La cybersécurité des dispositifs médicaux n'est pas optionnelle – elle est obligatoire sur le plan réglementaire et directement liée à la sécurité des patients. Le MDR exige une approche systématique et traçable pour identifier, évaluer et atténuer les risques de cybersécurité sur toutes les phases du cycle de vie du produit. VamiSec vous accompagne sur la voie d'une conformité complète selon MDCG 2019-16, IEC 62304, IEC 81001-5-1 et les meilleures pratiques internationales (IEC 62443, SAE 21434, ISO 14971).
Dès qu’un dispositif médical est un système d’IA ou en intègre un, il est généralement classé IA à haut risque – en plus du MDR, les exigences de l’AI Act s’appliquent. Notre aperçu interactif présente les 16 domaines clés, leur degré de recoupement avec le MDR et un test « haut risque ».
Découvrir l’AI Act pour les dispositifs médicauxSécurité vs sécurité : la cybersécurité doit aller de pair avec la Patient Safety.
La MDCG 2019-16 (Guideline on medical device cybersecurity) est le principal document d'orientation européen pour les fabricants et les autorités. Elle précise les exigences du MDR et définit quelles capacités de sécurité (Security Capabilities), quelles exigences minimales relatives à l'environnement d'exploitation et quelle documentation sont attendues. Le constat central est le suivant : les risques de cybersécurité peuvent directement entraîner des risques de préjudice pour les patients.
Annex III – Referencing Standards
Annex IV – Risk Management
Annex I & II – Incidents & Vigilance
Risque, sécurité, safety et responsabilité partagée sous MDR / IVDR – les principes fondamentaux de la MDCG 2019-16 en un coup d'œil.
Risk = Probability of Harm × Severity of Harm
Une compréhension homogène du risque à travers MDR / IVDR – pour la security, la safety et l'efficacité.
Sécurité ancrée dès le départ dans l'architecture et le développement.
Mesures conformes à l'état actuel de la technique.
La sécurité ne doit pas compromettre le bénéfice ni l'efficacité clinique.
Le fabricant porte la responsabilité première sur l'ensemble du cycle de vie.
Secure Design, Risk Management, Guidance
Secure Configuration, Training
Secure Operation, Incident Reporting
Intended Use, Cyber Awareness, Data Protection
Pour soutenir la mise en œuvre du Medical Device Security Lifecycle – les lignes directrices MDCG pertinentes, regroupées par thématique.
Guidance on Cybersecurity for Medical Devices
Qualification et classification des logiciels (MDSW)
Évaluation clinique / des performances des logiciels de dispositifs médicaux
MDSW – Combinaisons logiciel/matériel
Surveillance après commercialisation des dispositifs médicaux et des DIV
Q&R sur les termes et concepts de vigilance
Guide de vigilance spécifique aux dispositifs (DSVG) – Modèle
Rapport périodique actualisé de sécurité (PSUR)
Orientations sur la normalisation pour les dispositifs médicaux
Mise à disposition sécurisée des applications MDSW sur les plateformes en ligne
Personne chargée de veiller au respect de la réglementation (PRRC)
Intégration de l'IUD dans le SMQ
EUDAMED – Pratiques administratives provisoires (MDR)
Attribution de l'IUD aux logiciels de dispositifs médicaux
EUDAMED – Pratiques administratives provisoires (IVDR)
FAQ sur l'EMDN (nomenclature européenne des dispositifs médicaux)
* Les lignes directrices MDCG ne sont pas juridiquement contraignantes, mais reflètent l'interprétation commune de l'UE des exigences du MDR (UE) 2017/745 & IVDR (UE) 2017/746.
"Cybersecurity risks can directly translate into patient safety risks" – MDCG 2019-16
Pendant longtemps, la sécurité informatique et la sécurité fonctionnelle ont été traitées comme des domaines distincts. La MDCG 2019-16 renverse cette vision : une cyberattaque réussie contre un dispositif médical met directement en danger la sécurité des patients. C'est pourquoi les deux systèmes de gestion des risques doivent être imbriqués.
Cyber incidents affecting patient safety
La gestion des risques de cybersécurité et de sécurité (EN ISO 14971) suit en parallèle les mêmes étapes de processus. Les corrélations sont décisives : chaque risque de sécurité ou contrôle ayant un impact potentiel sur la sécurité (safety) doit être intégré à l'évaluation des risques de sécurité (safety) – et inversement.
* MDCG 2019-16 Rev.1, Annex IV : la gestion des risques de sécurité comporte les mêmes éléments que la gestion des risques de sécurité (safety) – les deux doivent être considérées de manière intégrée.
Le MDCG 2019-16 définit sept phases de cycle de vie, chacune assortie d'objectifs de cybersécurité spécifiques. De nouveaux vecteurs d'attaque apparaissent en permanence – ce qui est sûr aujourd'hui peut être compromis demain. Une gestion systématique de ces phases garantit une sécurité proactive.
VamiSec-Nachweise: Gap Analysis, Security Charter, Requirement Specification
Chaque phase exige des documents, des processus et des contrôles spécifiques. VamiSec vous accompagne dans l'intégration transparente de ces objectifs au sein de vos processus QMS et de développement existants.
MDCG 2019-16 Annexe I : capacités de sécurité minimales selon l'état de l'art actuel.
La guideline définit des capacités de sécurité concrètes que les dispositifs médicaux doivent mettre en œuvre selon leur catégorie de risque. Parallèlement, des exigences minimales sont posées pour l'environnement d'exploitation – car la sécurité est une responsabilité partagée (Shared Responsibility) entre le fabricant et l'exploitant.
Strong Authentication, Multi-Factor Authentication (MFA), contrôle d'accès basé sur les rôles (RBAC), principe du moindre privilège (Least-Privilege).
MDCG 2019-16, Sec. 4.1
End-to-End Encryption, TLS 1.2+, gestion des clés, gestion des secrets, Hardware Security Modules (HSM) pour les clés sensibles.
MDCG 2019-16, Sec. 4.2
Signatures numériques, sommes de contrôle, Code Signing, vérification du firmware, mesures anti-falsification (Anti-Tampering).
MDCG 2019-16, Sec. 4.3
Journalisation complète des événements de sécurité, preuve d'inviolabilité (Tamper Evidence), pistes d'audit (Audit Trails), journaux immuables (Immutable Logs), monitoring & alerting.
MDCG 2019-16, Sec. 4.4
Graceful Degradation, mécanismes de basculement (Failover), atténuation des attaques DoS, planification de la continuité d'activité, réponse aux incidents (CSIRT).
MDCG 2019-16, Sec. 4.5
Plusieurs couches de sécurité (réseau, application, système), segmentation, pare-feux, IDS/IPS, Web Application Firewalls (WAF).
MDCG 2019-16, Sec. 3
Le fabricant doit documenter et communiquer clairement ces exigences dans l'IFU. L'exploitant (clinique, hôpital) est responsable de leur mise en œuvre – une responsabilité partagée (Shared Responsibility).
Chaque couche est conçue de manière indépendante et redondante. Une percée dans la couche 1 (réseau) ne signifie pas automatiquement un accès à la couche 3 (application). Cette défense en profondeur n'est pas optionnelle – c'est une norme réglementaire.
Le Threat Modeling n'est pas optionnel – c'est une activité exigée par la réglementation, que vous devez mener systématiquement afin d'identifier et d'évaluer les cyber-risques. La MDCG 2019-16 et l'IEC 62304 imposent aux fabricants d'élaborer et de documenter un Threat Model formel pour leur dispositif médical.
Du Data Flow Diagram à la Kill Chain – anticiper les attaques de manière structurée.
Visualisation du flux de données dans le système : processus, magasins de données, entités externes, frontières de confiance (trust boundaries). Les DFD révèlent où les données sont sensibles et où les attaquants pourraient s'introduire.
Beispiel: Un dispositif thérapeutique communique avec un backend cloud. Où circulent les données thérapeutiques ? Qui y a accès ? Où passent les frontières de chiffrement ?
VamiSec-Ansatz: VamiSec élabore des DFD à plusieurs niveaux : System-Level, Sub-System-Level, Network-Level.
Design Phase : créer DFD + analyse STRIDE
Development Phase : attack trees pour les fonctions critiques
Pre-Release : Kill Chain Mapping + évaluation MITRE ATT&CK
Post-Market : Continuous Threat Monitoring face aux nouvelles ATT&CK Techniques
VamiSec-Nachweise: Threat Model Report, Attack Tree Diagrams, Kill Chain Assessment, MITRE ATT&CK Mapping
La sécurité du début à la fin – non pas comme une réflexion après coup, mais comme un principe fondamental.
Un dispositif médical doté d'une architecture sécurisée et d'une bonne conception n'est qu'à moitié résolu – c'est l'implémentation réelle qui fait la différence. Le modèle SSDLC intègre des mesures de sécurité à chaque étape du développement logiciel : de la définition des exigences aux revues de code jusqu'à la surveillance continue en exploitation. DevSecOps automatise ces contrôles dans les pipelines CI/CD.
Tools: Outils de threat modeling, Risk Assessment Matrix, Security Requirement Specification
Tools: Architecture Review Board, Design Review Checklist, Security Standards (IEC 62443, SAE 21434)
Tools: Plateformes de revue de code (GitHub, GitLab), outils d'analyse des secrets, IDE d'analyse statique
Tools: SonarCloud/SonarQube (SAST), Snyk/Veracode (SCA), OWASP Dependency-Check, CycloneDX (SBOM), Burp Suite (DAST)
Tools: Listes de contrôle de durcissement, certificats de signature de code, outils de gestion de configuration
Tools: SIEM (p. ex. ELK, Splunk), systèmes de gestion des correctifs, outils CSIRT, intégration EUDAMED
DevSecOps automatise les contrôles de sécurité dans le pipeline CI/CD. Chaque commit de code est analysé automatiquement ; une release n'est possible que si les Quality Gates sont franchis.
Transparence totale sur les dépendances et la vulnérabilité – la conformité par l'automatisation.
Trois outils sont indispensables pour un Secure SDLC moderne : le SBOM (Software Bill of Materials) pour la transparence, le SAST (Static Analysis) pour les vulnérabilités du code et la SCA (Software Composition Analysis) pour les risques liés à l'open source. Ensemble, ils constituent la base des contrôles de sécurité automatisés dans les pipelines CI/CD.
Un SBOM est un inventaire lisible par machine de tous les composants logiciels, de leurs versions et de leurs dépendances. Il est de plus en plus exigé sur le plan réglementaire (CRA, MDR) et est essentiel pour le Vulnerability Management.
Le SAST analyse le code source SANS l'exécuter. Il identifie les vulnérabilités typiques (SQL Injection, XSS, Buffer Overflows, cryptographie non sécurisée, etc.) tôt dans le Development Cycle.
La SCA analyse les dépendances et les composants open source à la recherche de vulnérabilités connues (CVE). Elle mesure également la conformité des licences et fournit des recommandations de correctifs.
SBOM, SAST et SCA doivent être automatisés dans le pipeline CI/CD. Les Quality Gates garantissent qu'un code présentant des vulnérabilités critiques n'est pas mis en production.
VamiSec-Nachweise: Rapports SAST, rapports SCA, SBOM (format CycloneDX), logs des Quality Gates, suivi de la remédiation
Identification, évaluation et atténuation structurées des risques sur toutes les phases du cycle de vie.
L'ISO 14971 est la norme internationale de gestion des risques pour les dispositifs médicaux. Elle exige une évaluation systématique et documentée de tous les risques associés au produit – y compris les risques de cybersécurité. La MDR oblige les fabricants à mettre en place et à démontrer un système formel de gestion des risques conforme à l'ISO 14971.
Identification systématique de tous les risques : défauts de conception, défaillances de composants, comportements erronés des utilisateurs, cyberattaques, facteurs environnementaux.
Évaluation de chaque risque selon probabilité (Likelihood) × gravité (Severity) = valeur de risque. Définition des critères d'acceptation.
Mise en œuvre de mesures de réduction du risque : Design Changes, avertissements, formations, mises à jour logicielles.
Réévaluation après mise en œuvre des contrôles. Le risque résiduel est-il acceptable ?
Révision et actualisation périodiques de l'analyse de risque (notamment après de nouveaux CVE, schémas d'attaque, évolutions du marché).
Les risques de cybersécurité diffèrent des risques de sécurité (Safety) traditionnels : ils sont non déterministes, adaptatifs et en évolution permanente. La MDCG 2019-16 précise comment les intégrer dans l'ISO 14971 :
| Risiko-Kategorie | Beispiele | Mitigation |
|---|---|---|
| ● Risques d'authentification | Accès non autorisé via des identifiants volés; Attaques par force brute sur les mots de passe; Session Hijacking et Token Theft | Multi-Factor Authentication (MFA); Strong Password Policy et Rate Limiting; Secure Session Management, JWT Expiration |
| ● Risques d'intégrité | Manipulation des paramètres thérapeutiques ou des données patient; Altération (Tampering) du firmware ou de la configuration; Attaques Man-in-the-Middle (MITM) | End-to-End Encryption (TLS 1.2+); Signatures numériques et Code Signing; Intrusion Detection et Tamper Alerts |
| ● Risques de disponibilité (DoS/DDoS) | Indisponibilité de l'appareil suite à une cyberattaque; Surcharge de l'infrastructure cloud; Mise à l'arrêt par ransomware | Rate Limiting & DDoS Mitigation; Redundancy & Failover Mechanisms; Processus de sauvegarde et de restauration |
| ● Risques de confidentialité | Vol de données patients ou d'informations thérapeutiques; Divulgation de secrets d'affaires; Violations du RGPD | Encryption at Rest & in Transit; Access Control & Data Minimization; Conformité RGPD & Privacy by Design |
| ● Risques liés à la chaîne d'approvisionnement | Malware dans les composants open source; Compromised Dependencies ou Vendors; Matériel contrefait | SBOM & Software Composition Analysis (SCA); Vendor Security Assessment; Code Signing & Integrity Verification |
ISO 14971 impose une révision régulière de l'analyse de risque. En phase post-commercialisation, les déclencheurs suivants doivent être surveillés :
VamiSec vous aide à surveiller ces déclencheurs et à actualiser en continu l'analyse de risque – un processus étroitement lié au CSIRT et à la Post-Market Surveillance.
VamiSec-Nachweise: Risk Register, Risk Analysis Report (conforme ISO 14971), Risk Control Measures, Residual Risk Evaluation, Post-Market Risk Review Log
Détection précoce, réaction rapide, conformité réglementaire – disponibilité 24/7.
Une Computer Security Incident Response Team (CSIRT) n'est pas optionnelle – elle est le cœur opérationnel d'une gestion de la cybersécurité conforme à la MDR. Le CSIRT est l'interface entre la détection des vulnérabilités, les processus CVE, les équipes produit et les régulateurs. Vous devez mettre en place un CSIRT ou collaborer avec un prestataire CSIRT externe.
Le CSIRT surveille en continu les bases de données CVE (NVD, OSV, CISA KEV), les listes de diffusion de sécurité et les flux de Threat Intelligence. L'objectif est de détecter les nouvelles vulnérabilités le plus tôt possible – idéalement avant qu'elles ne soient activement exploitées.
Toutes les CVE ne présentent pas la même criticité. Le CSIRT évalue chaque vulnérabilité identifiée selon : l'Exploitability (à quel point la faille est-elle facile à exploiter ?), l'Impact (quel dommage est possible ?), les Affected Systems (quels produits sont concernés ?) et la disponibilité de correctifs.
Le CSIRT assure la coordination lorsque vous découvrez vous-même des vulnérabilités ou lorsque des Security Researcher externes vous contactent. Vous devez demander des numéros CVE (via CISA ou des partenaires CNA), documenter correctement les vulnérabilités et publier rapidement des correctifs.
Le CSIRT est l'interface entre la Threat Intelligence et les équipes techniques. Ses membres doivent avoir compris les vulnérabilités et être capables de prendre des décisions rapides et éclairées : patcher maintenant ? Solution de contournement ? Nouvelle version ? Rappel ?
VamiSec-Nachweise: Charte du CSIRT, SOP de réponse aux incidents, journal de surveillance des CVE, rapports d'évaluation des vulnérabilités, journal de gestion des patchs, modèles d'avis clients, enregistrements de soumission EUDAMED
Surveillance continue, réaction rapide, transparence réglementaire – le véritable travail commence après le lancement.
Un dispositif médical n'est pas "terminé" après son lancement. Au stade post-commercialisation, vous devez réagir en permanence aux problèmes de sécurité, aux réclamations des clients, aux nouveaux schémas d'attaque et aux évolutions du paysage des menaces. La MDR impose des processus formels de surveillance après commercialisation (PMS) ainsi qu'un Vigilance Reporting aux autorités en cas d'incidents graves.
La vigilance est le système de signalement des événements liés à la sécurité des patients. Lorsqu'un incident de cybersécurité entraîne ou aurait pu entraîner un préjudice pour un patient, il doit être signalé à l'autorité compétente.
Détection d'un incident de cybersécurité par le monitoring, les signalements clients, la Threat Intelligence ou une alerte du CSIRT.
Évaluation rapide : s'agit-il d'un Serious Incident ? Existe-t-il un risque pour la sécurité des patients ? Le CSIRT ainsi que les équipes Quality et Regulatory évaluent ensemble.
Engager des mesures immédiates : développement de patch, notification client, le cas échéant rappel produit, communication de solutions de contournement. Pour les incidents critiques : notification sous 24–48h.
En cas de Serious Incident : Vigilance Report à l'autorité compétente (Allemagne : BfArM), enregistrement dans EUDAMED et publication d'un avis client.
Analyse post-mortem : comment cela a-t-il pu se produire ? Qu'est-ce qui l'aurait empêché ? Analyse des causes profondes et amélioration des processus et des contrôles.
La European Database on Medical Devices (EUDAMED) est, depuis 2022, la plateforme de signalement pour tous les incidents dans l'UE. Tous les rapports soumis sont consultables publiquement.
VamiSec vous aide à établir les processus EUDAMED, à standardiser la classification des incidents et à mettre en œuvre l'intégration technique.
Combien de temps faut-il en moyenne pour détecter un incident de cybersécurité ? Objectif : < 1 semaine pour les incidents critiques.
Combien de temps faut-il pour fournir un patch ou une solution de contournement ? Objectif : < 2 semaines pour les CVE critiques.
Quel pourcentage de clients a déployé le patch en X semaines ? Objectif : > 80 % en un mois.
Avec quelle ponctualité les Serious Incidents sont-ils signalés aux autorités ? Conformité : ≤ 30 jours.
Combien de CVE sont classées comme « pertinentes pour notre produit » alors qu'elles ne le sont pas ? Objectif : < 10 %.
VamiSec-Nachweise: PMS Plan, Incident Detection Log, Risk Assessment Reports, Patch Deployment Log, EUDAMED Submissions, Customer Advisory Archive, Vigilance Report Templates, Post-Mortem Analysis Reports
La conformité avec MDCG 2019-16, IEC 62304 et les standards de cybersécurité est un processus structuré. VamiSec vous accompagne à travers quatre phases clairement définies, de l'analyse de votre situation initiale à la préparation finale à l'audit. Chaque phase est mesurable et documentée.
Inventaire complet et structuré : quel est votre statut actuel ? Quels processus existent déjà ? Où se situent les écarts ?
Développement et harmonisation des processus manquants ou incomplets. Accent sur le SSDLC, le Vulnerability Management et une documentation conforme à la réglementation.
Mise en œuvre en direct : les processus sont ancrés de manière opérationnelle, les outils sont réellement utilisés et les activités de sécurité sont documentées.
Préparation finale aux audits (internes ou réglementaires). La documentation est consolidée, la cohérence est vérifiée, les écarts restants sont comblés.
Analyse → Design → Mise en œuvre → Accompagnement – une méthode éprouvée et itérative.
VamiSec possède des années d'expérience dans l'accompagnement des entreprises de technologie médicale tout au long du parcours de conformité. Notre méthode est structurée, itérative et s'appuie sur des processus réels de développement de produits – et non sur des modèles idéalisés.
Inventaire complet et comparaison cible/réel.
Définition de la structure documentaire cible, définition des processus, sélection des outils.
Implémentation en direct : rédaction des SOPs, configuration des outils, formation des équipes.
Après le Go-Live : support, monitoring, adaptation aux nouvelles réglementations/menaces.
Votre programme est dirigé par une équipe multidisciplinaire :
La cybersécurité des dispositifs médicaux s'inscrit dans un réseau complexe de normes et de directives. Chaque norme régit un aspect particulier : la MDR encadre la surveillance du marché, la MDCG 2019-16 précise les exigences de sécurité, les normes IEC définissent la mise en œuvre technique, et l'ISO 14971 régit la gestion des risques.
Règlement européen applicable à tous les dispositifs médicaux. Il définit les exigences relatives aux fabricants, au système de management de la qualité, à l'évaluation clinique, à la surveillance post-commercialisation, au signalement de vigilance et à EUDAMED.
L'Annexe I exige une « cybersécurité à l'état de l'art » (précisée par la MDCG 2019-16). La gestion des risques de cybersécurité fait partie intégrante du SMQ.
Directive européenne officielle du Medical Device Coordination Group. Elle précise les exigences de la MDR en matière de cybersécurité.
Phases du cycle de vie, capacités de sécurité, exigences relatives à l'environnement d'exploitation, défense en profondeur, modélisation des menaces, surveillance post-commercialisation, vigilance et référencement des normes IEC (62304, 81001-5-1, 62443, etc.).
Norme internationale relative au cycle de vie logiciel des dispositifs médicaux. Elle définit les activités de chaque phase : planification, conception, implémentation, tests, mise en production, maintenance.
La MDCG 2019-16 référence l'IEC 62304 pour les exigences du SDLC. La cybersécurité doit être intégrée à chaque phase.
Norme internationale relative à la sécurité des réseaux et des communications dans les dispositifs médicaux connectés (appareils IoT, systèmes basés sur le cloud).
Authentification, chiffrement, intégrité, contrôle d'accès, journalisation, gestion des mises à jour, segmentation réseau.
Norme internationale relative à la cybersécurité des systèmes critiques (automobile, énergie, automatisation). Fréquemment appliquée aux dispositifs médicaux présentant un profil d'exigences de sécurité élevé.
Modèle de maturité à 4 niveaux : du niveau 1 (base) au niveau 4 (avancé). Les Security Capability Levels (SCL) définissent les mesures techniques requises.
Norme de product security engineering, issue à l'origine de l'industrie automobile. De plus en plus appliquée aux dispositifs médicaux.
Approche fondée sur les risques : modélisation des menaces, évaluation des vulnérabilités, conception sécurisée, développement sécurisé, tests de sécurité, surveillance post-lancement.
Norme internationale relative à la gestion des risques des dispositifs médicaux. Obligatoire au titre de la MDR.
La MDCG 2019-16 l'exige : les risques de cybersécurité doivent être intégrés au registre des risques ISO 14971. Il n'existe pas de processus distinct de gestion des risques de cybersécurité – tout relève d'une seule analyse des risques.
Règlement européen relatif à la cybersécurité des produits et services numériques. Complémentaire à la MDR ; entre en vigueur en 2025/2026.
Étend les exigences de cybersécurité au-delà de la seule sûreté : l'intégrité et la disponibilité doivent également être protégées.
Règlement général européen sur la protection des données. Il encadre le traitement des données des patients.
Les dispositifs médicaux qui collectent, stockent ou traitent des données de patients doivent être conformes au RGPD : Privacy by Design, minimisation des données, chiffrement, conservation, notification des violations.
Regulatory Know-how + Technical Depth + Operational Excellence
VamiSec n'est pas seulement une société de conseil en sécurité – nous sommes des spécialistes des technologies médicales et de la GRC avec des années d'expérience pratique en MDR, en conformité MDCG et en Secure SDLC. Nous combinons un savoir-faire réglementaire approfondi avec une expertise technique en sécurité et un pragmatisme opérationnel.
Vous bénéficiez des enseignements tirés de nombreuses implémentations – sans avoir à emprunter vous-même les chemins détournés.
Une conformité qui fonctionne et qui s'intègre à votre activité quotidienne – sans bureaucratie supplémentaire.
Un point de contact unique, une réflexion intégrée sur la sécurité, la conformité et le risque – pas de savoir fragmenté.
Un conseil fondé sur vos besoins, et non sur des structures de commissions.
VamiSec introduit un Threat Modeling structuré, basé sur les DFD, STRIDE et Attack Trees. Après 4 à 6 semaines : un Threat Model complet et documenté par produit.
Génération de SBOM + intégration d'un outil SCA dans le CI/CD. En l'espace de 2 semaines : un inventaire complet de toutes les dépendances avec contrôles CVE et un Patch Management établi.
Mise en place d'un CSIRT + SOP de Vulnerability Management. Désormais : détection des CVE < 24 h après publication, évaluation < 48 h, décision de correctif en < 72 h.
VamiSec mappe les exigences MDCG 1:1 sur vos processus existants ou propose des compléments. Pas de bureaucratie supplémentaire – tout est intégré au SDLC/QMS.
La cybersécurité des dispositifs médicaux n'est pas un projet ponctuel – c'est un processus continu. VamiSec est votre partenaire pour parcourir ce chemin de manière durable et fructueuse.
Demander une évaluation
