Aller au contenu principal

menu
Menu

Nos experts partagent leur connaissance de l’environnement et vous accompagnent dans la compréhension des sujets d’actualités.

Retrouvez l'ensemble des publications de Sham.

Sham

5 min | le 15/09/20

Coronavirus, télémédecine et sécurité – Les mesures à suivre

Dans le contexte de la crise lié au coronavirus, les hôpitaux sont plus ciblés et plus exposés que jamais, les DSI/RSSI soutenus par les administrateurs doivent adopter une approche pratique et hiérarchisée pour sécuriser leurs services de télémédecine. 

Sécuriser la télémédecine, les mesures suivantes sont recommandées :

  • Adapter les exigences réglementaires aux pratiques, processus et structures fonctionnelles spécifiques que vous devrez intégrer dans l'infrastructure de votre offre de télémédecine :

- Identifier les outils ou technologies supplémentaires qui devront être développés ou achetés.

- Il est bien sûr important de garder à l'esprit que même si l'application de la réglementation est assouplie pendant une crise, elle finira par revenir et vos systèmes devront s'y conformer. 

  • Introduire la question de la sécurité au niveau de la conception et des processus et ce dès le début du processus de la sélection des fournisseurs : 

- Il faut insister auprès des fournisseurs pour qu'ils garantissent les meilleures pratiques de sécurité intégrées et le soutien continu dans les accords de niveau de service.

- Une évaluation indépendante de la position des fournisseurs en matière de cybersécurité et de risque de conformité doit être réalisée et figurer en bonne place dans les critères de sélection.

  • Vous assurer d'avoir des accords d'association commerciale (stricts pour les partenaires et fournisseurs de technologies/services tiers : 

- Ces partenaires et fournisseurs seront ainsi tenus responsables de la conformité à l'HIPAA et des meilleures pratiques en matière de sécurité de leurs activités et technologies. 

  • Fournir aux médecins des appareils dédiés à la télémédecine.
     
  • Configurer de manière restrictive les dispositifs de télémédecine pour bloquer les téléchargements des utilisateurs, la navigation sur Internet et les clients de messagerie électronique :

- Ces dispositifs ne doivent être fournis qu'avec les logiciels et applications nécessaires à l’utilisation prévue.

  • Identifier et supprimer les connexions externes/tiers aux segments de télésanté du réseau qui ne sont pas nécessaires sur le plan opérationnel.
     
  • Veiller à ce que des pare-feu pour les applications web soient mis en place et correctement configurés.
     
  • Envisager de limiter la connectivité de télésanté aux points d'entrée et de sortie des applications et des serveurs figurant sur la liste blanche et dont la légitimité et la nécessité sont confirmées.
     
  • Organiser des réunions semi-régulières entre les propriétaires d'applications, les services informatiques et les équipes de sécurité afin de suivre les dépendances et d'assurer une fonctionnalité entièrement corrigée, maintenue et interopérable. 
     
  • Configurer des dispositifs de télémédecine dédiés pour la gestion des mises à jour et de la sécurité à distance, orchestrée de manière centralisée.
     
  • Confirmer que les services de télémédecine utilisent des VPN légitimes, sécurisés, mis à jour/recommandés et correctement configurés.
     
  • Documenter soigneusement tout écart ou toute indulgence standard qui a été autorisé dans le cadre de l’effort d’expansion rapide du service de télémédecine pour répondre aux exigences de la pandémie :

- Cela est important pour que, lorsque la situation se sera calmer et qu'une gouvernance plus stricte aura été rétablie, les responsables sauront précisément quand concentrer leurs efforts et quelles mesures prendre.

  • Examiner, mettre à jour et valider toutes les politiques pertinentes, y compris le contrôle d'accès, l'utilisation acceptable et la protection/autorisation par mot de passe.
  • Marquer les hôtes/points terminaux de télémédecine pour la surveillance au niveau du CNA et l'examen régulier du journal d'activité.

Bien sûr, aucune infrastructure de télémédecine n'existe en vase clos et il est important que des pratiques de sécurité à l'échelle de l'organisation soient mises en place et complétées par des politiques fortes. Le personnel doit être formé non seulement à l'utilisation responsable des nouveaux outils et systèmes de télémédecine, mais aussi, de manière générale, aux principes de base de la cybersécurité.

La formation doit couvrir les bases d'une bonne gestion, la manière de repérer les menaces, les mesures à prendre et les personnes à contacter en cas d'accès à des documents suspects, la restriction de l'utilisation des navigateurs sur des dispositifs et des ressources cliniques spécifiques, l'application de contrôles d'accès physique, etc. En règle générale, la cybersécurité des soins de santé n'est réellement efficace que si son maillon le plus faible l'est. Il est donc vital que votre personnel n'amplifie pas les failles de votre système et de votre infrastructure.