- Cybersecurity Governance
- Risk Management
- Conformité
- Cybersecurity Management System
- Medical Devices Standards & Regulations
Contexte & challenges
Notre client est actif dans le secteur des soins de santé, avec plus de 3 300 employés dans le monde entier, qui opère dans divers domaines d’activité et, dans notre cas, dans la fabrication de dispositifs médicaux. Pour chaque projet et pour chaque produit lancé sur un marché ou dans un pays spécifique, notre client devait gérer tous les aspects de la réglementation en matière de cybersécurité et de protection des données, par le biais de processus définis et conformes.
Chaque année, les marchés américain, canadien, australien, japonais et européen doivent se soumettre à l’audit du Medical Device Single Audit Program (MDSAP). L’absence d’un programme de cybersécurité dans leur système de gestion de la qualité lié à la certification ISO 13485 a entraîné l’impossibilité de passer l’audit et a mis en danger leur accréditation pour continuer à fabriquer des dispositifs médicaux.
Dans un contexte où les cyberattaques visent de plus en plus les installations et les appareils médicaux, il devient nécessaire de rassurer les clients sur le fait que les appareils ne seront pas des points d’entrée pour les pirates potentiels. Cela a conduit le client à demander notre soutien pour combler son déficit de compétences en matière de sécurité et pour l’aider à mettre en œuvre un programme de gouvernance de la cybersécurité.
Notre approche
Un expert en matière de gouvernance de la cybersécurité a été impliqué pour gérer la gouvernance et les processus. Une PME technique de cybersécurité a coordonné ces derniers au niveau technique pour s’assurer qu’ils étaient correctement mis en place dans les logiciels et matériels fabriqués.
Les étapes de la mise en place d’un programme de gouvernance de la cybersécurité impliquaient :
- Mettre en place le processus de gestion des risques de cybersécurité en identifiant les exigences réglementaires du secteur d’activité.
- Identifier les vulnérabilités techniques (par des tests de pénétration), les vulnérabilités de non-conformité, les vulnérabilités liées au contexte du dispositif (c’est-à-dire à l’intérieur de l’environnement hospitalier) et les vulnérabilités associées aux personnes (c’est-à-dire les utilisateurs du dispositif, le personnel de fabrication, le personnel infirmier).
- Lier les vulnérabilités liées aux risques de cybersécurité et les évaluer. Nous avons ensuite déterminé quels risques nécessitaient une action corrective urgente et avons déployé des mesures de contrôle pour les réduire.
- Identifier les processus à mettre en place pour mettre en place un système de gestion de la cybersécurité.
- Documenter les processus et les actions pour justifier le niveau de sécurité et de protection des données des dispositifs médicaux auprès des autorités du pays concerné et des clients.
- Garantir la conformité des fournisseurs.
Avec l’aide de nos experts, notre client a pu définir, établir et mettre en œuvre toutes les activités et tous les processus nécessaires à la gestion des risques, au respect des lois des différents marchés (Suisse, Europe, États-Unis, Canada, etc.) et à la gouvernance de la cybersécurité/protection des données.
Les normes et réglementations telles que le cadre du NIST, la GDPR, les directives de la FDA en matière de cybersécurité, la HIPAA, le MDR EU, le MDCG, la PIPEDA, l’ISO 2700X, etc. ont été utilisées et appliquées de manière adéquate.
Bénéfices
Tout en améliorant de manière conviviale les mesures de sécurité pour faire face aux risques liés à la cybersécurité et à la protection des données, notre client a développé une culture et des comportements de sécurité de l’information tout au long de ses activités et dans tout le cycle de vie des dispositifs médicaux qu’il fabrique.
Plus important encore, notre client a pu définir une stratégie de cybersécurité et de protection des données, établir et mettre en œuvre un système de gestion de la cybersécurité, et assurer en permanence la gestion correcte de toutes les exigences de cybersécurité au sein de l’organisation, et dans le monde entier.
En outre, notre expert en gouvernance de la cybersécurité a été audité avec succès par le MDSAP car aucune non-conformité n’a été déclarée.
Grâce à nos
Auteur
