Retour au blog
Cybersécurité Amélioration des pratiques
Publié le 15 septembre 2020 Modifié le 14 juin 2023
Auteurs
  • VHMN – user icon
    Les experts Relyens
Temps de lecture : 4 minutes

Coronavirus, télémédecine et sécurité – mesures à suivre

Dans le contexte de la crise lié au coronavirus, les hôpitaux sont plus ciblés et plus exposés que jamais, les DSI/RSSI soutenus par les administrateurs doivent adopter une approche pratique et hiérarchisée pour sécuriser leurs services de télémédecine.

Sécuriser la télémédecine, les mesures suivantes sont recommandées

  1. Adapter les exigences réglementaires aux pratiques, processus et structures fonctionnelles spécifiques que vous devrez intégrer dans l’infrastructure de votre offre de télémédecine
  •  Identifier les outils ou technologies supplémentaires qui devront être développés ou achetés.
  • Il est bien sûr important de garder à l’esprit que même si l’application de la réglementation est assouplie pendant une crise, elle finira par revenir et vos systèmes devront s’y conformer. 
  1. Introduire la question de la sécurité au niveau de la conception et des processus et ce dès le début du processus de la sélection des fournisseurs :
  • Il faut insister auprès des fournisseurs pour qu’ils garantissent les meilleures pratiques de sécurité intégrées et le soutien continu dans les accords de niveau de service.
  • Une évaluation indépendante de la position des fournisseurs en matière de cybersécurité et de risque de conformité doit être réalisée et figurer en bonne place dans les critères de sélection.
  1. Vous assurer d’avoir des accords d’association commerciale (stricts pour les partenaires et fournisseurs de technologies/services tiers
  • Ces partenaires et fournisseurs seront ainsi tenus responsables de la conformité à l’HIPAA et des meilleures pratiques en matière de sécurité de leurs activités et technologies. 
  1. Fournir aux médecins des appareils dédiés à la télémédecine
  2. Configurer de manière restrictive les dispositifs de télémédecine pour bloquer les téléchargements des utilisateurs, la navigation sur Internet et les clients de messagerie électronique
  • Ces dispositifs ne doivent être fournis qu’avec les logiciels et applications nécessaires à l’utilisation prévue.
  1. Identifier et supprimer les connexions externes/tiers aux segments de télésanté du réseau qui ne sont pas nécessaires sur le plan opérationnel.
  2. Veiller à ce que des pare-feu pour les applications web soient mis en place et correctement configurés.
  3. Envisager de limiter la connectivité de télésanté aux points d’entrée et de sortie des applications et des serveurs figurant sur la liste blanche et dont la légitimité et la nécessité sont confirmées.
  • Afin de suivre les dépendances et d’assurer une fonctionnalité entièrement corrigée, maintenue et interopérable.
  1. Organiser des réunions semi-régulières entre les propriétaires d’applications, les services informatiques et les équipes de sécurité
  • afin de suivre les dépendances et d’assurer une fonctionnalité entièrement corrigée, maintenue et interopérable.
  1. Configurer des dispositifs de télémédecine dédiés pour la gestion des mises à jour et de la sécurité à distance, orchestrée de manière centralisée.
  2. Confirmer que les services de télémédecine utilisent des VPN légitimes, sécurisés, mis à jour/recommandés et correctement configurés.
  3. Documenter soigneusement tout écart ou toute indulgence standard qui a été autorisé dans le cadre de l’effort d’expansion rapide du service de télémédecine pour répondre aux exigences de la pandémie :
  • Cela est important pour que, lorsque la situation se sera calmer et qu’une gouvernance plus stricte aura été rétablie, les responsables sauront précisément quand concentrer leurs efforts et quelles mesures prendre.
  1. Examiner, mettre à jour et valider toutes les politiques pertinentes, y compris le contrôle d’accès, l’utilisation acceptable et la protection/autorisation par mot de passe.
  2. Marquer les hôtes/points terminaux de télémédecine pour la surveillance au niveau du CNA et l’examen régulier du journal d’activité.

Bien sûr, aucune infrastructure de télémédecine n’existe en vase clos et il est important que des pratiques de sécurité à l’échelle de l’organisation soient mises en place et complétées par des politiques fortes. Le personnel doit être formé non seulement à l’utilisation responsable des nouveaux outils et systèmes de télémédecine, mais aussi, de manière générale, aux principes de base de la cybersécurité.

La formation doit couvrir les bases d’une bonne gestion, la manière de repérer les menaces, les mesures à prendre et les personnes à contacter en cas d’accès à des documents suspects, la restriction de l’utilisation des navigateurs sur des dispositifs et des ressources cliniques spécifiques, l’application de contrôles d’accès physique, etc. En règle générale, la cybersécurité des soins de santé n’est réellement efficace que si son maillon le plus faible l’est. Il est donc vital que votre personnel n’amplifie pas les failles de votre système et de votre infrastructure.

En savoir plus

Si vous désirez en apprendre plus sur les risques cyber et le fonctionnement de la télémédecine durant la pandémie actuelle de Covid-19, n’hésitez pas à consulter les autres travaux des experts Relyens :

Télécharger le livre blanc cyber

Sur le même sujet

Toutes les publications
Risque cyberattaque par rançongiciel
Cybersécurité Analyse de risque Protection Data technique & innovation

Comment la cyberattaque par rançongiciel impacte-t-elle les établissements de santé ?

il y a 4 moisDéjà lu
Coût d’une cyberattaque par rançongiciel ou ransomware
Cybersécurité Analyse de risque Protection Data technique & innovation

Comment estimer le coût d’une cyberattaque par rançongiciel dans un établissement de santé ?

il y a 6 moisDéjà lu
Protection contre les cyberattaques Relyens
Cybersécurité Analyse de risque Protection Data technique & innovation

Quels sont les points d’entrée des cyberattaques dans les établissements de santé ?

il y a 7 moisDéjà lu