L'instance est chargée de proposer au directeur général de l’ANSM, Dominique Martin, des recommandations à l’attention des fabricants de DM "de manière à ce qu’ils puissent prendre les mesures nécessaires pour prévenir toute attaque malveillante à l’encontre de leurs [produits] et ainsi empêcher la compromission des données et l’utilisation détournée des DM qu’ils mettent sur le marché".

Une première réunion a eu lieu le 29 juin et une seconde le 11 octobre.

L'ANSM explique qu'un nombre croissant de DM, qu’ils soient utilisés par des professionnels de santé à l’hôpital ou à domicile par des patients, sont aujourd’hui connectés. Ils peuvent donc partager des informations à travers des liaisons sans fil (bluetooth, wifi) ou par connexion physique à un réseau internet.

Les fonctionnalités de ces dispositifs couvrent l’échange de données (imagerie médicale, résultats de biologie), le pilotage du dispositif (programmation de pompes à perfusion ou de dispositifs implantables actifs), le suivi du patient à distance (surveillance de signes vitaux) ou la maintenance des produits.

Dans le compte rendu de la première réunion, le CSST de l'ANSM indique que "la cybersécurité est une problématique connue depuis longtemps" mais qui est "en forte croissance", avec plusieurs exemples d’attaques malveillantes survenues récemment.

Une vaste cyberattaque mondiale a paralysé plusieurs hôpitaux britanniques en mai, tandis qu'une seconde, en juin, a notamment infecté le système informatique du groupe pharmaceutique Merck & Co, rappelle-t-on.

Aux Etats-Unis, la Food and Drug Administration (FDA) a diffusé en décembre 2016 des recommandations pour protéger les DM des cyberattaques (voir dépêche du 5 janvier 2017).

La publication du document était intervenue alors que l'un des principaux acteurs du secteur, St Jude (groupe Abbott), était au centre d'une polémique sur la potentielle vulnérabilité de ses pacemakers et défibrillateurs. Des mises à jour informatiques ont été depuis mises en oeuvre par l'industriel (voir dépêches du 17 janvier et du 6 septembre 2017).

En France, la sécurité informatique des DM est abordée dans différents textes liés à la santé connectée, "mais le DM, bien que cité, n’est pas l’objet principal de ces textes", commente l'ANSM. De la même manière, la réglementation européenne ne couvre pas, ou de façon "insuffisante", le risque d’attaque informatique des DM, ajoute-t-elle.

Le CSST, qui est composé de 12 experts externes, doit donc permettre de surveiller de plus près ces produits. Il a été créé pour une durée d'un an par une décision de l'ANSM datée du 8 juin.

(La page du site de l'ANSM consacrée au CSST cybersécurité des logiciels dispositifs médicaux)