Plateforme technologique académique, Esynov accompagne les fabricants de dispositifs médicaux dans l’intégration de la cybersécurité dès la phase de développement. Exemple avec Sublimed, concepteur du TENS connecté pour soulager la douleur : actiTENS.

A l’heure où les dispositifs médicaux connectés se multiplient et où les exigences réglementaires en matière de cybersécurité s’intensifient, tant en Europe qu’aux Etats-Unis, les fabricants de taille intermédiaire se trouvent souvent démunis face à la complexité technique et normative de ces obligations. C’est précisément dans cet espace que la plateforme technologique Esynov, rattachée à Grenoble INP, Esisar – UGA et basée à Valence, a su positionner son expertise. L'un de ses objectifs est de faire le lien entre l'excellence académique du laboratoire LCIS et la réalité des industriels qui ont de fortes contraintes en termes de délais, de coûts et de livrables...

L'actiTENS Mini est piloté par Bluetooth via une application smartphone (Source : Sublimed).

Depuis 2024, Esynov accompagne Sublimed, start-up fondée en 2015 et spécialisée dans les dispositifs de neurostimulation transcutanée (TENS) connectés. Son produit phare, l’actiTENS,  est un dispositif de petite taille, flexible et piloté par Bluetooth via une application smartphone. Pensé pour être plus discret que les TENS disponibles sur le marché, et donc moins stigmatisant pour le patient, il a encore gagné en compacité et en légèreté en version « mini » de nouvelle génération, sans compromis sur les performances.

Des obligations réglementaires croissantes

Pour Adrien Hallet, responsable QARA chez Sublimed, les contraintes sont clairement identifiées en ce qui concerne la cybersécurité : « Nous devons notamment respecter les exigences de la FDA, définies dans la guidance “Cybersecurity in Medical Devices: Quality Management System Considerations and Content of Premaket Submissions”, qui implique en particulier la réalisation de tests de vulnérabilité et des tests de pénétration sur les dispositifs (pentests). » Ces obligations s’inscrivent dans un cadre réglementaire qui tend à s’harmoniser à l’échelle internationale. En Europe, la norme IEC 60601-4-5 constitue l’une des références structurantes pour les fabricants souhaitant démontrer la robustesse de leurs produits en matière de cybersécurité. Aux Etats-Unis, la FDA a durci ses attentes en ce qui concerne la documentation de la sécurité numérique dans les dossiers de soumission précommerciale.

La cybersécurité, un impératif dès la conception

Pour Mickaël Seignobos, expert en cybersécurité des produits chez Esynov, « la manière la plus efficace de gérer la cybersécurité d’un dispositif médical est de l’intégrer dès les premières phases de conception ». Une démarche stratégique appelée Security by design. « En effet, si la sécurité doit être vérifiée en fin de développement via des tests qualité qui restent essentiels, ce n’est pas suffisant, constate-t-il. La découverte tardive d’une vulnérabilité peut impliquer une remise en question de l’architecture du produit, de certains choix matériels ou logiciels, voire des protocoles de communication utilisés. » Les conséquences d’une telle remise en cause tardive peuvent être très lourdes : retard de mise sur le marché, surcoûts de développement, risques sur le calendrier réglementaire. C’est pourquoi Esynov intervient le plus en amont possible, en sensibilisant les équipes de développement aux mécanismes fondamentaux : chiffrement des communications, authentification robuste, configuration sécurisée par défaut, gestion des mises à jour ou encore durcissement du produit (hardening).

Le pentest, un outil d’évaluation mais aussi d’apprentissage

Au-delà de la conformité réglementaire, le test de pénétration (pentest) constitue un moment structurant dans le cycle de développement d’un dispositif médical connecté. Chez Esynov, l’approche dépasse la simple production d’un rapport de vulnérabilités. « Notre mission principale est d’accompagner la montée en compétences des équipes des fabricants, souligne Mickaël Seignobos. Pour y parvenir, nous enrichissons nos interventions par des échanges constants avec l’entreprise : restitutions détaillées des méthodologies et résultats de pentests avec les recommandations associées, formations continues, revues de conception sécurisée et accompagnement technique des équipes de développement et de validation ». Concrètement, un pentest permet d’identifier les vulnérabilités affectant les composants logiciels, matériels ou les protocoles de communication. L’expert adopte une posture d’attaquant pour évaluer les scénarios réellement exploitables : attaque de type Man-in-the-Middle, fuzzing, analyses de protocole ou tentatives d’exploitation ciblées. La documentation produite à l’issue de ces tests enrichit les stratégies de test internes récurrentes pour valider la non-régression des mécanismes de cybersécurité d’une version à l’autre du dispositif.

Une collaboration ancrée dans la proximité

La particularité d’Esynov réside également dans son positionnement institutionnel. Plateforme technologique d’un établissement d’enseignement supérieur, elle combine des ressources académiques (laboratoires, accès aux dernières méthodologies de recherche du LCIS) avec une capacité opérationnelle orientée vers les contraintes industrielles réelles. L’équipe pluridisciplinaire (techniciens, ingénieurs, docteurs) représente plus de 350 jours d’expertise par an apportés aux industriels, toutes activités confondues. Pour Adrien Hallet, cette dimension humaine a été déterminante dans le choix de ce partenaire : « Esynov est un acteur local avec des collaborateurs bienveillants, compétents et réellement intéressés par nos projets ». Une structure qui illustre comment le transfert de technologie entre le monde académique et l’industrie peut constituer un levier concret pour les fabricants, qu’ils soient PME ou plus gros acteurs, dans leur parcours de mise sur le marché.

A voir sur le stand 23 de Medi'Nov 2026

www.esynov.fr