Les utilisateurs de smartphones ont accès à leurs comptes bancaires, magasins préférés et restaurants à proximité, le tout à portée de main. De plus en plus, ils ont également accès à leurs données de santé, que ce soit via une application grand public ou le portail patient de leur fournisseur.
Les applications de santé mobile (mHealth) peuvent responsabiliser les patients, rationaliser la communication et fournir une surveillance et une autogestion en temps réel des conditions médicales. Cependant, étant donné que ces applications collectent et transmettent des informations personnellement identifiables et des informations de santé protégées, partageant souvent ces données avec plusieurs entités, elles sont particulièrement vulnérables aux cybermenaces.
Pour les organisations de soins de santé qui évaluent leurs stratégies d’applications mHealth, voici quelques considérations clés en matière de sécurité et de déploiement.
Cliquez sur la bannière ci-dessous pour accéder au contenu exclusif de HealthTech et à une expérience personnalisée.
Les risques abondent pour les applications mHealth
Les trois principales catégories de risques pour les applications mHealth sont une mauvaise conception, les vulnérabilités des appareils et les habitudes des utilisateurs.
Lorsqu’il s’agit de la conception d’une application, les développeurs peuvent ne pas prendre les mesures appropriées pour assurer la sécurité des données à tous les niveaux, y compris l’appareil, le réseau et le centre de données. Une étude de HealthGlobal a révélé que plus de 80 % des applications de suivi des infections au COVID-19 divulguaient des données et que plus de 70 % des applications médicales testées présentaient au moins une vulnérabilité de sécurité de haut niveau.
Deuxièmement, l’appareil lui-même peut présenter un risque. Les smartphones peuvent être volés ou faire l’objet d’une utilisation non autorisée.
Les utilisateurs représentent un troisième type de risque : s’ils partagent des mots de passe, ou s’ils mélangent usage personnel et professionnel, les utilisateurs augmentent les risques de sécurité. De nombreux utilisateurs de smartphones se disent inquiets pour la vie privée, mais leur comportement imprudent dément souvent de telles préoccupations, ce qui entraîne un « paradoxe de la vie privée ». Malheureusement, les gens prennent souvent de mauvaises décisions en matière de confidentialité et de sécurité.
APPRENDRE ENCORE PLUS: Quels défis restent à relever pour la transformation numérique de la santé ?
Décomposer l’anatomie d’une application mHealth sécurisée
Comment les établissements de santé peuvent-ils créer une application mHealth sécurisée qui donne la priorité à la sécurité, à la confidentialité et à la conformité ? Commencez par les facteurs clés que toutes les applications mHealth doivent prendre en compte : authentification, gestion des privilèges, stockage et communication sécurisés des données, conformité, tests et installation :
- Authentification: Un mot de passe utilisateur et une authentification forts sont parmi les facteurs de sécurité les plus cruciaux. Ne stockez jamais les mots de passe en clair. Au lieu de cela, salez et hachez-les pour un meilleur cryptage et forcez les utilisateurs à réinitialiser les mots de passe oubliés. Chargez les formulaires de connexion via HTTPS et publiez-les sur HTTPS. Implémentez l’authentification multifacteur.
- Gestion des privilèges : Implémentez le principe du moindre privilège, en évaluant strictement les autorisations qui doivent être accordées à un programme. Si les pirates finissent par compromettre une application, ils ne pourront rien faire au-delà de ce que l’application fait normalement, comme élever les privilèges pour accéder aux bases de données sensibles.
- Stockage et communication sécurisés des données : Dans la mesure du possible, évitez de stocker des données sensibles sur l’appareil ou dans des sauvegardes. Protégez les informations sensibles stockées dans les fichiers en utilisant un cryptage fort et évaluez si un cryptage plus fort que le cryptage natif sur iOS ou Android est nécessaire. Mettre en œuvre une transmission réseau sécurisée des données sensibles.
- Conformité: HIPAA est la réglementation la plus pertinente, avec des directives claires concernant l’utilisation des informations d’identification confidentielles, le cryptage obligatoire, l’authentification et d’autres facteurs. Cependant, d’autres réglementations, telles que le Règlement général sur la protection des données de l’Union européenne, le California Consumer Privacy Act et le Children’s Online Privacy Protection Act, entrent souvent en jeu et peuvent imposer des exigences supplémentaires. Gardez à l’esprit que si l’application facilite le diagnostic, le traitement, la guérison ou l’atténuation d’un problème de santé, elle peut également nécessiter l’autorisation de la Food and Drug Administration des États-Unis.
- Test et publication : Des tests approfondis impliquent une variété d’étapes, mais avec les applications mHealth, il est essentiel de s’assurer que le code est exempt de logiciels malveillants et de toute vulnérabilité reconnue, telles que celles divulguées publiquement en tant que vulnérabilités et expositions communes. Une fois l’application testée, elle ne devrait être disponible que dans les magasins d’applications agréés. L’App Store d’Apple et le Google Play Store peuvent surveiller et contrôler les fonctionnalités de sécurité des applications avant et après leur mise à disposition pour téléchargement. Cela réduit le risque qu’un utilisateur installe une application potentiellement dangereuse.
Consultez les sources disponibles gratuitement pour obtenir des directives afin de vous assurer que les applications sont conçues dans un souci de sécurité, de confidentialité et de conformité. Il existe des recommandations pour les pratiques de codage générales (telles que la complexité et l’obscurcissement du code), l’utilisation de mécanismes anti-falsification et de protocoles de transfert robustes, le test de bibliothèques tierces, et bien plus encore.
Cliquez sur la bannière ci-dessous pour découvrir les principales tendances des technologies de la santé pour 2022.
Considérations relatives à l’externalisation des applications mHealth
Si les organisations choisissent d’externaliser le développement de leur application mHealth ou d’utiliser une application existante d’un tiers, les fournisseurs doivent être évalués en termes de sécurité et de confidentialité.
Demandez la preuve du traitement sécurisé des données par le vendeur, y compris la confidentialité, l’intégrité et la disponibilité des données personnelles pendant leur stockage, leur traitement et leur transmission.
Évaluez dans quelle mesure le fournisseur identifie les menaces pesant sur les données et quels contrôles sont en place pour répondre aux menaces connues et nouvellement découvertes.
Exigez la preuve que le fournisseur comprend la responsabilité et dispose d’un processus pour détecter et gérer les failles de sécurité potentielles. Insistez sur la documentation pour montrer que HIPAA et d’autres normes de conformité réglementaires sont respectées.
Examiner le niveau d’assistance disponible pendant et après la mise en œuvre. Inclure une évaluation du support technique pour les utilisateurs.
EN RELATION: Découvrez comment les plateformes virtuelles de physiothérapie vont au-delà de l’application.
Restez au top des applications mHealth
Qu’une application mHealth soit créée en interne ou sous-traitée, les organisations doivent désigner un membre de l’équipe pour être responsable de la sécurité, de la confidentialité et de la conformité. Sans point de contact unique, il est trop facile de supposer que quelqu’un d’autre les surveille.
Enfin, si une application mHealth n’offre pas une expérience utilisateur et un engagement confortables, ou ne s’intègre pas parfaitement dans les flux de travail existants, elle ne sera pas utilisée. Tout aussi important, prenez le temps de vous assurer que les utilisateurs connaissent les étapes nécessaires pour utiliser les applications mHealth en toute sécurité.
