La sécurité chez Insulet
Promesse de sécurité chez Insulet Corporation
Chez Insulet Corporation, la sûreté et la sécurité de nos patients et de nos produits sont notre priorité dans tout ce que nous faisons. Nous nous engageons à améliorer la vie des personnes atteintes de diabète et d’autres maladies grâce à l’utilisation de notre gamme de produits Omnipod®. Les appareils connectés ont entraîné l’émergence de nouveaux défis pour les patients, les professionnels de santé ainsi que les concepteurs et fabricants de dispositifs. Il existe un risque que ces appareils deviennent la cible d’attaques de cybersécurité. C’est la raison pour laquelle nous plaçons la sécurité au centre de la conception de nos produits. Dès le début, nous l’intégrons au processus de développement et nous la surveillons tout au long du cycle de vie de ces dispositifs.
Nous alignons notre surveillance et notre gestion de la cybersécurité sur la série 27000 de l’Organisation internationale de normalisation/Commission électrotechnique internationale (ISO/CEI 27000) et sur le « Framework for Improving Critical Infrastructure Cybersecurity » du NIST (Cadre de cybersécurité du NIST). Nous avons mis en place des programmes de conformité et de développement certifiés pour les dispositifs, systèmes et services que nous vendons, conformément aux exigences réglementaires applicables aux dispositifs médicaux.
Insulet Corporation a mis en place une équipe dédiée à la sécurité des produits au niveau mondial ainsi qu’un programme coordonné de divulgation des produits en vue de compléter les solides pratiques de sécurité des produits déjà en place. Insulet Corporation est ainsi en mesure d’intégrer les considérations de sécurité dans le cycle de vie complet des produits. L’équipe de sécurité des produits est rattachée au bureau de sécurité globale d’Insulet Corporation. Cette équipe travaille de manière transversale dans tous les départements de l’entreprise afin de fournir une large expertise en matière de sécurité, de gouvernance et de surveillance des questions relatives à la sécurité des produits. Elle partage de manière proactive les informations à travers l’entreprise afin de promouvoir une culture de l’apprentissage et des meilleures pratiques dans une structure mondiale. En outre, l’équipe supervise et gère le programme de divulgation coordonnée.
En externe, Insulet Corporation travaille en étroite collaboration avec des agences gouvernementales, des partenaires du secteur et des chercheurs en matière de sécurité afin d’améliorer les efforts de sécurité dans les secteurs des soins de santé et des dispositifs médicaux, d’informer et de façonner le paysage réglementaire et des directives.
La sécurité par la conception
Notre approche en matière de sécurité des dispositifs vise à identifier tous les risques de cybersécurité pertinents dans le système et à élaborer des mesures d’atténuation efficaces pour faire face à ces risques tout au long du cycle de développement du produit. Les objectifs de l’approche de la cybersécurité d’Insulet sont les suivants :
-
Développer et maintenir un ensemble d’exigences et d’activités de base communes liées à la cybersécurité des dispositifs médicaux.
-
S’assurer qu’un cadre reproductible concernant la sécurité des dispositifs médicaux est mis en œuvre et suivi.
-
Effectuer une analyse de sécurité basée sur les risques pour déterminer les contrôles appropriés, y compris l’ élaboration de modèles de menaces et la tenue d’un registre des risques.
-
S’assurer que des activités de test de cybersécurité robustes et reproductibles sont réalisées pour un programme de produits donné.
-
S’assurer que le programme de cybersécurité est conforme à toutes les lois et réglementations pertinentes.
-
Surveiller et traiter rapidement et de manière rigoureuse les futures vulnérabilités de sécurité potentielles de tous nos dispositifs médicaux.
L’approche de la cybersécurité d’Insulet Corporation décrite ci-dessus est conçue pour s’aligner directement sur le cadre de cybersécurité du NIST, qui oriente les fonctions de cybersécurité à travers cinq domaines distincts (Identifier, Protéger, Détecter, Réagir et Récupérer). L’alignement du programme de cybersécurité d’Insulet sur le cadre de cybersécurité du NIST est également conforme aux lignes directrices de la FDA intitulées « Content of Premarket of their personal information ». Nous disposons d’équipes spécialisées qui s’attèlent à protéger les informations des patients contre tout accès non autorisé. En outre, nous collaborons avec des experts du secteur en matière de protection de l’information et de cybersécurité pour assurer une mise en œuvre de la technologie et des processus adéquats et garantir la confidentialité des données.
Une sécurité perpétuelle
L’avenir des dispositifs médicaux est extrêmement intéressant et ouvre le champ des possibles en matière d’intégration des technologies, telles que les dispositifs portables. En raison des nouveaux produits et des nouvelles fonctionnalités, le paysage de la sécurité est en constante évolution. Insulet Corporation continuera à surveiller l’horizon des menaces en vue de détecter les problèmes potentiels affectant nos produits et de traiter ces derniers tout en optimisant la sécurité.
Tout au long du cycle de vie du produit, de la conception à la fabrication et à l’utilisation par le patient, l’équipe d’ingénieurs, de spécialistes et de partenaires d’Insulet s’efforce de fabriquer les dispositifs les plus sûrs possibles.
Tout au long du cycle de vie d’un dispositif médical, nous surveillons en permanence les risques de sécurité. Nous évaluons et testons les vulnérabilités sur la base de normes mondiales, engageons les autorités de réglementation et communiquons les mesures d’atténuation appropriées aux principales parties prenantes. Pour plus d’informations sur les mises à jour des produits Insulet, les notifications et les bulletins de sécurité, veuillez consulter notre page Bulletins de sécurité.
Processus de divulgation coordonnée
Nous apprécions les contributions de la communauté de recherche en matière de sécurité. Si vous pensez avoir identifié une vulnérabilité de sécurité potentielle dans l’un de nos produits ou services, veuillez nous en informer afin que nous puissions mener des investigations.
Dans le cadre de notre engagement à assurer la sécurité permanente de nos produits, nous avons établi un partenariat avec HackerOne pour permettre le signalement des éventuelles vulnérabilités en matière de sécurité. Veuillez consulter notre page Processus de divulgation coordonné pour plus d’informations sur le signalement d’une vulnérabilité à Insulet Corporation.