Phylapp
Sécurité des équipements médicaux connectés

Les responsabilités des établissements dans la sécurité des équipements

Les établissements de santé sont responsables de la sécurité du contexte d'exploitation des équipements médicaux. Les contrats fabricants doivent préciser les responsabilités respectives en matière de patches et de notifications.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 14 lectures

Points clés

  • Les établissements de santé sont responsables de la sécurité des équipements médicaux connectés qu'ils exploitent, même si ces équipements sont fournis par des fabricants tiers.
  • Cette responsabilité couvre la sécurisation du contexte d'exploitation (réseau, accès, configuration) même quand les équipements eux-mêmes ne peuvent pas être modifiés.
  • Les contrats avec les fabricants doivent préciser les responsabilités respectives en matière de sécurité — notamment pour les mises à jour, les vulnérabilités, et la notification d'incidents.
  • La directive NIS2 et le règlement MDR définissent des obligations spécifiques pour les établissements et les fabricants dont la coordination est une responsabilité de l'établissement exploitant.
Cas US Morgan Stanley (responsabilité de l'exploitant) — Les amendes infligées à Morgan Stanley pour la destruction non sécurisée de serveurs par un sous-traitant illustrent un principe fondamental : l'exploitant d'un système ou d'un équipement reste responsable de la sécurité de ce système, même quand il en confie la gestion à un tiers. Dans les hôpitaux, ce principe s'applique directement aux équipements médicaux connectés : l'établissement exploitant reste responsable de la sécurité du contexte d'exploitation, même quand l'équipement lui-même est géré par le fabricant.

La responsabilité de l'exploitant dans le cadre MDR

Le règlement MDR distingue clairement les responsabilités du fabricant et de l'exploitant (opérateur économique). Le fabricant est responsable de la conception sécurisée du dispositif, de la documentation des instructions d'utilisation incluant les exigences de configuration sécurisée, et de la notification des incidents graves aux autorités. L'établissement exploitant est responsable du respect des instructions d'utilisation du fabricant, de la mise en œuvre des configurations recommandées, de la maintenance des équipements, et de la notification des incidents graves à l'ANSM en sa qualité d'exploitant.

Les responsabilités de l'exploitant non délégables au fabricant

Certaines responsabilités de l'établissement ne peuvent pas être déléguées au fabricant. La segmentation réseau des équipements médicaux est une responsabilité de l'établissement — le fabricant fournit l'équipement, mais l'établissement décide de son positionnement réseau. La gestion des accès aux interfaces d'administration des équipements est une responsabilité de l'établissement. La surveillance des communications réseau des équipements est une responsabilité de l'établissement. Et la définition des procédures de réponse aux incidents impliquant des équipements médicaux est une responsabilité de l'établissement, en coordination avec les fabricants concernés.

Contractualiser les responsabilités sécurité avec les fabricants

Les contrats avec les fabricants d'équipements médicaux doivent inclure des clauses précisant les responsabilités sécurité respectives. Ces clauses doivent couvrir : les délais et les modalités de déploiement des correctifs de sécurité, les procédures de notification des vulnérabilités découvertes après livraison, les modalités d'accès à distance pour la maintenance (activation, supervision, révocation), et les obligations de notification en cas d'incident de sécurité affectant l'équipement. Sans contractualisation explicite, ces responsabilités resteront dans une zone grise qui se révèle problématique lors d'un incident.

Cas EU Thales (contrats de sécurité avec les partenaires) — Thales impose à ses partenaires et fournisseurs des exigences de sécurité contractuellement définies, incluant des obligations de notification d'incident et des droits d'audit. Cette approche — imposer par le contrat les responsabilités sécurité des tiers — est directement applicable aux relations des établissements de santé avec les fabricants d'équipements médicaux. Un contrat bien structuré clarifie les responsabilités et facilite la réponse coordonnée lors des incidents.

La formation des équipes sur leurs responsabilités IoMT

Les équipes qui exploitent des équipements médicaux connectés doivent être formées sur leurs responsabilités spécifiques. Les ingénieurs biomédicaux doivent comprendre les implications sécurité des décisions de configuration qu'ils prennent. Les équipes IT doivent comprendre les contraintes spécifiques des équipements médicaux (impossibilité de certains patches, impact des arrêts sur les soins). Et les équipes de direction doivent comprendre leurs obligations réglementaires et leur responsabilité en cas d'incident IoMT. Cette formation croisée est un prérequis à la bonne articulation des responsabilités sur le terrain.

La documentation des décisions de sécurité IoMT

Les décisions de sécurité IoMT — notamment les décisions d'accepter un risque résiduel sur un équipement qui ne peut pas être patché — doivent être documentées. Cette documentation précise : quel risque a été identifié, quelles mesures compensatoires ont été mises en place, qui a pris la décision d'accepter le risque résiduel, et à quelle échéance la situation sera réexaminée. Cette documentation constitue une preuve de diligence lors d'un audit ou d'un incident — et permet de suivre l'évolution des risques acceptés dans le temps.

Cas Asie Samsung (responsabilité du fabricant dans la sécurité produit) — Samsung a renforcé sa politique de responsabilité en matière de sécurité produit après plusieurs incidents impliquant des appareils connectés. La politique de Samsung distingue clairement les responsabilités du fabricant (conception sécurisée, patches de sécurité) et des opérateurs (configuration sécurisée, mise à jour, surveillance). Dans les dispositifs médicaux, une clarification similaire des responsabilités entre fabricant et établissement exploitant est indispensable pour assurer une chaîne de responsabilité sans zone grise.

Articles similaires

Les dispositifs médicaux connectés introduisent de nouveaux risques cliniques et numériques

Les dispositifs médicaux connectés (IoMT) combinent risques numériques et cliniques : systèmes obsolètes, cycles de vie longs, contraintes de patch réglementaires et risques de propagation OT/IT.

24 mai 2026 7 min

Pourquoi la sécurité des équipements médicaux dépasse le cadre informatique

La sécurité des équipements médicaux dépasse le cadre IT : elle implique le biomédical, les soins, la réglementation MDR. La collaboration interdisciplinaire et la décision collégiale de connexion sont essentielles.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des dispositifs connectés en santé

Les erreurs dans l'intégration des dispositifs médicaux connectés sont récurrentes : réseau non isolé, identifiants par défaut, absence d'inventaire, accès de maintenance non contrôlés.

24 mai 2026 7 min
WhatsApp