Téléconsultation : comment garantir votre cybersécurité ?

Téléconsultation : une pratique accrue, exposée à de nouveaux risques

En raison de l'épidémie de Covid-19, la téléconsultation de médecins a explosé au cours des 3 dernières années, a fortiori depuis son remboursement par l’Assurance maladie. Les patients peuvent désormais consulter un professionnel de santé via de nombreux canaux :

• une plateforme de vidéotransmission (Doctolib, Qare, etc.) ;
• un outil de téléconsultation développé par une Agence régionale de santé (ARS) ;
• une cabine Medadom de téléconsultation en pharmacie, en Ehpad ou encore en MSP (Maison de santé pluriprofessionnelle) ;
• une plateforme développée par une complémentaire santé, à l'image du service de téléconsultation Med&Vous de Generali, qui vous propose d’autres services comme le second avis médical ;
• un autre outil (téléphone, Skype, Zoom, etc.).

9,4 millions de téléconsultations
auprès d'un médecin généraliste ont été réalisées en 2021, contre seulement 80 000 en 2019 ⁽¹⁾.

Or, la croissance de la téléconsultation et la pluralité des canaux d’utilisation exposent les professionnels de santé et les patients à de nombreux risques informatiques, jusqu’à présent inexistants ou presque.

• Le phishing : aussi appelée hameçonnage, cette technique consiste à se faire passer pour un organisme connu du patient (un service de téléconsultation par exemple) en utilisant son nom et son logo.
• Les malwares : il s'agit d'un logiciel malveillant, susceptible notamment de chiffrer, supprimer ou détourner les données personnelles. Il peut par exemple être téléchargé par erreur, en pensant utiliser un logiciel de téléconsultation.
• Le déni de service : cette pratique consiste à envoyer un grand nombre de requêtes à vos serveurs informatiques, par le biais de vos services de téléconsultation par exemple, afin de les paralyser.
• Le vol de mots de passe : via un logiciel dédié, les pirates informatiques peuvent tester un maximum possible de combinaisons pour trouver les mots de passe d'individus, notamment ceux utilisant un service de téléconsultation par exemple.
• Les attaques de type « Man-in-the-middle » : cette technique consiste à intercepter les échanges de données entre deux parties, sans que celles-ci ne s'en aperçoivent. Cela peut notamment se produire entre un patient et un médecin en consultation visio.

Cyberattaques : des conséquences plurielles pour la téléconsultation

Hôpitaux, Maisons de santé pluriprofessionnelles (MSP), professionnels de santé, pharmacies avec une borne... tous les acteurs de la téléconsultation sont confrontés à diverses menaces pouvant altérer la qualité globale de service. Des menaces dont les conséquences sont nombreuses.

• Indisponibilité des services : les cyberattaques sont susceptibles de perturber ou paralyser les services proposés aux patients (téléconsultation, messagerie sécurisée, carnet de santé numérique, etc.).
• Perte de données sensibles : les données de santé, par nature sensibles, peuvent être compromises en raison d’une attaque informatique. Cela peut notamment concerner les informations des patients, les plannings d'interventions médicales ou encore les données relatives à la gestion des ressources humaines.
• Perturbation de l'activité : les attaques de grande ampleur peuvent également perturber l’activité médicale en tant que telle. À titre d’exemple, cela peut rendre indisponible un plateau technique ou le système informatique d’un acteur de la santé (pharmacie, hôpital, etc.).

Comme le rappelle d'ailleurs l'Agence du numérique en santé, le risque est d’autant plus grand que le secteur médical est inégalement mature face au risque numérique ⁽²⁾.

Comment assurer la cybersécurité des téléconsultations médicales ?

Face à ces nombreux risques, plusieurs gestes s’imposent pour garantir la cybersécurité de votre service de téléconsultation médicale.

1. Évaluer les cyber-risques en présence : la sécurisation de vos services de téléconsultation passe avant tout par la réalisation d'audits cybers réguliers afin de détecter toute éventuelle faille.
2. Adopter un système informatique adéquat : quelle que soit la nature de votre activité, vous devez vous doter de solutions informatiques vous permettant d'être alerté en cas de cyberattaque ou de tentative. L'enjeu est d'intervenir au plus vite afin de limiter les conséquences d’une éventuelle intrusion.
3. Assurer la protection des appareils : chaque équipement connecté à Internet peut constituer une porte d’entrée pour les pirates informatiques. C’est pourquoi, tous les appareils doivent être régulièrement contrôlés, les logiciels antivirus mis à jour et les mots de passe modifiés.
4. Sensibiliser les praticiens : vos équipes doivent être sensibilisées aux enjeux de cybersécurité et aux différents risques en présence. Des formations et du contenu pédagogique sont d'ailleurs indispensables pour leur apprendre les bons gestes à adopter au quotidien.
5. Informer les patients : vous devez communiquer auprès des patients pour éviter qu’ils ne se mettent en danger par ignorance. À titre d’exemple, vous pouvez leur rappeler que vous ne leur demanderez jamais leurs informations personnelles par SMS ou par e-mail.
6. Signaler les incidents : tout incident doit impérativement être communiqué dans les plus brefs délais sur le Portail de signalement des événements sanitaires indésirables, dans la mesure où il constitue un risque important pour la santé publique.

Le saviez-vous ? Avec l'assurance Generali Protection Numérique, vous êtes accompagné par des experts pour mieux maîtriser les cyber-risques, notamment ceux touchant vos services de téléconsultation.

^{Sources :
(1) Sept téléconsultations de médecine générale sur dix concernent en 2021 des patients des grands pôles urbains - Drees - 2022
(2) Cybersécurité dans le secteur de la santé et du médico-social : une priorité nationale pour réussir la transformation numérique - Agence du numérique en santé -– 2021}