Kereval a signé un accord de partenariat, le 2 avril 2025, avec Afnor Certification, l’un des deux organismes notifiés français sur le marquage CE des dispositifs médicaux, pour réaliser des évaluations et essais des dispositifs médicaux en lien avec les exigences de cybersécurité du règlement (UE) 2017/745 et les exigences relatives aux systèmes d’intelligence artificielle à haut-risque du règlement (UE) 2024/1689 (IA Act).

Les fabricants de dispositifs médicaux (DM) qui souhaitent les commercialiser dans l’Union européenne doivent garantir la sécurité et la performance de leurs produits en obtenant le marquage CE conformément au règlement européen UE 2017/745. Cela inclut la gestion des risques, notamment la protection contre les cyberattaques et les menaces numériques, et la conformité avec des normes telles que ISO/IEC 27001 et ISO 14971.

Le règlement a renforcé, en 2021, les exigences relatives à la sécurité et à la performance des dispositifs médicaux. Sur les aspects de sécurité, les fabricants doivent se préparer à intégrer ces sujets dès la conception de leurs dispositifs avec l’harmonisation de certaines normes d’ici à 2028

Les dispositifs médicaux intégrant de l’intelligence artificielle (IA), créant potentiellement des complexités additionnelles en termes de conformité, devront par ailleurs respecter l’IA Act, la règlementation européenne relative à l’IA publiée en juillet 2024.

Les dispositifs doivent être résilients face aux cyberincidents et respecter le RGPD pour la protection des données personnelles. Un suivi post-commercialisation est requis pour surveiller les vulnérabilités, avec des mises à jour sécurisées. Les fabricants doivent également notifier les incidents de cybersécurité et maintenir une documentation technique à jour. La cybersécurité doit d’ailleurs être intégrée à chaque étape du cycle de vie du produit.

La cybersécurité des DM est un enjeu majeur dans un contexte de digitalisation croissante des soins de santé. En particulier, les logiciels en tant que dispositif médical (SaMD) et les logiciels intégrés dans un dispositif médical (SiMD) nécessitent une attention particulière en raison des risques qu’ils comportent pour la sécurité des patients et l’intégrité des systèmes de santé. Ces dispositifs collectent, traitent et transmettent des données sensibles, ce qui en fait des cibles privilégiées pour des cyberattaques.

Il est essentiel de mettre en place des mesures de sécurité robustes pour garantir la confidentialité, l’intégrité et la disponibilité des informations. Les régulations, comme celles de la Food and Drug Administration (FDA) ou de l’Agence Européenne des Médicaments (EMA), imposent des normes strictes en matière de cybersécurité, assurant une protection contre les vulnérabilités.

L’analyse et la gestion des risques, les tests de pénétration et la mise à jour régulière des systèmes sont des pratiques indispensables pour limiter les menaces potentielles. Ainsi, la cybersécurité devient un pilier fondamental pour la confiance et la sécurité des dispositifs médicaux dans le secteur de la santé.

Depuis 2006, Kereval développe une expertise en cybersécurité reconnue, à la fois des systèmes d’information et des systèmes embarqués, mais aussi en IA à travers :

• Des activités de conseil et d’audit reconnues par la qualification « Prestataire des audits de Sécurité des Systèmes d’information »  (PASSI) accordée par l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI).
• Une expertise forte en test d’intrusion, tests des exigences de sécurité, tests de l’atténuation de la menaces, tests de vulnérabilités, et audits (architecture, configuration, code, organisation notamment) des systèmes embarqués et des IoTs comme certains dispositifs médicaux.
• Une expertise en test de confiance (explicabilité, robustesse, éthique…) et en audit de systèmes à base d’IA (conformité à l’IA Act).

A noter, côté cybersécurité, que de nouvelles normes devraient être harmonisées dans les prochains mois, telles que l’ISO 81001-5-1. Le Rapport technique IEC TR 60601-4-5:2021 est également à prendre en compte par les fabricants.