Retour à tous

Ces dernières années, et particulièrement ces derniers mois, alors même que les professionnels s’adaptent aux situations particulières découlant de la pandémie de COVID-19, de plus en plus de physiothérapeutes recourent aux technologies pour prodiguer des services de télésanté. Entre autres conséquences, cette transition vers le télétravail accroît le nombre de réclamations d’assurance liées à la cybercriminalité, y compris les rançongiciels, l’ingénierie sociale et d’autres cyberattaques. De nombreux professionnels de la santé ne pensent pas être la cible des assaillants, mais selon les données des assureurs, les petites à moyennes entreprises sont souvent plus faciles à attaquer et représentent donc des cibles très attrayantes.

Selon Beazley, l’assureur spécialisé Lloyd qui émet la police d’assurance responsabilité cybersécurité et respect de la vie privée offerte aux membres de l’ACP, les attaques de rançongiciel ne constituent rien de nouveau dans le milieu de la santé. En fait, cette industrie est la plus ciblée par les attaques de rançongiciel en 2019, et elle est particulièrement vulnérable en raison du caractère confidentiel des données des patients et des conséquences déterminantes sur les soins aux patients1.

Les courriels d’hameçonnage font partie des principaux modes d’attaque par rançongiciel.

L’hameçonnage

Selon l’exposé de 2020 de Beazley sur les infractions, les pourriciels envoyés par courriel et les sites de vol d’information sont responsables de nombreux incidents. Il existe de multiples modes de protection sous forme de filtres de courriel et de couches supplémentaires d’authentification, mais rares sont les solutions largement mises en œuvre. Les gens ont accès à l’information et à la technologie que souhaitent posséder les assaillants, qui trouvent constamment de nouvelles façons d’atteindre et d’exploiter les gens. Il serait faux de percevoir l’hameçonnage comme la source de vulnérabilité. L’hameçonnage est simplement le moyen le plus efficace d’exploiter le véritable point vulnérable : les gens. »1

Comment réduire le risque d’hameçonnage?

Il n’est pas nécessaire de tout savoir sur la cybersécurité pour contribuer à réduire votre risque. Beazley fait les recommandations suivantes :

  • Activer l’authentification multifactorielle.
  • Activer une fonction de réinitialisation régulière des mots de passe et en éviter le recyclage.
  • Suivre une formation et en donner une aux employés pour reconnaître et signaler les courriels suspects.

 

 

Les physiothérapeutes et les propriétaires d’entreprise devraient tenir compte d’autres facteurs pour réduire le risque d’expositions supplémentaires liées à la télépratique, y compris en ce qui a trait aux communications avec les clients, aux points à privilégier dans le choix d’une plateforme et à la souscription à un régime d’assurance approprié.

Les communications avec les clients

Lorsqu’on évalue les communications électroniques avec les clients, il est important de connaître toutes les exigences et les directives établies dans les lois fédérales et provinciales, ce qui inclut celles du commissaire à l’information et à la protection de la vie privée. Les physiothérapeutes doivent également respecter les exigences établies par leur organisme de réglementation.

Entre le contact initial avec le client au cours duquel vous proposez des services de télépratique et l’acte de télépratique même, la communication doit être sécurisée.

Vous voudrez peut-être envoyer des courriels à vos clients pour leur faire connaître les possibilités qui leur sont offertes, mais des risques y sont également liés. Par exemple, il est impossible de garantir que le destinataire recevra et lira le courriel envoyé. Il y a également des risques d’erreurs d’interception pendant l’envoi. Si vous êtes incapable d’envoyer des courriels cryptés et sécurisés, vous devez d’abord obtenir le consentement verbal (y compris par téléphone) de vos clients avant de leur expédier des courriels non cryptés. Vous devez ensuite limiter la quantité et le type d’information personnelle transmise en matière de santé. Le simple fait de préciser que la personne à qui vous écrivez est un client peut constituer une infraction aux lois relatives à la protection de la vie privée. Vous devez donc éviter d’inclure des identifiants du client (nom, âge, date de naissance, adresse, etc.) dans vos communications par courriel.

Certains organismes publics, comme le commissaire à l’information et à la protection de la vie privée de l’Ontario, s’attendent également que les détenteurs de l’information en matière de santé préparent et adoptent une politique écrite sur l’envoi et la réception d’information en matière de santé personnelle par courriel2. Il s’attend aussi que ces détenteurs avisent leurs clients de cette politique et obtiennent leur consentement avant de communiquer par courriel non crypté.

Les plateformes

En définitive, les professionnels sont responsables de s’assurer que leurs services virtuels protègent la confidentialité et la sécurité des renseignements personnels de leurs clients en matière de santé.

Le recours à des plateformes publiques comme Skype peut être attrayant pour la télépratique, mais Skype ne respecte pas la Loi sur la protection des renseignements personnels sur la santé3-4. Les détenteurs de l’information sur la santé doivent examiner attentivement les ententes d’utilisation relatives aux programmes et aux applications qu’ils ont l’intention d’utiliser en télépratique. Votre ordre de réglementation ou votre organisation professionnelle peut également faire des recommandations sur la prestation des services de télépratique. En télépsychologie par exemple, l’Ontario Psychological Association recommande à ses membres d’utiliser des plateformes qui assurent un cryptage de bout en bout d’une sécurité comparable à celle d’une banque.

En plus de s’assurer d’utiliser les plateformes appropriées en télépratique, les praticiens et les cliniques doivent faire des efforts raisonnables pour donner une description claire et complète de leurs services de télépratique. Entre autres, ces descriptions doivent inclure les coûts des services virtuels pour les utilisateurs et tenir compte des limites de ces services.

Si la télépratique semble appropriée, les établissements et les professionnels de santé doivent obtenir et consigner au dossier le consentement éclairé des clients qui désirent s’en prévaloir. Pour donner leur consentement éclairé, les clients doivent être informés des avantages et des risques des soins virtuels proposés. Une pratique exemplaire consiste à ce que les cliniques préparent des modalités standards de télépratique et demandent à leurs clients de les parcourir et de remettre leur consentement signé. De plus, le consentement et les discussions qui s’y rattachent doivent être consignés dans le dossier médical des clients.

L’assurance

L’assurance responsabilité professionnelle de l’ACP n’est pas associée à des restrictions supplémentaires pour les physiothérapeutes qui donnent des services professionnels par télépratique au Canada. Afin que la couverture d’assurance s’applique, vous devez respecter votre champ de pratique. Vous devez également vous conformer à la réglementation professionnelle de votre région (province ou territoire de résidence) et de la région où habite votre client.

Cependant, d’autres expositions sont liées à l’utilisation de la technologie, y compris les violations potentielles à la vie privée ou les attaques de rançongiciel. Il est important de tenir compte de ce risque accru au moment de déterminer votre couverture d’assurance.

BMS recommande que les physiothérapeutes, les entreprises qui donnent des services de télépratique et celles qui sont responsables de conserver et protéger l’information confidentielle sur les clients souscrivent une assurance responsabilité cybersécurité et respect de la vie privée supplémentaire pour tenir compte de l’augmentation de leur risque et de leur exposition.

Les membres de l’ACP ont accès à une police d’assurance responsabilité cybersécurité et respect de la vie privée qui couvre l’assuré et les tiers, de même qu’à des services d’experts en cas d’incident, y compris, entre autres :

  • les coûts des démarches réglementaires liées à la violation d’une loi relative à la protection de la vie privée, y compris les sanctions (lorsqu’elles sont assurables);
  • l’interruption des activités commerciales;
  • les incidents de cyberextorsion;
  • la responsabilité des tiers à l’égard des atteintes à la vie privée;
  • la protection des données de l’assuré lui-même;
  • la responsabilité du contenu d’un site Web.

Consultez le site www.cpa.bmsgroup.com/fr/accueil.html pour en savoir plus ou prenez contact avec BMS pour parler à un courtier. 

En définitive, il faut tenir compte de plusieurs éléments avant de passer aux services de télépratique. Heureusement, les membres de l’ACP ont un accès direct à divers experts pour répondre à leurs questions.

 


 

Participez au jeu-questionnaire sur la cybersécurité!

Puisque la cybercriminalité évolue, il est important que vos connaissances évoluent aussi. Le jeu-questionnaire suivant évalue votre perspicacité en matière de cybersécurité. Les réponses sont présentées à la fin des questions.

 

  1. Que signifie « https:// » au début du localisateur URL, plutôt que « http:// » sans le « s »?
  1. Le site est en haute définition.
  2. L’information est cryptée.
  3. Le site présente la version la plus récente.
  4. Le site n’est pas accessible à certains ordinateurs.
  5. Aucune de ces réponses
     
  1. Quel énoncé est un exemple d’attaque d’hameçonnage?
  1. Courriel qui contient un lien malicieux maquillé pour avoir l’air du courriel d’une connaissance.
  2. Faux site Web presque identique à un véritable site Web pour inciter les utilisateurs à s’y connecter.
  3. Message texte qui contient un lien malicieux maquillé pour avoir l’air d’une notification indiquant que la personne a remporté un concours.
  4. Toutes ces réponses
  5. Aucune de ces réponses
     
  1. Quel mot de passe est le plus sécuritaire?
  1. Bateau123
  2. WTh!5Z
  3. into*48
  4. 123456
  5. Motdepasse
     
  1. S’il faut un mot de passe pour accéder à un réseau Wi-Fi public (comme dans un aéroport ou un café), il est généralement sécuritaire de l’utiliser pour des activités confidentielles comme des services bancaires en ligne?
  1. Oui, c’est sécuritaire.
  2. Non, ce n’est pas sécuritaire.
     
  1. Si vous êtes dans un aéroport, est-il généralement sécuritaire de recharger votre téléphone au moyen d’une prise USB murale?
  1. Oui, c’est sécuritaire.
  2. Non, ce n’est pas sécuritaire.

 

Réponse au jeu-questionnaire sur la cybersécurité : 1. B; 2. D; 3. B; 4. B; 5. B

 


 

Le saviez-vous?

Vyas Sekar, professeur au CyLab, un institut de recherche sur la sécurité et le respect de la vie privée à l’Université Carnegie Mellon, a expliqué au New York Times : « Comme les fraudeurs qui volent des numéros de carte de débit en installant des dispositifs de lecture illégaux sur les guichets automatiques, les pirates peuvent arracher des ports USB et les remplacer par leur propre pourriciel. »5

Les experts ne connaissent toujours pas la fréquence des attaques de piratage de ce genre. L’augmentation des ports de chargement USB dans les hôtels, les transports publics et les aéroports se traduit par l’accroissement du risque de telles fraudes.

« Les gens veulent pouvoir charger leur téléphone et leur tablette partout où ils vont. Il est bien évident que j’aimerais ça aussi, mais le risque est là. »

 


 

Références

  1. Beazley. (2020). Beazley: 2020 Breach Briefing [fichier PDF]. Récupéré de www.beazley.com/Documents/2020/beazley-breach-briefing-2020.pdf
  2. Minutti, N. (11 mai 2017). Electronic Communication of Personal Health Information: A presentation to the Porcupine Health Unit (Timmins, Ontario) [fichier PDF]. Récupéré de www.ipc.on.ca/wp-content/uploads/2017/05/ipc-presentation-to-timmins-phu-re-communicating-phi-electronically-201.pdf
  3. Association canadienne de protection médicale (ACPM). (Octobre 2015). La consultation par vidéoconférence : Quand est-ce le bon choix? Récupéré de www.cmpa-acpm.ca/fr/advice-publications/browse-articles/2015/videoconferencing-consultation-when-is-it-the-right-choice
  4. Grant, D. (19 juin 2014). Complying with the Personal Health Information Protection Act [fichier PDF]. Récupéré de www.ocswssw.org/wp-content/uploads/2014/12/b2_-_debra_grant_-_b2.pdf

  5. Oritz, A. (18 novembre 2019). Stop! Don’t Charge Your Phone This Way. The New York Times – Personal Tech. Récupéré de www.nytimes.com/2019/11/18/technology/personaltech/usb-warning-juice-jacking.html

 


 

BMS Canada services de risques Ltée (Groupe BMS) est le courtier et fournisseur exclusif du Programme d’assurance responsabilité et des risques de la pratique

Êtes-vous des nôtres? Comme des milliers de vos collègues, profitez d’une couverture d’assurance complète et économique pour assurer votre protection et celle de votre pratique. Communiquez avec l’ACP, au 1 800 387-8679, ou écrivez à information@physiotherapy.ca pour devenir partie prenante du plus grand programme d’assurance offert aux professionnels de la physiothérapie du Canada.