques doivent connaître les composants de l’appareil médical, son fonctionnement, ses conditions d’utilisation… Cette norme s’adresse donc plus particulièrement aux fournisseurs qui souhaitent proposer des appareils médicaux dont le fonctionnement et le cycle de vie est optimisé et sécurisé. A noter que cette analyse peut également inclure, dans son périmètre, les interactions avec d’autres dispositifs médicaux et qu’elle est “compatible” avec la norme ISO 27005 ce qui facilite l’adaptation des risques au contexte de l’établissement de santé.

En prenant pour exemple l’incident des sur-irradiés d’Epinal [4], on constate que l’analyse à posteriori est parfois difficile. Ceci est d’autant plus renforcé par la méconnaissance du fonctionnement de certains appareils médicaux mais aussi et surtout par l’ignorance des résultats d’une telle analyse de risques sur les dispositifs.

C’est alors que l’approche transversale du risque devient intéressante. Pour analyser en détails les risques informationnels (biens immatériels) liés à l’usage d’un appareil médical particulier (biens supports), nous avons besoin de faire des recoupements de tous ces éléments pour évaluer et classer la sensibilité de l’information. L’existence d’une analyse de risque 14971 est donc un bon outil pour aider le RSSI dans l’approbation et la validation d’une nouvelle technologie au sein de sa structure de soins. Cela génère en effet un gain en efficacité et en pertinence (proximité avec le risque métier) dans l’appréciation des risques pesant sur l’information de santé, notamment sur les critères de disponibilité, d’intégrité et de traçabilité de l’information.

De la même manière qu’il serait possible de “mutualiser” certains risques métiers avec les risques informationnels (ex : informatisation du circuit du médicament), il peut être intéressant pour les RSSI des établissements de santé de pouvoir disposer des risques matériels insérés par les dernières technologies de télémédecine afin d’adapter le niveau de sécurité des informations qui transiteront par ces dispositifs. En retour, il serait possible de créer un référentiel de mesures de sécurité applicable pour les fournisseurs de matériels médicaux connectés.

 

NB : la norme ISO 14971 a été publié en 2007 et édité en version française NF EN ISO 14971 en janvier 2013.

 


[1] http://www.ticsante.com/show.php?page=story&id=495

[2] http://bigbrowser.blog.lemonde.fr/2012/10/24/coeur-a-prendre-un-hacker-parvient-a-pirater-un-pacemaker/

[3]http://www.afib.asso.fr/_documents/exigences_de_securites_des_systemes_d_information_.pdf

[4] http://fr.wikipedia.org/wiki/Affaire_des_surirradiés_de_l’hôpital_d’Épinal

2 Comments on “Les normes ISO 14971 et ISO 27005

Les normes ISO 14971 et ISO 27005 | Dispositifs...
17 octobre 2013 chez 16 h 21 min

[…] Les deux normes présentent une approche de la gestion du risque avec une finalité différente : la norme 14971:2013 présente les risques d’usage des dispositifs médicaux tandis que la norme 27005:2008 présente les risques pesant sur les informations. Les liens entre les risques matériels et immatériels (données de santé) semblent intéressants pour répondre à certains enjeux de la sécurité de l’information de santé.  […]

Répondre

[…] les cas de propagation virale comme « Conficker » dans les établissements de santé [1], les récents exploits permettant de tuer un patient en piratant son pacemaker [2], et la forte […]

Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *