Comprendre SBOM, SOUP, COTS et OTS dans la cybersécurité des dispositifs médicaux
17 juin 2025
- Interlynk
Dans le monde des soins de santé connectés d'aujourd'hui, comprendre le logiciel à l'intérieur des dispositifs médicaux est essentiel — non seulement pour un développement sécurisé, mais aussi pour la conformité et la sécurité des patients.
Les régulateurs tels que la FDA et la norme IEC 62304 exigent que les fabricants de dispositifs médicaux suivent tous les composants logiciels inclus — qu'ils soient personnalisés, open source ou tiers — et les classifient en fonction de leur origine et de la documentation de cycle de vie.
Ce post explore quatre concepts clés : SBOM, SOUP, COTS et OTS, et leur rôle dans le respect des exigences de cybersécurité de la FDA et de la norme IEC 62304.
SBOM (Liste de Matériaux Logiciels)
Définition : Un enregistrement formel de tous les composants logiciels utilisés dans un dispositif ou une application (y compris les bibliothèques open-source, le code propriétaire, le firmware, les API et les binaires).
Pourquoi c'est important :
Identifie les composants vulnérables (par exemple, log4j).
Soutient une réponse aux incidents plus rapide.
Requis selon la section 524B de la FDA (mars 2023).
Exemple : Une pompe à infusion de Classe II inclut du code tiers. Si un CVE émerge, un SBOM permet une évaluation immédiate de l'impact et une priorisation des correctifs.
Régulations exigeant un SBOM :
FDA FD&C Act §524B
Décret présidentiel 14028 (approvisionnement fédéral)
Loi européenne sur la résilience cybernétique
SOUPE (Logiciel d'origine inconnue)
Définition : Logiciel non développé selon un processus de cycle de vie de logiciels médicaux documenté (par exemple, bibliothèques open source, modèles AI/ML formés en externe, pilotes hérités).
Risques :
Historique de sécurité inconnu.
Aucune traçabilité claire du développement.
Utilisation potentielle d'API ou de modules cryptographiques non sécurisés.
Comment gérer (IEC 62304) :
Effectuer une analyse des risques par classe de sécurité des dispositifs.
Valider les impacts sur la fonctionnalité et la sécurité.
Surveiller les vulnérabilités (par exemple, flux NVD).
Documenter les atténuations.
Exemple : Un moniteur ECG utilise une bibliothèque de graphisme GitHub. Si la bibliothèque échoue, elle peut afficher des formes d'onde incorrectes, affectant le diagnostic.
Logiciel OTS et COTS
Définitions :
OTS (Prêt-à-l'emploi) : Logiciel préconçu non destiné à l'appareil.
COTS (Commercial Off-the-Shelf) : Logiciel OTS sous licence commerciale (par exemple, Windows OS).
Risques & Atténuations :
Aucun contrôle de code source ou de correctif.
Les décisions du fournisseur peuvent affecter la sécurité.
La FDA exige la preuve que l'OTS ne dégradera pas les performances de l'appareil.
Directives réglementaires :
Directives de la FDA sur la soumission préalable au marché pour le logiciel COTS.
L'IEC 62304 exige une validation même si le logiciel est non modifié.
Résumé de la réglementation
SBOM → Nécessaire pour la FDA, FD&C Act §524B, EU CRA.
Gestion de SOUP → Nécessaire pour IEC 62304, directives de la FDA.
Utilisation de OTS/COTS → Nécessaire pour IEC 62304, directives OTS de la FDA.
Pourquoi c'est important
Atténuation proactive des risques: Détection et correction plus rapides.
Conformité réglementaire: Éviter le rejet ou les amendes.
Sécurité des patients: Prévenir les dysfonctionnements ou les piratages des dispositifs.
Résilience de la chaîne d'approvisionnement: La transparence renforce la sécurité du cycle de vie.
Meilleures pratiques des fabricants
Automatiser la génération de SBOM via des outils SCA.
Maintenir des CBOM avec des délais de patch et des responsabilités.
Créer un registre SOUP avec des analyses de risques.
Engager des fournisseurs COTS pour un support à long terme.
Surveiller les flux CVE/NVD pour les logiciels connus et inconnus.
Intégrer les risques dans les processus ISO 14971 pour la sécurité des patients.
Dans l'industrie des dispositifs médicaux réglementés, la conformité n'est pas juste de la paperasse — il s'agit de protéger les patients. Une stratégie robuste SBOM, SOUP et COTS/OTS garantit la sécurité, la conformité et la confiance dans les technologies médicales de nouvelle génération.