esynov-medical

Sécurisez vos Dispositifs Médicaux

Norme IEC TR 60601-4-5, le rôle du Security Advisor

3 jours / 21 heures - Valence
Niveau : Débutant

Public

Ingénieurs, techniciens, chefs de projet, responsables qualité dans le secteur médical.
PMEs, startups, grands groupes, exerçant dans des bureaux d’études en conception, développement et intégration de dispositifs médicaux (DM).
 

Présentation

Avec le développement croissant des outils et des méthodes d’attaques (Bluetooth, Wifi, etc.), les cybermenaces pèsent aujourd’hui sur tous les produits connectés, avec des conséquences majeures pour les industriels et leurs clients (fuite de données confidentielles, perte de propriété intellectuelle, atteinte à la sécurité physique des utilisateurs, etc.).
En réponse à cette menace, des référentiels normatifs entrent en vigueur pour aider les industriels à sécuriser leurs produits, ce qui est notamment le cas des dispositifs médicaux (DM) avec la norme IEC TR 60601-4-5.
Cette formation, co-construite par Esynov et MD101, a été initiée par Medicalps grâce aux besoins exprimés par ses membres (regroupement d'entreprises Healthtech Medicalps). Elle permettra aux participants d'assurer le rôle d'expert sécurité (security advisor) au sein de l'entreprise.
 

Objectifs

  • Identifier et comprendre les normes applicables
  • Maitriser les exigences propres aux DM
  • Acquérir les compétences techniques nécessaires à la sécurisation des DM
  • Déployer le juste niveau de contremesures face aux risques encourus

Les plus

  • Plus de 50% de la formation consacrée aux ateliers pratiques
  • Mise en oeuvre d’une démarche de sécurisation d’un DM représentatif
  • Prise en compte des bonnes pratiques et réglementations de cybersécurité les plus récentes

Programme

 

Jour 1

Introduction à la cybersécurité et les réglementations FDA, RDM et RDIV
  • ​​​Normes et guides européens applicables
  • Normes et guides FDA

Les exigences générales selon la norme IEC 81001-5-1
  • Exigences relatives à la qualification du personnel
  • Le rôle du security advisor : qualifications requises
  • Exigences relatives à la sélection des fournisseurs, à l’amélioration continue des processus de sécurité

Le processus de gestion des risques de cybersécurité selon les normes IEC 81001-5-1, AAMI SW96 et ISO 14971
  • Introduction au modèle de menaces
  • Description théorique du processus de gestion des risques de cybersécurité
  • Interactions avec le processus de gestion des risques ISO 14971

Jour 2 

 Le cycle de développement du logiciel sécurisé selon les normes IEC 62304, IEC 81001-5-1 et IEC TR 60601-4-5
  • Étapes du cycle de développement sécurisé
  • Revues
  • Documentation produite

Les exigences de maintenance du logiciel sécurisé selon la norme IEC 81001-5-1
  • Processus de maintenance du logiciel sécurisé
  • Surveillance des SOUP
  • Processus de publication de vulnérabilités, de communication aux autorités, de reprise sur incident

Comment sécuriser un équipement médical connecté vis-à-vis des exigences IEC TR 60601-4-5
  • Exigences relatives à la sécurisation d’un DM connecté IEC TR 60601-4-5
  • Illustration de vulnérabilités sur cas concrets

Jour 3

Sécurisation du code
  • Bibliothèques sécurisées
  • Attaques buffer overflow
Cas d’étude sur DM représentatif
  • Atelier modélisation de menaces (STRIDE, MS Threat Modeling Tool)
  • Atelier analyse de risque cybersécurité (critères ANSSI CSPN, identification de la faisabilité, identification de l’impact cybersécurité)
  • Atelier pentest (méthodologie du pentest, mise en oeuvre sur le cas d’étude)