La popularité croissante des appareils portables dans le secteur de la santé a permis de nouvelles avancées en matière de détection, de prévention et de traitements médicaux. Inversement, elle a aussi ouvert la porte à des problèmes de sécurité croissants dans ce même secteur. Ces appareils enregistrent et stockent une quantité importante de données utilisateur personnellement identifiables. Les cybercriminels peuvent en profiter pour récupérer des données privées sur vos appareils connectés.
Une récente étude publiée dans le Health Information Management Journal montre que la plupart des utilisateurs ne sont pas conscients des risques de sécurité liés à ces appareils. Dans cet article, nous pointerons les problèmes de cybersécurité rencontrés par le secteur de la santé à cause d'appareils IoT et portables. Vous verrez également comment les organisations de santé répondent aux préoccupations en matière de collecte de données et de confidentialité des données utilisateur grâce à des méthodes de cybersécurité évoluées. Enfin, nous expliquerons la difficulté d'équilibrer la collecte et l'analyse des données à des fins de diagnostic et de traitement et le respect des exigences de confidentialité des patients et des obligations de conformité juridique.
Pourquoi les appareils médicaux portables présentent-ils des risques ?
Un article du Journal of Healthcare Engineering intitulé « Recherches sur la sécurité des données et la protection des données confidentielles des équipements portables dans le domaine de la santé » définit ces appareils comme un « d'importants nœuds de réseaux pour l'interconnexion médicale ». Votre Apple Watch et votre bracelet Fitbit surveillent des données en temps réel liées à votre température corporelle, votre humeur, votre sommeil et votre comportement physique.
Les appareils portables recueillent ces détails en permanence et les transfèrent à un cloud connecté. Les transferts de données non protégés rendent ces appareils « vulnérables aux attaques et aux fuites de données ». C'est un point faible que les cybercriminels avertis peuvent très vite attaquer car les montres intelligentes et les biocapteurs ne possèdent ni protection par mot de passe, ni sécurité biométrique des données, ni chiffrement pour préserver les données médicales. Les pirates expérimentés peuvent utiliser les réseaux point-à-point, les connectivités Wi-Fi non sécurisées et autres points d'accès pour les infiltrer.
En outre, des technologies défectueuses, des liens de données brisés et l'absence de mots de passe chiffrés rendent ces appareils vulnérables aux menaces. (Jiang et Shi, 2021)
La fréquence d'utilisation des appareils portables et la quantité d'informations que les utilisateurs y intègrent accentuent encore cette vulnérabilité.
Que se passe-t-il après une violation de sécurité ?
Il est possible que les malfaiteurs utilisent les informations médicales de l'utilisateur pour mettre la main sur des ordonnances et les revendent ou les utilisent. Les violations de sécurité peuvent en outre créer des incohérences dans le traitement des patients car le principal prestataire de santé aura reçu des informations incomplètes. Les pirates peuvent également utiliser les informations disponibles pour récupérer vos coordonnées bancaires, votre adresse et autres données précieuses.
Ils peuvent aussi injecter des logiciels malveillants et des virus dans votre base de données centrale pour viser le système de santé lui-même.
Enfin, les établissements de santé et les fabricants d'appareils portables sont tenus responsables du non-respect de la législation sur la vie privée et des systèmes réglementaires. Cela peut donc nuire aux sociétés liées à la fabrication, la distribution ou la vente d'équipements portables. Les fabricants peuvent alors se trouver face à de coûteuses actions en justice si le porteur signale une mauvaise utilisation des informations à l'ère de l'IoT de la santé.
Colmater les failles de cybersécurité à l'aide d'une mesure équilibrée
Pour de nombreux spécialistes, l'introduction d'appareils portables dans les programmes de santé peut représenter un dilemme. D'un côté, les établissements médicaux souhaitent optimiser la collecte des données grâce à des technologies et des applications intelligentes. Les praticiens de santé peuvent utiliser les informations acquises à des fins de premier diagnostic, de bilan mensuel et de traitement.
D'un autre côté, les équipes de gestion de ces établissements doivent veiller à ce que les règlements sur la confidentialité des données de l'utilisateur et la conformité juridique ne soient pas violés par l'échange de données médicales.
De nombreux prestataires de santé cherchent à limiter ces risques de sécurité en utilisant ces matériels portables pour des suivis de santé quotidiens ou des diagnostics de routine. L'une de leurs méthodes consiste à élaborer des systèmes durables et peu risqués de stockage des données sur le cloud qui nécessitent une authentification à deux facteurs. Les utilisateurs doivent suivre les étapes nécessaires pour accéder à la base de données sur le cloud et à d'autres espaces de stockage.
Il est aussi possible d'intégrer des dispositifs de sécurité reposant sur la technologie de blockchain pour optimiser l'intégration des données et les canaux de sécurité. IBM décrit cette technique comme une solution de « gestion complète des risques » qui s'appuie sur une solide infrastructure de cybersécurité antipiratage. Ces solutions numériques rassurent les utilisateurs sur la fiabilité des transferts de données et des transactions. Les industriels de santé collaborent dans la plupart des cas avec les spécialistes de l'IoT sur des questions de cryptographie, de décentralisation et de consensus.
Ces mesures supplémentaires peuvent aider les utilisateurs d'appareils médicaux portables à soustraire leurs données personnellement identifiables aux yeux trop curieux.
Conclusion
Sans un système de cybersécurité performant, votre équipement portable et votre configuration de stockage sur le cloud peuvent être vulnérables aux attaques. L'appareil, par exemple, peut se mettre à dysfonctionner sous le coup d'une attaque virale. C'est pourquoi la sécurité et la confidentialité des données des utilisateurs d'appareils médicaux portables ne doit pas être considérée comme facultative. Les industriels de la santé doivent au contraire en faire une partie intégrante obligatoire de leurs plans de développement. Les utilisateurs de ce type d'équipement ont un droit officieux d'être totalement protégés contre les réseaux non sécurisés et les pertes de données éventuelles.
L'intégration de la sécurité devrait être une pratique courante pour les installations médicales qui utilisent des appareils portables dans le cadre de leurs programmes de soins. Pour protéger la sécurité des utilisateurs, les choix standard sont notamment des mots de passe protégés, des systèmes d'authentification bidirectionnels, des systèmes de blockchain et des canaux de communication chiffrés pour limiter les risques.
Ces mesures préventives permettent aux établissements de santé de recueillir les informations utiles sans compromettre la confidentialité des données des patients. Les spécialistes peuvent ainsi gérer les dossiers médicaux et continuer à suivre les progrès de chaque patient sans prêter le flanc à des menaces de cybersécurité.
