L’essor des applications de santé

Post-pandémie, les applications mobiles de santé sont en plein essor. De fait, le nombre d’applications m-santé proposées sur l’App Store d’Apple a progressé de plus de 18 % entre le 1er trimestre 2020 et le 1er trimestre 2021. Ce qui n’a rien d’étonnant puisque ces applications contribuent à résoudre et à simplifier divers aspects des démarches de santé pour l’ensemble des parties concernées.

Pour les patients, elles leur permettent de planifier leurs rendez-vous, surveiller leur état de santé et en suivre l’évolution, depuis chez eux. Ils peuvent ainsi accéder à leurs résultats d’analyses, et téléconsulter des praticiens. Mais surtout, de concert avec le prestaire de santé, ils ont la possibilité de surveiller et réguler à distance, depuis leurs smartphone ou tablettes, de nombreux dispositifs médicaux, tels que des pompes à insuline, lecteurs de glycémie, etc.
Pour les établissements de santé, les économies dégagées en termes de prestations de services font une différence considérable sur leurs résultats.

Pour autant, cette popularité croissante multiplie les risques de sécurité pour les données des patients et les systèmes des prestataires de santé auxquels ces applications ont accès. Collectivement, ces applications stockent, traitent et échangent d’énormes volumes d’informations confidentielles concernant plusieurs millions de patients. Et ces données se révèlent extrêmement lucratives pour les cybercriminels.
En septembre 2021, une base de données recensant les informations personnelles de près de 39 millions de français a été mise en vente sur le Dark Web par un hacker.

Les risques de sécurité liés aux applications mobiles de santé

Les attaques dirigées contre les établissements de santé sont deux fois plus nombreuses que dans d’autres secteurs d’activité et un nombre croissant de compromissions sont associées à l’utilisation d’appareils mobiles. D’après le rapport Mobile Security Index 2020 de Verizon, 38 % des incidents de cybersécurité dans le secteur de la santé émanent des appareils mobiles.

Malgré les garde-fous intégrés aux appareils et systèmes d’exploitation mobiles, ceux-ci ne suffisent généralement pas à empêcher les pirates de détecter et d’exploiter les vulnérabilités et failles de sécurité des applications mobiles de santé. Dès que les cybercriminels parviennent à les infiltrer, ils peuvent dérober les données des patients et leurs informations de paiement, copier les algorithmes propriétaires et autres ressources de propriété intellectuelle, localiser et extraire des clés de chiffrement, injecter du code malveillant dans les applications, et même s’introduire dans les systèmes back-end stratégiques.

Compte tenu des risques qui pèsent sur la confidentialité des données des patients, la sécurité, la conformité réglementaire et les infrastructures numériques, la sécurité des applications mobiles doit être une priorité pour tous les établissements de santé. Or, il ressort de ce même rapport Verizon que près de 2/5ème d’entre eux admettent que l’urgence à déployer une application mobile a primé sur la sécurité de cette dernière.
Une conclusion que confirme une récente analyse des applications de santé . Chacune des applications testées posait au moins un problème de sécurité crucial, et la grande majorité (71 %) présentait au moins une faille de sécurité de haut niveau. Or, une vulnérabilité est classée comme élevée si elle peut être exploitée facilement et risque d’entraîner des pertes ou préjudices significatifs.

Ce que met en lumière notre étude sur la sécurité des applications mobiles de santé

Les applications mobiles ont été testées via une série de techniques d’analyse statique et dynamique et les vulnérabilités ont été évaluées selon le système international indépendant CVSS de classification des menaces. Il en ressort que :

• Chacune des applications Android, et 72 % des applications iOS analysées présentaient au moins quatre vulnérabilités.
• Dans les applications m-santé, les faiblesses cryptographiques et l’insuffisance de protection autour du stockage des données constituaient les vulnérabilités les plus fréquentes.
• La plupart des applications médicales (91 %) étant facilement déchiffrables (faiblesse de leur chiffrement), courent un double risque : l’exposition des données et le vol de propriété intellectuelle.
• 34 % des applications Android et 28 % des applications iOS sont vulnérables à l’extraction de clés de chiffrement.
• La majorité des applications m-santé présentent plusieurs problèmes de sécurité en termes de stockage de données. Par exemple, 60 % des applications Android testées stockent des informations dans SharedPreferences, laissant des données non chiffrées, facilement exploitables par des cyberassaillants et des applications malveillantes.
• 83 % des menaces de haut niveau découvertes auraient pu être neutralisées à l’aide de technologies de protection des applications, comme le brouillage de code, la détection de falsifications et la cryptographie en boîte blanche.

En explorant en détail certaines catégories d’applications bien spécifiques, il s’avère que celles relevant du commerce axé sur la santé sont les plus touchées par les vulnérabilités (80 % en recensaient plus de sept). Celles relevant de la télémédecine foisonnent de vulnérabilités à haut risque (80 %). Enfin, les applications de traçabilité COVID semblent relativement moins vulnérables que d’autres applications de santé puisqu’elles présentent moins de 40 % de vulnérabilités à haut risque.