Vulnérable aux cyberattaques, mettant en danger la vie privée et la santé des patients
Voici comment fonctionne cette arnaque : un code QR est remplacé par un clone qui redirige les utilisateurs vers un faux site Web qui semble légitime : des logos et des formulations dupliqués, suffisamment similaires à ceux d’un site de confiance. Une fois qu’un patient arrive et commence à fournir des données, celles-ci sont interceptées par de mauvais acteurs. Ces escroqueries par scan ont été multipliées par sept en 2022 par rapport aux années précédentes.
De faux codes QR sont également utilisés dans les campagnes de courrier électronique sortant, encourageant les patients à scanner un code QR redirigeant vers des sites illégitimes visant à collecter des informations personnelles ou des informations de connexion. Des informations telles que les antécédents médicaux, les informations de sécurité sociale, l’identification personnelle, l’accès aux portails des patients, etc. sont collectées et potentiellement vendues sur le dark web.
En termes de cybersécurité, les codes QR sont considérés comme faisant partie de la surface d’attaque globale. C’est juste une chose de plus dont il faut s’inquiéter. Dans le même temps, le personnel de communication souhaite les utiliser et forme les patients à adopter des cyber-comportements dangereux en leur demandant de faire confiance à quelque chose qui semble anodin. C’est frustrant : les codes QR apportent une réelle valeur ajoutée lorsqu’ils sont utilisés efficacement, mais ils ne seront jamais sans risque.
Les codes QR sont là pour rester dans les soins de santé
La simple facilité d’engagement avec les patients et la possibilité pour les prestataires de mettre facilement à jour les informations créent une expérience fluide et quasiment en temps réel. Bien qu’il soit possible de générer des codes QR avec des fonctionnalités de sécurité (telles que l’authentification unique, l’authentification multifacteur, etc.), chaque étape supplémentaire supprime la simplicité d’utilisation d’un code QR pour diriger les patients vers des informations critiques.
Les cyber-adversaires tenteront de compromettre les codes QR, car le volume de codes, combiné à la base d’utilisateurs ciblés qui en dépend, constitue une cible juteuse. La tâche des équipes informatiques de santé est de déjouer les cyber-adversaires et de garantir que les codes QR utilisés sont moins susceptibles d’être falsifiés.
Protégez la vie privée des patients grâce à de bonnes habitudes de cybersécurité
Réduisez la possibilité pour les cyber-adversaires de capturer les données des patients en leur enseignant de bonnes habitudes en matière de cybersécurité. Voici plusieurs bonnes pratiques que les patients devraient suivre lorsqu’ils interagissent avec les codes QR :
- Vérifiez l’authenticité de l’adresse Web du code QR numérisé. Déterminez si le site semble légitime. Y a-t-il des fautes de frappe ou un caractère déplacé ? Si tel est le cas, ne continuez pas.
- Utilisez l’appareil photo de votre smartphone pour scanner le code et vous assurer que votre système d’exploitation est à jour.
- Considérez où le code QR est affiché.
- Ne saisissez pas d’informations personnelles provenant d’un site servi à partir d’un code QR.
- Évitez de télécharger des applications via un code QR. Utilisez plutôt la boutique d’applications de votre smartphone.
- Exécutez un logiciel de sécurité mobile.
Les créateurs de codes QR peuvent aider en faisant appel à des sociétés qui proposent une génération sécurisée de codes QR et la possibilité de personnaliser le domaine avec la marque de l’établissement de santé. Définissez une politique pour l’organisation et assurez-vous que tous les membres de l’équipe savent où obtenir les codes approuvés.
Dans l’ensemble, la sécurité des codes QR se résume à une bonne hygiène de cybersécurité. Faites connaître aux patients la commodité et la simplicité des codes QR et apprenez-leur à devenir de bons consommateurs de codes QR en leur transmettant ces conseils.
