Depuis un peu plus d’un an, la télémédecine est un acte remboursé par la sécurité sociale. Cette pratique, peu utilisée en France jusqu’à maintenant, est ultra sollicitée depuis l’arrivée de la crise du Covid-19. Or, si elle présente de nombreux avantages évidents en cette période de confinement et de pandémie, elle présente tout de même certains risques pour la cybersécurité.
Pourquoi la télémédecine représente-t-elle un risque pour la cybersécurité ?
Le numérique a bouleversé notre société à son arrivée, et le domaine de la santé aussi : avec la télémédecine, plus besoin de se déplacer, on peut avoir rendez-vous avec un médecin sans bouger de chez soi, ce qui facilite grandement l’accès aux soins pour les personnes vivant dans les déserts médicaux, pour ceux qui ne peuvent pas se déplacer ou pour le suivi de maladies chroniques, des pathologies lourdes qui nécessitent un suivi rapproché. La santé est désormais accessible partout, et pour tous.
Avec ces nouvelles pratiques, il est cependant primordial de repenser les parcours de soin, car la télémédecine, même si elle est plus rapide, plus pratique et plus équitable, présente par nature des risques importants liés aux technologies sur lesquelles elle se fonde. Et quand ces risques concernent un piratage de pompe à morphine connectée ou pire encore, une opération à distance, ce sont des vies qui sont en jeu.
Les motivations des pirates sont diverses, variées et nombreuses
Revente des données personnelles et du dossier médical sur le Dark Web, augmentation d’un pouvoir de négociation, demande de rançon, anéantissement d’un avantage concurrentiel entre hôpitaux ou laboratoire, sabotage, détournement d’un appareil de télémédecine pour surveiller ou attenter à la vie d’une personne… tout est envisageable, et les pirates informatiques ont beaucoup d’imagination.
La télémédecine entre dans les 6 principales catégories de risques de cyberattaques : intégrité des données, confidentialité, disponibilité, authentification, traçabilité des échanges et imputation des actes. Un hacker est tout à fait en mesure de modifier des résultats d’analyses par exemple, et fausser un diagnostic. Il peut aussi tout à fait bloquer l’accès aux dossiers des patients ou perturber la connexion de l’ordinateur d’un médecin ou en prendre les commandes.
Alors, comment permettre à la télémédecine de protéger les patients, le personnel et leurs données ?
Les solutions pour contrer les attaques sont nombreuses. Avant toute choses, les professionnels de santé doivent prendre en compte tout l’écosystème dans lequel ils travaillent, c’est-à-dire les moyens de communication (c’est-à-dire les échanges de données qui permettent aux médecins de se servir des instruments), l’instrument connecté, le système informatique et l’humain.
De nombreux outils existent pour protéger les données comme le chiffrage de celles-ci pour qu’elles puissent circuler de façon sécurisée d’un appareil à l’autre, mais le premier rempart contre ces attaques est sans conteste le praticien. Et c’est parce qu’il est le mieux placé pour lire des données erronées, se rendre compte qu’il y a quelque chose qui ne va pas et alerter d’une attaque qu’il est vital de sensibiliser les professionnels de la télémédecine aux nouveaux risques d’une cyberattaque.
La cybersécurité doit devenir un réflexe pour les professionnels de santé
Risques et symptômes d’une cyberattaque doivent être autant scrutés que les patients : pour cela, chacun doit savoir comment les données transitent, comment elles sont transmises d’un endroit à un autre, comment elles sont traitées et stockées.
Comme l’hygiène sanitaire, une bonne hygiène informatique et numérique est indispensable : faire les mises à jour à chaque fois que c’est nécessaire, respecter à la lettre les référentiels techniques de l’ASIP Santé et les normes de la CNIL. Pour les y aider, les industriels devraient bientôt s’y mettre eux aussi, en fabricant des dispositifs médicaux plus sûrs, pour une télémédecine plus sereine.