Les fabricants de dispositifs médicaux (MDM) sont soumis à des pressions de la part de nombreuses parties prenantes - actionnaires, agences gouvernementales, organismes de prestation de soins de santé (OPS), dossiers médicaux électroniques (DME), compagnies d'assurance et, bien sûr, patients.
La sécurité dans le secteur des soins de santé diffère de celle des autres secteurs : elle est personnelle. La vie des gens est en jeu. Dans ce contexte, la sécurité devient une priorité. En fait, équilibrer toutes les attentes énumérées ci-dessus ne signifie pas, et ne devrait pas signifier, que les fabricants d'appareils doivent choisir ce qui est le plus important sur cette liste. Il existe aujourd'hui des technologies et des fournisseurs qui aident les MDM à protéger les patients tout en répondant à la demande d'innovation et aux objectifs de rentabilité.
Keyfactor a passé des années à développer et à fournir une technologie de sécurité pour l'Internet des objets (IoT ) qui répond aux besoins des fabricants d'appareils de soins de santé IoT . En cours de route, nous avons documenté les meilleures pratiques, cinq principes directeurs pour optimiser la sécurité de Healthcare IoT :
1.) ACQUÉRIR UN CERTIFICAT NUMÉRIQUE UNIQUE POUR CHAQUE APPAREIL
Les certificats numériques constituent la base d'un programme de sécurité complet. Ils servent de points de preuve pour identifier diverses entités - y compris les personnes, les applications et les appareils.
L'utilisation de certificats numériques uniques pour chaque dispositif permet aux HDO de valider l'authenticité d'un dispositif et d'affirmer avec une grande assurance que ses messages sont authentiques. Cela permet également aux plateformes et aux applications de l'Internet des objets médicaux (IoMT ) de valider l'intégrité des messages envoyés vers et depuis chaque dispositif médical connecté, garantissant que les données précieuses ne sont échangées que par les destinataires prévus. L'impact d'un dispositif compromis est minimisé du fait que chaque dispositif porte sa propre identité unique et crypte ses données avec des clés associées à cette identité unique.
2.) ADMINISTRER LE STOCKAGE DES CLÉS PRIVÉES À L'ADRESSE HARDWARE DANS LA MESURE DU POSSIBLE
Lorsqu'un certificat numérique est émis, des clés sont générées. Une clé privée est un fichier distinct utilisé pour le cryptage des données. La technologie Trusted Platform Module (TPM) ou le stockage sécurisé hardware sont conçus pour fournir des fonctions de sécurité basées sur hardware. Une puce TPM est un crypto-processeur sécurisé qui effectue des opérations cryptographiques. Elle offre un moyen hardware de sécuriser vos clés et certificats cryptographiques.
3.) VÉRIFIER LES MICROPROGRAMMES ET SOFTWARE SIGNÉS NUMÉRIQUEMENT PAR LA SIGNATURE DU CODE
La signature de code est l'application d'une signature numérique à un morceau de code qui le valide en tant que version légitime et fournit l'authenticité de sa source. Le processus vérifie l'identité de l'auteur et garantit que le code n'a pas été modifié ou corrompu depuis qu'il a été signé par l'auteur. Lorsque le micrologiciel est sécurisé, cette sécurité devient extensible à tous les acteurs de l'écosystème des soins de santé - donnant aux hôpitaux, aux soignants et aux patients la possibilité de communiquer en toute confiance avec l'appareil et entre eux.
4.) Établir une racine de confiance spécifique à l'organisation (RoT)
Une racine de confiance (Root of Trust ou RoT) est le fondement des échanges sécurisés de dispositifs. Lorsqu'un organisme de santé ou un fabricant gère sa propre racine de confiance, il contrôle totalement la validation de l'identité de chaque appareil ou personne à qui il délivre une clé. Une fois que le certificat numérique d'accompagnement est émis, n'importe qui peut vérifier l'identité du détenteur de la clé.
Le partage de votre RdT avec d'autres parties entraîne un partage des risques. La compromission de la racine d'une autre partie ne devrait pas avoir d'incidence sur votre sécurité. En conservant votre propre RdT privée, vous garantissez un accès sécurisé aux dispositifs médicaux grâce à une chaîne de confiance qui ne contient que des constituants que vous autorisez.
5.) investir dans la gestion du cycle de vie des certificats, des clés et de la RdT
Des références renouvelables, remplaçables et révocables, ainsi qu'un RdT actualisable, sont des exigences non négociables. Les systèmes statiques sont intrinsèquement peu sûrs et ce principe s'applique également à la cryptographie. Il est inévitable que les algorithmes cryptographiques s'affaiblissent avec le temps et de nombreux dispositifs IoT seront déployés pour des durées qui dépassent largement l'efficacité de leurs clés cryptographiques. Par conséquent, il faut être en mesure d'effectuer une gestion complète du cycle de vie des certificats, des clés et des RdT stockés sur les appareils (et dans les passerelles, les serveurs et les applications de l'écosystème IoT ).
Pour en savoir plus, visitez le site https://www.keyfactor.com/keyfactor -control/ ou contactez-nous dès aujourd'hui.
