Conseil en gouvernance de cybersécurité pour un fabricant de dispositifs médicaux

Conseil en gouvernance de cybersécurité pour un fabricant de dispositifs médicaux

Contexte & challenges

Notre client est actif dans le secteur des soins de santé, avec plus de 3 300 employés dans le monde entier, qui opère dans divers domaines d’activité et, dans notre cas, dans la fabrication de dispositifs médicaux. Pour chaque projet et pour chaque produit lancé sur un marché ou dans un pays spécifique, notre client devait gérer tous les aspects de la réglementation en matière de cybersécurité et de protection des données, par le biais de processus définis et conformes.

Chaque année, les marchés américain, canadien, australien, japonais et européen doivent se soumettre à l’audit du Medical Device Single Audit Program (MDSAP). L’absence d’un programme de cybersécurité dans leur système de gestion de la qualité lié à la certification ISO 13485 a entraîné l’impossibilité de passer l’audit et a mis en danger leur accréditation pour continuer à fabriquer des dispositifs médicaux.

Dans un contexte où les cyberattaques visent de plus en plus les installations et les appareils médicaux, il devient nécessaire de rassurer les clients sur le fait que les appareils ne seront pas des points d’entrée pour les pirates potentiels. Cela a conduit le client à demander notre soutien pour combler son déficit de compétences en matière de sécurité et pour l’aider à mettre en œuvre un programme de gouvernance de la cybersécurité.

Notre approche

Un expert en matière de gouvernance de la cybersécurité a été impliqué pour gérer la gouvernance et les processus. Une PME technique de cybersécurité a coordonné ces derniers au niveau technique pour s’assurer qu’ils étaient correctement mis en place dans les logiciels et matériels fabriqués.

Les étapes de la mise en place d’un programme de gouvernance de la cybersécurité impliquaient :

Avec l’aide de nos experts, notre client a pu définir, établir et mettre en œuvre toutes les activités et tous les processus nécessaires à la gestion des risques, au respect des lois des différents marchés (Suisse, Europe, États-Unis, Canada, etc.) et à la gouvernance de la cybersécurité/protection des données.

Les normes et réglementations telles que le cadre du NIST, la GDPR, les directives de la FDA en matière de cybersécurité, la HIPAA, le MDR EU, le MDCG, la PIPEDA, l’ISO 2700X, etc. ont été utilisées et appliquées de manière adéquate.

Bénéfices

Tout en améliorant de manière conviviale les mesures de sécurité pour faire face aux risques liés à la cybersécurité et à la protection des données, notre client a développé une culture et des comportements de sécurité de l’information tout au long de ses activités et dans tout le cycle de vie des dispositifs médicaux qu’il fabrique.

Plus important encore, notre client a pu définir une stratégie de cybersécurité et de protection des données, établir et mettre en œuvre un système de gestion de la cybersécurité, et assurer en permanence la gestion correcte de toutes les exigences de cybersécurité au sein de l’organisation, et dans le monde entier.

En outre, notre expert en gouvernance de la cybersécurité a été audité avec succès par le MDSAP car aucune non-conformité n’a été déclarée.