Upload
cyrille-michaud
View
163
Download
1
Embed Size (px)
Citation preview
www.md101consulting.com
01/05/2023 MD101 Consulting 2
Rendons à César
• Le prix Turing va aux deux inventeurs de la cryptographie à clé publique:
• Whitfield Diffie and Martin Hellman
www.md101consulting.com
01/05/2023 MD101 Consulting 3
Acteurs de la Cybersécurité
Cybersécurité
Cyber criminels
Fabricants de DM
Fournisseurs d’infras et IT
Organisations Gvt
Hôpitaux, libéraux
www.md101consulting.com
01/05/2023 MD101 Consulting 4
Réglementation
Europe
93/42/CE
95/46/CE
EU (futur)
MDR
GPDR / NIS
USA
21 CFR
HIPAA / HITECH
www.md101consulting.com
01/05/2023 MD101 Consulting 5
La réglementation des DM
• Directive 93/42 CEE• Exigences essentielles
– Sécurité électrique, mécanique, …– ICI : Sécurité informatique?
• Nouveau règlement 2016
• Etat de l’art?– IEC 62304 norme harmonisée
www.md101consulting.com
01/05/2023 MD101 Consulting 6
Obligations
• Reponsabilité du fabricant
• Sécurité inhérente à la conception– Safety and privacy by design
• Publication des incidents
www.md101consulting.com
01/05/2023 MD101 Consulting 7
La jungle des normes en matière de sécurité
IEC/TR 80002-1IEC 80001-1-7
IEC 80001-2-8
IEC 80001-2-1 IEC 80002-3
IEC 62443-1-1IEC 62443-2-1
IEC 62443-3-1 IEC/TR 62443-3-1ISO 27001 ISO 27002
ISO 27003 ISO 27004ISO 27005
www.md101consulting.com
01/05/2023 MD101 Consulting 8
Cybersécurité et cycle de vie du DM
Début
Conception, développement Tests, Validation Mise sur lemarché
Analyse de Risques
Surveillance analyse de
risques
Surveillance post-marchéFin de vie
www.md101consulting.com
01/05/2023 MD101 Consulting 9
Approche de la FDA
Identify Protect Detect Respond Recover
www.md101consulting.com
01/05/2023 MD101 Consulting 10
Conception développement
• Méthodologie basée sur NSIT Cybersecurity
• Similaire à méthodologie ANSSI
www.md101consulting.com
01/05/2023 MD101 Consulting 11
Surveillance post-marché
• Information de post-production
• Information Sharing Analysis Organizations
• Surveillance des SOUP
• Encore draft
www.md101consulting.com
01/05/2023 MD101 Consulting 12
Analyse de risques
• Cause / Evt initiateur– Accès non autorisé, falsification, attaque
• Phénomème dangereux– Perte/accès données, perte fonction, ranson
• Dommage– Atteinte sécurité patient/personnes/infras– Divulgation données
• Probabilité = 100% ?