La sécurité chez Insulet
Promesse d’Insulet Corporation en matière de sécurité
Chez Insulet Corporation, la sécurité de nos patients et de nos produits est primordiale dans tout ce que nous faisons. Nous sommes déterminés à faciliter la vie des personnes atteintes de diabète et d’autres maladies grâce à notre plateforme de produits Omnipod®. Les dispositifs connectés ont entraîné l’émergence d’un nouvel ensemble de défis pour les patients, pour les professionnels de la santé et pour les développeurs et les fabricants. En effet, ces dispositifs peuvent devenir la cible d’attaques à la cybersécurité. C’est pourquoi la sécurité est à l’avant-plan de notre conception, intégrée au processus de développement dès le début, et surveillée tout au long du cycle de vie de la disponibilité de nos produits.
Nous harmonisons notre surveillance et notre gestion de la cybersécurité avec la suite 27000 de l’Organisation internationale de normalisation et de la Commission électrotechnique internationale (ISO/CEI 27000) et le Framework for Improving Critical Infrastructure Cybersecurity (Cadre pour l’amélioration de la cybersécurité des infrastructures essentielles) du NIST (CSF du NIST). Nous avons vérifié les programmes de conformité et de développement en place pour les dispositifs, les systèmes et les services que nous vendons conformément aux exigences réglementaires applicables en matière de dispositifs médicaux.
Insulet Corporation a mis sur pied une équipe mondiale consacrée à la sécurité des produits et un programme de divulgation coordonnée pour compléter les solides pratiques de sécurité des produits déjà en place. Cela permet à Insulet Corporation d’intégrer des facteurs de sécurité dans le cycle de vie complet du produit. L’équipe de la sécurité des produits est intégrée au bureau mondial de la sécurité d’Insulet Corporation. Les membres de cette équipe travaillent de manière interfonctionnelle dans l’ensemble de l’entreprise pour fournir une expertise étendue en matière de sécurité, de gouvernance et de surveillance sur les enjeux de sécurité des produits. Ils communiquent de manière proactive des renseignements dans l’ensemble de l’entreprise afin de favoriser une culture axée sur l’apprentissage et les pratiques exemplaires au sein d’une organisation mondiale. De plus, l’équipe supervise et gère le programme de divulgation coordonnée.
À l’externe, Insulet Corporation travaille en étroite collaboration auprès d’organismes gouvernementaux, de partenaires de l’industrie et de chercheurs en sécurité pour améliorer les efforts liés à la sécurité dans les secteurs des dispositifs médicaux et des soins de santé, en plus d’éclairer et de façonner les normes et la réglementation.
La sécurité intégrée à la conception
Notre approche en matière de sécurité des dispositifs vise à cibler tous les risques de cybersécurité pertinents dans le système et à concevoir des mesures d’atténuation efficaces tout au long du cycle de développement du produit. Les objectifs de l’approche en cybersécurité d’Insulet sont les suivants :
- élaborer et maintenir un ensemble d’exigences et d’activités de base communes liées à la cybersécurité des dispositifs médicaux;
- s’assurer qu’un cadre reproductible de sécurité des dispositifs médicaux est mis en place et suivi;
- effectuer une analyse de la sécurité axée sur le risque afin de déterminer les contrôles appropriés, y compris l’élaboration de modèles de menace et la tenue d’un registre des risques;
- s’assurer que des activités d’essai solides et reproductibles en cybersécurité sont réalisées pour un programme de produit donné;
- s’assurer que le programme de cybersécurité est conforme à toutes les lois et à tous les règlements pertinents;
- surveiller et régler rapidement et minutieusement les vulnérabilités potentielles en matière de sécurité de tous nos dispositifs médicaux.
L’approche en cybersécurité d’Insulet Corporation décrite ci-dessus est conçue pour s’harmoniser directement au CSF du NIST, qui définit les fonctions de cybersécurité dans cinq domaines distincts (Identify, Protect, Detect, Respond et Recover). L’harmonisation du programme de cybersécurité d’Insulet au CSF du NIST est également conforme aux lignes directrices Content of Premarket Submissions for Management of Cyber Security in Medical Devices et Postmarket Management of Cybersecurity in Medical Devices de la FDA.
Confidentialité des données
Insulet respecte la vie privée de tous ses patients et est déterminée à protéger leurs renseignements personnels. Nous avons des équipes dont le mandat consiste à protéger les renseignements sur les patients contre tout accès non autorisé. De plus, nous travaillons en partenariat avec des experts de l’industrie en matière de protection de l’information et de cybersécurité afin de mettre en œuvre la bonne technologie et les bons processus pour assurer la protection des données.
Sécurité perpétuelle
L’avenir des dispositifs médicaux est extrêmement prometteur, et les occasions d’intégrer des technologies comme les dispositifs portatifs se multiplient. En raison des nouveaux produits et des nouvelles capacités, la sécurité est en constante évolution. Insulet Corporation continuera de surveiller les problèmes potentiels touchant ses produits et de les régler grâce à des améliorations de sécurité.
À toutes les étapes du cycle de vie, de la conception à la fabrication en passant par l’utilisation par les patients, l’équipe d’ingénieurs, de spécialistes et de partenaires d’Insulet s’efforce de fabriquer les produits les plus sécuritaires possibles.
Tout au long du cycle de vie des dispositifs médicaux, nous surveillons en permanence les risques pour la sécurité. Nous évaluons et testons les vulnérabilités en fonction de normes mondiales, nous collaborons avec les organismes de réglementation et nous communiquons les mesures d’atténuation appropriées aux principaux intervenants. Pour en savoir plus sur les mises à jour, les avis et les bulletins de sécurité des produits d’Insulet, consultez la page des bulletins de sécurité.
Processus de divulgation coordonnée
Nous sommes reconnaissants de l’apport du milieu de la recherche en sécurité. Si vous croyez avoir décelé une vulnérabilité potentielle en matière de sécurité dans l’un de nos produits ou services, nous voulons le savoir afin de mener une enquête.
Dans le cadre de notre engagement visant à assurer la sécurité continue de nos produits, nous avons établi un partenariat avec HackerOne pour permettre la divulgation de vulnérabilités potentielles en matière de sécurité. Pour en savoir plus sur la façon de soumettre un rapport de vulnérabilité à Insulet Corporation, veuillez visiter notre page du processus de divulgation coordonnée.