Aller au contenu principal

menu
Menu

Nos experts partagent leur connaissance de l’environnement et vous accompagnent dans la compréhension des sujets d’actualités.

Retrouvez l'ensemble des publications de Sham.

Sham

5 min | le 21/09/20

Télétravail, téléconsultations : attention aux cyber-attaques !

La crise sanitaire stimule le déploiement de la télémédecine, mais cette opportunité implique pour chacun des responsabilités à connaître et à rappeler.

Les perspectives de cette rentrée sont plutôt à l’alerte : l’évolution des statistiques appelle chacun à la prudence et fait réapparaître des procédures locales de distanciation plus strictes. Avec le spectre d’un nouveau confinement et des adaptations que chacun a dû trouver dans l’exercice de son activité professionnelle comme dans sa vie personnelle.
La première vague de la crise nous a donné l’occasion d’éprouver notre niveau réel de préparation comme de corriger nos postures. Il est maintenant temps de faire le point sur les enseignements de cette expérience inédite : les bonnes pratiques d’exercice à distance se déploient sur tous les axes, individuels, outillages logiciels et techniques, organisationnels.
 

La crise sanitaire nous pousse à faire bouger les lignes. Les organisations et les individus sont sollicités et doivent montrer des trésors de flexibilité et de résilience, développer leur capacité d’innovation et trouver en permanence de nouveaux compromis, quitte à déroger temporairement et raisonnablement à des principes éprouvés avant de retrouver un équilibre d’un meilleur niveau.
La nécessaire distanciation a ainsi obligé à mettre en œuvre massivement le télétravail. Cette pratique n’est pas nouvelle, mais un défaut individuel de sensibilisation des utilisateurs fait augmenter le niveau de risque sur les systèmes d’information et les données, sans en changer la nature : Individus et organisations doivent particulièrement observer des règles de prudence et de gestion rigoureuse.  
Les activités de consultation à distance ont été facilitées par les moyens de communication des professionnels de santé, par l’assouplissement temporaire des exigences réglementaires et, dans une certaine mesure, par les plateformes de mise en relation et les logiciels spécialisés. Au-delà des conditions organisationnelles et pratiques ainsi résolues, cette adoption s’expose à de nouveaux risques numériques qui exigent des mesures de sécurité et une maintenance adaptées ; la mésaventure d’une plateforme majeure de téléconsultation cet été nous le rappelle.
Afin de garantir un niveau de sécurité optimal, un ensemble de conditions dans lesquelles se trouve le patient ou s’exerce la pratique, sont requises. Elles ne concernent pas seulement les éléments techniques nécessaires à la qualité de la téléconsultation et du diagnostic, mais aussi, et prioritairement, l’intérêt du patient et la traçabilité de cet exercice.
Un rappel de ces conditions vous est proposé afin d’éviter les conséquences de pratiques défaillantes avec de potentielles mises en cause des responsabilités du professionnel de santé et d’autres scénarios indésirables.

Enfin, l’opportunité de la télémédecine dans l’ensemble des organisations de soins est à considérer comme toutes les autres infrastructures. La rapidité de l’adoption de son usage encourage à traiter correctement les conditions de sa protection, car le nombre de mise en relations et d’échanges ainsi créés accroissent la surface exposée aux incidents et menaces numériques. 
Ainsi, c’est l’ensemble de la communauté qui est concernée afin de pérenniser les conditions des télémédecines dont le déploiement est accéléré par la situation d’exception que nous connaissons.
 

Le télétravail expose aussi à certains virus


La nécessaire distanciation réclamée par la crise sanitaire actuelle a eu pour conséquence un départ massif en télétravail partout où cela était acceptable.
Lors du confinement, une grande partie des professionnels de santé a en effet exercé depuis le domicile ou d’autre lieux non préparés. Leur exposition aux risques numériques s’est alors vue renforcée, risques auxquels il convient d’être régulièrement sensibilisé. L’installation progressive du télétravail en tant que nouvelle normalité ne doit pas les banaliser, et les règles fondamentales une nouvelle fois rappelées en cette rentrée particulière.
L’usage des moyens informatiques hors des murs habituels a deux conséquences possibles et cumulables. D’une part, être extrait du périmètre de protection des moyens de l’établissement. D’autre part, entraîner une baisse de vigilance.
Quel que soit le secteur d’activité, les entreprises rappellent souvent à leurs collaborateurs en déplacement les rudiments de la protection : ne pas se connecter aux hotspots wifi publics sans utiliser les mesures de sécurité de l’organisation (passerelles de sécurité de l’organisation auxquelles l’utilisateur se connecte pour chiffrer et protéger l’ensemble de ses communications) et, dans l’ensemble, se méfier de son environnement. A ce propos, L’ANSSI (Agence Nationale de la Sécurité des systèmes d’informations) publie une sensibilisation et des recommandations pour ceux qui se déplacent avec des informations sensibles, les données de santé en faisant absolument partie.
Cette attitude de précaution devrait s’appliquer aussi au domicile. En effet, le télétravail expose les moyens informatiques aux usages domestiques individuels voire à ceux du foyer. Les données ne doivent pas être accessibles par des individus non autorisés, et l’utilisation des ressources (portables et tablettes) ne doit pas les exposer à des logiciels malveillants par un usage non professionnel (sites web potentiellement piégés, lecteurs USB pouvant contenir des fichiers compromis par des virus).

Les conséquences de ces inattentions et mauvaises pratiques peuvent donc aller de l’escroquerie individuelle, regrettable mais limitée, à la prise de contrôle complète de l’ordinateur. Ce dernier cas impactera directement les patients si la machine est utilisée dans un cadre de télémédecine, ou si l’attaquant peut prendre le contrôle d’autres ordinateurs de l’établissement. Ce mode opératoire reste très utilisé par les criminels pour dérober des données, mais surtout pour bloquer les établissements et les rançonner :

  • Le rapport publié par l’ANS (Agence Numérique de Santé) pour 2019 indiquait une progression de l’ordre de 20% des incidents de sécurité déclarés, et parmi eux, les rançongiciels avaient progressé de 40%.
  • Le rapport publié par l’ANSSI récemment fait état d’une aggravation importante de ce risque avec 104 attaques reportées et traitées par l’agence de janvier à août 2020. Il présente des retours d’expérience intéressants dont celui du CHU de Rouen, victime en 2019.

Lors de la première vague de l’épidémie de COVID-19 et du confinement, les établissements ont été notamment confrontés à la pénurie de machines permettant l’équipement des collaborateurs au domicile, pour ceux dont l’activité était déplaçable, ainsi qu’à la pénurie de moyens de connexion distante sécurisée.
Le retour sur les sites professionnels de ces utilisateurs et de leurs ordinateurs les a confrontés à des capacités de gestion parfois limitées et peu matures (gestion de parcs de machines, gestion des configurations et du niveau des mises à jour de sécurité et des logiciels de protection). 
La normalisation du télétravail et de ces mouvements de matériels rappelle qu’il est indispensable de maîtriser ces activités essentielles d’une part, et de se doter d’autre part d’architectures sécurisées afin de cloisonner et contrôler les accès depuis les machines des utilisateurs vers les données.
 

Téléconsultations : caméras HD ou caméras cachées

Il est certain que la réalisation des téléconsultations répond à de multiples besoins des patients comme aux contraintes des professionnels de santé. La disponibilité de plateformes de mise en relation et d’outils de communication soutient ce développement.
Néanmoins cette pratique est encadrée (voir article Téléconsultation) par des exigences qui sont de nouveau applicables.

Quels sont les scénarios de risques qu’elles visent à réduire ?
Quelles sont les conséquences de consultations sauvages ?

La qualité du diagnostic qui peut être posé questionne d’abord les moyens disponibles.

Comment réaliser des diagnostics adaptés ou assurer les précautions nécessaires d’identitovigilance sans équipement vidéo d’une qualité suffisante chez le patient ?
Quelles imprécisions ont pu se produire lors de consultations téléphoniques ?
Il est nécessaire de faire confiance au patient, à sa compréhension et son intégrité.
Malgré tout, lorsque des échanges de documents sont nécessaires, la consultation téléphonique ou sur des canaux grand public reste proscrite.

Admettons qu’un compte rendu ou une prescription soient envoyés dans un format word et par messagerie, qu’advient-il ?
Au-delà de la confidentialité, l’intégrité même des documents ne peut être garantie. Le diagnostic ou la prescription pourraient être altérés de façon malveillante. La falsification de la prescription par le patient lui-même est aussi une possibilité à prendre en compte.
Le professionnel de santé et son patient ont donc tous deux besoins que cet échange fasse l’objet d’une trace qui permette d’éviter modifications et fraudes, et de limiter les responsabilités.

La nécessité de tracer la téléconsultation dans le dossier du patient est donc très claire :

  • L’absence de trace, par exemple car le dossier n’est pas accessible, a deux conséquences directes :
    • Une perte de qualité en l’absence de suivi possible
    • Une situation de complication non défendable en l’absence des éléments factuels retraçant la démarche ayant permis, à date, d’établir le diagnostic
  • Le stockage non protégé, au contraire, expose toutes les données confidentielles stockées à leur divulgation et à la rupture du secret médical.
    Par exemple, lors d’une compromission de l’ordinateur ou des périphériques de stockage, lorsqu’un disque ou une clé USB sont perdus ou volés, ou que l’ordinateur est paralysé par un rançongiciel.

En l’absence d’un contexte sécurisé de traitement des éléments, la conservation artisanale des données peut se révéler une très mauvaise idée pour leur confidentialité en les concentrant avant de les exposer.

En matière de téléconsultation, le logiciel et les moyens ne font pas tout. Ils peuvent être vulnérables ou mal déployés, comme le cas de Doctolib l’a montré fin juillet .
Les établissements doivent donc, dans le cadre de déploiements, respecter les pratiques de sécurité dans les projets et dans la maintenance de ces moyens, nous y revenons dans un autre article (CyberMDX 2).