Voilà un peu plus d’un an que la téléconsultation est remboursée par la sécurité sociale en France. Or, si l’exercice présente de nombreux avantages, certains risques liés à la cybersecurité doivent être anticipés. Décryptage.
Avec la télémédecine, plus besoin de vous déplacer : votre rendez-vous avec le généraliste se déroule par écran interposé. L’exercice de pratiques médicales à distance (consultation, expertise, surveillance, assistance) se développe grâce aux télécommunications. Une avancée qui facilite l’accès aux soins partout et pour tous. « Le numérique a bouleversé notre société, il est normal de repenser nos parcours de soins en conséquence, analyse Lydie Canipel, Secrétaire Générale de la Société Française de Télémédecine. Cela doit se faire d’un commun accord entre le médecin et le patient, mais la télémédecine est un excellent moyen de lutter contre les déserts médicaux. » Ce mode de consultation est aussi particulièrement adapté dans le suivi de maladies chroniques. « Ce sont des pathologies lourdes et chères qui nécessitent un suivi rapproché. Bénéficier de deux téléconsultations entre ses rendez-vous annuels chez le cardiologue, c’est moins lourd pour le patient. Grâce au numérique, on a pu réinjecter du suivi de proximité », abonde-t-elle.
Plus rapide, plus pratique, plus équitable, la télémédecine présente nombre d’avantages. Mais est-elle si sûre ?
Des cyberattaques aux motivations diverses
La télémédecine comporte par nature des risques liés aux technologies sur lesquels elle repose. Un instrument médical informatisé, par exemple une pompe à morphine connectée, peut rencontrer un dysfonctionnement technique, mais surtout, il augmente les cyber risques. Et quand il s’agit d’opérations à distance, ce sont directement des enjeux vitaux qui rentrent en ligne de compte.
Et les motivations se révèlent diverses : revente des données personnelles, dont celles de santé, anéantissement d’un avantage concurrentiel, augmentation d’un pouvoir de négociation, voire sabotage opération militaire. « Nous pouvons tout imaginer, comme détourner un instrument de télémédecine pour surveiller un individu ou atteindre à sa vie », complète Robert Wakim, Offer Manager Stormshield. Les six catégories de risques s’appliquent parfaitement à la télémédecine : l’intégrité des données, la confidentialité, la disponibilité, l’authentification, la traçabilité des échanges et l’imputation des actes. « Récemment il a été démontré qu’il est possible pour un hacker de modifier des résultats d’analyse, conduisant à un mauvais diagnostic. Mais il peut également bloquer l’accès aux dossiers des patients ou paralyser le matériel de santé – cette fois-ci pour obtenir une rançon. » Toujours dans le cadre d’opérations à distance, des hackers pourraient tenter de perturber la connexion de l’ordinateur du médecin, voire de l’éteindre ou d’en prendre les commandes…
La téléradiologie est, par exemple, un domaine qui permet de prendre conscience de ces enjeux. Robert Wakim détaille plusieurs scénarii d’attaques possibles. « L’attaquant peut modifier en temps réel les données envoyées depuis l’instrument de santé vers l’ordinateur du médecin ; il peut également changer l’interprétation de la commande directement dans l’instrument et modifier l’angle de prise de vue ; ou enfin, il peut prendre le contrôle de l’ordinateur du médecin et modifier le résultat affiché à l’écran. » Dans tous les cas, les résultats d’analyse seront erronés. Et le diagnostic faussé.
Dans ces conditions, comment permettre à la télémédecine d’apporter ses bénéfices tout en protégeant les patients, les personnels de santé et leurs données ?
Des solutions multiples pour contrer les attaques
Face aux cyber menaces, les professionnels de santé doivent ainsi considérer les quatre composantes du système, à savoir la communication, l’instrument, l’informatique et l’humain. La communication correspondant aux échanges de données qui permettent la manipulation de l’instrument à travers les outils informatiques de contrôle.
Côté outils, Stormshield possède une offre complète de solutions pour aider au mieux les professionnels de santé, comme le détaille Robert Wakim. « Une solution comme Stormshield Endpoint Security protège les postes d’extrémité et garantit qu’ils soient sains. Quant à Stormshield Network Security (SNS) et son système de VPN, on accroît la confidentialité des échanges en créant un tunnel chiffré “privé” et virtuel. SNS est également capable de faire de la vérification protocolaire, c’est-à-dire s’assurer que les données qui transitent respectent les normes d’échange. Une fois sur les serveurs ou sur les terminaux, des solutions comme Stormshield Data Security sont utiles pour protéger les données conformément au RGPD. »
Mais le premier et dernier rempart est bien le praticien ; qui est le mieux placé pour se rendre compte que quelque chose ne va pas et d’alerter au moindre doute. « Il faut absolument sensibiliser les professionnels de la médecine et télémédecine aux nouveaux risques et symptômes d’une cyberattaque » rappelle souligne Robert Wakim.
Il faut absolument sensibiliser les professionnels de la médecine et télémédecine aux nouveaux risques et symptômes d’une cyberattaque
Robert Wakim, Offers Manager Stormshield
Car la cybersécurité est aussi une affaire de réflexes et d’usages : « la structure de santé doit se renseigner sur sa solution de télémédecine. Elle doit notamment s’assurer de bien comprendre comment les données sont transmises, traitées, stockées et si des mises à jour régulières sont faites », rappelle l’expert.
Un message que passe également Lydie Canipel lorsqu’elle forme des professionnels de santé : « Nous ne sommes jamais à l’abri d’une cyberattaque. Il faut respecter les référentiels techniques de l’ASIP Santé ou les normes de la CNIL en matière de messagerie sécurisée, de marquage CE ou encore d’hébergeur de données de santé. Ces textes ont été pensés pour la sécurité du patient. » Un message repris à l’occasion d’une matinée organisée autour de la question de la protection des données de santé, Bernard Cassou-Mounat, Coordonnateur du secteur Santé à l'ANSSI, expliquait que « comme l'hygiène sanitaire, l'hygiène numérique doit rentrer dans les mœurs des professionnels de santé ».
Comme l’hygiène sanitaire, l’hygiène numérique doit rentrer dans les mœurs de professionnels de santé
Bernard Cassou-Mounat, Coordonnateur du secteur Santé à l'ANSSI
Enfin, les industriels aussi doivent changer leurs habitudes comme en atteste le projet de l’Agence nationale de sécurité de médicament (ANSM) qui devrait aboutir en fin d’année par l’envoi de recommandations aux fabricants de dispositifs médicaux. Un pas supplémentaire vers une télémédecine plus sûre.
