Pourquoi la télémédecine représente un risque pour la cybersécurité

Pourquoi la télémédecine représente un risque pour la cybersécurité | Stormshield

Voilà un peu plus d’un an que la téléconsultation est remboursée par la sécurité sociale en France. Or, si l’exercice présente de nombreux avantages, certains risques liés à la cybersecurité doivent être anticipés. Décryptage.

Avec la télémédecine, plus besoin de vous déplacer : votre rendez-vous avec le généraliste se déroule par écran interposé. L’exercice de pratiques médicales à distance (consultation, expertise, surveillance, assistance) se développe grâce aux télécommunications. Une avancée qui facilite l’accès aux soins partout et pour tous.

« Le numérique a bouleversé notre société, il est normal de repenser nos parcours de soins en conséquence, analyse Lydie Canipel, Secrétaire Générale de la Société Française de Télémédecine. Cela doit se faire d’un commun accord entre le médecin et le patient, mais la télémédecine est un excellent moyen de lutter contre les déserts médicaux. »

Ce mode de consultation est aussi particulièrement adapté dans le suivi de maladies chroniques. « Ce sont des pathologies lourdes et chères qui nécessitent un suivi rapproché. Bénéficier de deux téléconsultations entre ses rendez-vous annuels chez le cardiologue, c’est moins lourd pour le patient. Grâce au numérique, on a pu réinjecter du suivi de proximité », abonde-t-elle.

Plus rapide, plus pratique, plus équitable, la télémédecine présente nombre d’avantages. Mais est-elle si sûre ?

Des cyberattaques aux motivations diverses

La télémédecine comporte par nature des risques liés aux technologies sur lesquels elle repose. Un instrument médical informatisé, par exemple une pompe à morphine connectée, peut rencontrer un dysfonctionnement technique, mais surtout, il augmente les cyber risques. Et quand il s’agit d’opérations à distance, ce sont directement des enjeux vitaux qui rentrent en ligne de compte.

Et les motivations se révèlent diverses : revente des données personnelles, dont celles de santé, anéantissement d’un avantage concurrentiel, augmentation d’un pouvoir de négociation, voire sabotage opération militaire. « Nous pouvons tout imaginer, comme détourner un instrument de télémédecine pour surveiller un individu ou atteindre à sa vie », complète Robert Wakim, Offers Manager de Stormshield. Les six catégories de risques s’appliquent parfaitement à la télémédecine : l’intégrité des données, la confidentialité, la disponibilité, l’authentification, la traçabilité des échanges et l’imputation des actes. « Récemment il a été démontré qu’il est possible pour un hacker de modifier des résultats d’analyse, conduisant à un mauvais diagnostic. Mais il peut également bloquer l’accès aux dossiers des patients ou paralyser le matériel de santé – cette fois-ci pour obtenir une rançon. » Toujours dans le cadre d’opérations à distance, des hackers pourraient tenter de perturber la connexion de l’ordinateur du médecin, voire de l’éteindre ou d’en prendre les commandes…

La téléradiologie est, par exemple, un domaine qui permet de prendre conscience de ces enjeux. Robert Wakim détaille plusieurs scénarii d’attaques possibles. « L’attaquant peut modifier en temps réel les données envoyées depuis l’instrument de santé vers l’ordinateur du médecin ; il peut également changer l’interprétation de la commande directement dans l’instrument et modifier l’angle de prise de vue ; ou enfin, il peut prendre le contrôle de l’ordinateur du médecin et modifier le résultat affiché à l’écran. » Dans tous les cas, les résultats d’analyse seront erronés. Et le diagnostic faussé.

Dans ces conditions, comment permettre à la télémédecine d’apporter ses bénéfices tout en protégeant les patients, les personnels de santé et leurs données ?

Des solutions multiples pour contrer les attaques

Face aux cyber menaces, les professionnels de santé doivent ainsi considérer les quatre composantes du système, à savoir la communication, l’instrument, l’informatique et l’humain. La communication correspondant aux échanges de données qui permettent la manipulation de l’instrument à travers les outils informatiques de contrôle.

Côté outils, Stormshield possède une offre complète de solutions pour aider au mieux les professionnels de santé, comme le détaille Robert Wakim. « Une solution comme Stormshield Endpoint Security protège les postes d’extrémité et garantit qu’ils soient sains. Quant à Stormshield Network Security (SNS) et son système de VPN, on accroît la confidentialité des échanges en créant un tunnel chiffré “privé” et virtuel. SNS est également capable de faire de la vérification protocolaire, c’est-à-dire s’assurer que les données qui transitent respectent les normes d’échange. Une fois sur les serveurs ou sur les postes d’extrémité, des solutions comme Stormshield Data Security sont utiles pour protéger les données conformément au RGPD. »

Mais le premier et dernier rempart est bien le praticien ; qui est le mieux placé pour se rendre compte que quelque chose ne va pas et d’alerter au moindre doute. « Il faut absolument sensibiliser les professionnels de la médecine et télémédecine aux nouveaux risques et symptômes d’une cyberattaque » rappelle souligne Robert Wakim.

Il faut absolument sensibiliser les professionnels de la médecine et télémédecine aux nouveaux risques et symptômes d’une cyberattaque

Robert Wakim, Offers Manager Stormshield

Car la cybersécurité est aussi une affaire de réflexes et d’usages : « la structure de santé doit se renseigner sur sa solution de télémédecine. Elle doit notamment s’assurer de bien comprendre comment les données sont transmises, traitées, stockées et si des mises à jour régulières sont faites », rappelle l’expert.

Un message que passe également Lydie Canipel lorsqu’elle forme des professionnels de santé : « Nous ne sommes jamais à l’abri d’une cyberattaque. Il faut respecter les référentiels techniques de l’ASIP Santé ou les normes de la CNIL en matière de messagerie sécurisée, de marquage CE ou encore d’hébergeur de données de santé. Ces textes ont été pensés pour la sécurité du patient. » Un message repris à l’occasion d’une matinée organisée autour de la question de la protection des données de santé, Bernard Cassou-Mounat, Coordonnateur du secteur Santé à l'ANSSI, expliquait que « comme l'hygiène sanitaire, l'hygiène numérique doit rentrer dans les mœurs des professionnels de santé ».

Comme l’hygiène sanitaire, l’hygiène numérique doit rentrer dans les mœurs de professionnels de santé

Bernard Cassou-Mounat, Coordonnateur du secteur Santé à l'ANSSI

Enfin, les industriels aussi doivent changer leurs habitudes comme en atteste le projet de l’Agence nationale de sécurité de médicament (ANSM) qui devrait aboutir en fin d’année par l’envoi de recommandations aux fabricants de dispositifs médicaux. Un pas supplémentaire vers une télémédecine plus sûre.

Partager sur

Pour accroître la confidentialité des échanges et créer un tunnel privé et virtuel, la solution Stormshield Network Security offre une réponse efficace.
Pour collaborer en toute sérénité avec le chiffrement des données, la solution Stormshield Data Security propose une protection complète pour tout établissement de santé.

A propos de l'auteur

mm
Marco Genovese
Product Manager, Stormshield

Marco Genovese est né à Asti, petite ville italienne plus connue pour son excellent vin que pour ses infrastructures informatiques. Après une expérience à but non lucratif visant à amener l'Internet au grand public, Marco a étudié l'informatique et collaboré avec diverses entreprises du secteur de la sécurité. Il rejoint Netasq en 2008 en tant qu'Ingénieur Avant-Vente et décide, après quelques années, de combiner qualité de vie et accès aux infrastructures informatiques en déménageant à Paris. Il est désormais Product Manager.