La confidentialité, la sécurité et l'évolutivité sont fondamentales pour l'appel vidéo. Ce document explique comment les consultations par appel vidéo sont sécurisées et privées à grande échelle.
L'appel vidéo est basé sur 4 concepts importants :
- Confidentialité - définit l'obligation de collecter, d'utiliser, de divulguer et de stocker correctement les informations personnelles, en vertu du Commonwealth Privacy Act 1988 et des principes australiens de confidentialité.
- Sécurité - les appels vidéo sont à l'abri d'un accès et d'une utilisation non autorisés, et ces données sont fiables, précises et disponibles pour utilisation.
- Souveraineté des données - les informations sur les patients ne doivent pas être transférées à l'étranger, comme l'exigent les réglementations australiennes en matière de confidentialité
- Évolutivité - L'appel vidéo en tant que capacité nationale est évolutif sur le plan architectural pour gérer des volumes élevés de consultations vidéo sans avoir besoin d'une configuration d'infrastructure de vidéoconférence traditionnelle.
Ces quatre concepts sont fondamentaux pour la conception de l'appel vidéo. Son architecture de réseau est couverte par des processus d'assurance de conception qui garantissent que les nouvelles fonctionnalités et capacités continuent de répondre aux normes requises.
Sommaire
L'appel vidéo est basé sur la technologie Web Real-Time Communications (WebRTC). La sécurité intégrée de WebRTC utilise des connexions entièrement cryptées .
L'appel vidéo a été conçu comme un écosystème de télésanté holistique, composé de serveurs et d'applications, fonctionnant via la technologie WebRTC.
L'appel vidéo healthdirect suit la ligne de base Essential Eight du manuel de sécurité de l'information (ISM) du gouvernement australien applicable et la loi HIPAA (Health Insurance Portability and Accountability Act) pour les directives de cybersécurité et protège la confidentialité en ne laissant aucune empreinte numérique.
D'autres plateformes de consultation vidéo stockent les détails de l'appel, y compris l'enregistrement de l'appel, dans des serveurs centraux (généralement en dehors de l'Australie) accessibles par le fournisseur de services vidéo et peuvent exposer les cliniciens à un risque de violation de la législation sur la confidentialité sans le consentement éclairé du patient.
Des mesures de sécurité supplémentaires ont été appliquées pour rendre le système basé sur WebRTC vraiment sécurisé et privé :
- Les salles virtuelles, les pairs et les sessions offrent un environnement sécurisé permettant aux utilisateurs de communiquer.
- Par défaut, l'appel vidéo ne stocke pas d'informations personnellement identifiables ou d'informations de santé protégées.
- La sécurité réseau à la pointe de la technologie empêche les écoutes clandestines et les attaques de l'homme du milieu.
- Les tests de charge et les revues de code offrent un niveau élevé de sécurité des applications.
Sur cette page, nous expliquons quelles mesures sont prises pour garantir que les consultations vidéo sont sûres, sécurisées, privées et évolutives.
La confidentialité, la sécurité et la protection des données de qualité sanitaire sont fondamentales pour la conception des appels vidéo
Sécurité des appels
Le trafic multimédia des appels vidéo WebRTC est protégé par un cryptage AES 128 bits ou AES 256 bits entre les navigateurs Web. Il s'agit de la norme pour les services basés sur WebRTC tels que l'appel vidéo. Cependant, cette sécurité ne s'applique qu'aux appels d'égal à égal et non à l'infrastructure du système. Plusieurs éléments d'infrastructure de tout appel vidéo WebRTC peuvent être attaqués et l'appel vidéo a été développé pour inhiber ces vecteurs d'attaque.
Par exemple, le chiffrement d'appel WebRTC standard ne peut pas empêcher un attaquant de se faire passer pour un utilisateur à l'une ou l'autre des extrémités de l'appel. Le cryptage ne peut pas non plus empêcher un serveur de signalisation, d'application ou de relais (TURN) d'être piraté.
Des mesures de confidentialité et de sécurité clés ont été appliquées à l'appel vidéo pour se protéger contre :
- usurpation d'identité par quelqu'un pour obtenir un accès injustifié à la clinique en ligne pour consulter les patients.
- Interception illégale par quelqu'un pour obtenir un accès non autorisé à la signalisation d'appel vidéo ou à un serveur TURN.
- observation de l'historique des appels par des tiers accédant aux journaux d'appels sur l'appareil du patient ou sur un serveur de surveillance.
Le modèle de confidentialité et de sécurité de Video Call garantit que :
- seuls les prestataires de services autorisés et les administrateurs de la clinique sont en mesure de prendre en charge un patient,
- chaque consultation de patient peut être tenue dans une session vidéo privée unique,
- les sessions vidéo ponctuelles sont différenciées des salles vidéo persistantes (ces dernières peuvent être utilisées à des fins internes à la clinique),
- les données patient échangées lors d'un appel vidéo ou dans une salle vidéo ne persistent pas au-delà de la fin de la consultation ou si la clinique décide de les conserver, sont stockées de manière cryptée avec des clés de déchiffrement uniquement disponibles à la clinique,
- les serveurs de signalisation et de relais ne traitent que le trafic multimédia crypté,
- une configuration et des procédures de sécurité de pointe sont suivies afin que l'infrastructure du serveur ne puisse pas être piratée afin d'usurper l'identité d'un clinicien ou d'observer une consultation, et
- une revue de code par les pairs pour tous les correctifs logiciels est effectuée afin de maximiser la sécurité des applications.
Sécurité des données
Toutes les données - pas seulement l'appel vidéo en direct - sont cryptées.
L'appel vidéo stocke les informations et les mots de passe du fournisseur de services en toute sécurité sur Amazon RDS ( service de base de données relationnelle ). Les mots de passe sont transmis via TLS ( Transport Layer Security ) et ne sont jamais stockés en clair. L'appel vidéo stocke uniquement les mots de passe hachés et salés dans RDS, conformément aux normes actuelles de l'industrie en matière d'authentification et d'autorisation des utilisateurs.
Aucune information de santé personnellement identifiable ou protégée n'est stockée par Video Call.
Sécurité Internet
Toutes les données audio et vidéo, ainsi que toutes les autres données échangées lors d'un appel vidéo en direct sont cryptées.
Video Call utilise des mécanismes de sécurité de pointe pour toutes les connexions ainsi que pour sa mise en œuvre WebRTC. Les connexions entre le navigateur et le serveur d'applications, le serveur de signalisation ou STUN/TURN sont toutes cryptées et authentifiées par TLS, avec une cryptographie solide et des vérifications de certificat appropriées. La protection TLS pour la négociation STUN/TURN garantit qu'aucun réacheminement de la communication d'appel vidéo ne peut avoir lieu.
La sécurité de la communication WebRTC est améliorée en faisant en sorte que le serveur de signalisation facilite la configuration cryptographique pour la communication entre navigateurs : les navigateurs établissent en toute sécurité une clé partagée pour chaque canal de données.
Sécurité des applications
En tant que système distribué, tous les composants de l'écosystème d'appel vidéo sont renforcés contre les attaques.
- Fuzzing de protocole - comme le serveur de signalisation utilise un protocole personnalisé pour transporter les messages, il a été soumis à un fuzzer de protocole pour s'assurer qu'il n'y a pas de chemins de code qui conduisent à un comportement imprévu ou indésirable. L'implémentation de Video Call dans le navigateur a été soumise au même fuzzing de protocole.
- Tests d'intrusion (pentesting) - le serveur d'applications et le système de surveillance des appels ont été testés pour se défendre contre les intrusions. Des tests d'intrusion sont effectués régulièrement.
- Sécurité du navigateur - WebRTC connecte les navigateurs, peer-to-peer. Le fuzzing de protocole est utilisé pour tester la mise en œuvre du navigateur d'appel vidéo.
- Surveillance de la sécurité – la communication n'a lieu que dans un seul sens ; des navigateurs au moniteur d'appel. Les navigateurs envoient uniquement des informations au moniteur d'appels ; les navigateurs ne peuvent pas extraire ou recevoir des informations du moniteur d'appels. Le moniteur d'appel a été testé au stylo et fuzzé pour le défendre contre les menaces courantes.
Intimité
L'appel vidéo est conforme aux politiques de confidentialité du gouvernement australien.
L'infrastructure et le service d'appel vidéo sont conformes aux directives du Commonwealth Privacy Act 1988 , aux principes australiens de confidentialité (section 8) relatifs à la souveraineté des données et, dans la mesure du possible, au manuel de sécurité de l'information du gouvernement australien (ISM) .
Les connexions d'appel vidéo sont établies d'égal à égal (navigateur à navigateur sans traverser l'infrastructure vidéo centrale). Les données partagées dans les appels réels entre les participants ne sont disponibles que sous forme décryptée pour les terminaux participants de l'appel. Tous les autres intermédiaires qui transfèrent l'appel ne peuvent voir que des données cryptées. Cela s'applique aux données audio et vidéo, ainsi qu'à toutes les informations échangées au cours de la session, telles que les messages de chat et les documents. Par défaut, les appels vidéo ne stockent aucune des données partagées des appels.
Les patients entrent dans les zones d'attente via un site Web de fournisseur de services de confiance et attendent dans leur propre salle vidéo privée. Par exemple, si un prestataire de services est en retard parce qu'une consultation avec un autre patient se prolonge, les patients ne se croiseront pas. La salle créée par l'appel vidéo est supprimée après la consultation.
Les patients peuvent être vus par tout fournisseur de services ou administrateur de la clinique autorisé à accéder à la clinique. L'autorisation est définie par une connexion unique et des rôles attribués dans la plateforme. Les administrateurs de la clinique sont responsables d'attribuer cet accès à leur personnel.
Par défaut, l'appel vidéo ne conserve pas les informations d'identification du patient. Les patients ne laissent pas d'empreinte numérique sur la plateforme.
Souveraineté des données
Si les données ou la gestion des données australiennes se déplacent à l'étranger, elles ne sont plus contrôlées en Australie et deviennent soumises aux lois d'un pays étranger ou aux pratiques d'une société étrangère. L'accès et le contrôle des données australiennes par des sociétés étrangères ne reconnaissent pas les droits existants des Australiens à la protection adéquate de leur vie privée et de leurs données.
Les données sensibles concernant les citoyens australiens doivent donc être stockées sur un cloud certifié ASD ( Australian Signals Directorate ) qui peut garantir que les informations ne sont pas accessibles par des entités étrangères.
L'appel vidéo adopte une approche stricte de l'hébergement uniquement dans le cloud AWS ( Amazon Web Services ), qui a été certifié par le programme IRAP ( Information Security Registered Assessors Program ) de l'ASD, qui garantit qu'AWS a mis en place les contrôles applicables requis par l'ISM ( Manuel de sécurité des informations du gouvernement australien ).
L'appel vidéo peut confirmer que pour les utilisateurs australiens :
- les données personnelles de santé sont utilisées uniquement dans le cadre de la juridiction légale australienne,
- le confinement de tout stockage de données est limité aux centres de données onshore, et
- les protocoles et systèmes de sécurité sont conservés en Australie et respectent les exigences de l'ASD.
Évolutivité
- Les appels peer-to-peer ont lieu directement d'un navigateur à l'autre, et entre les fournisseurs de services de santé et leurs clients. Cela évite les serveurs vidéo intermédiaires et permet un nombre illimité d'appels parallèles.
- Parfois, les appels peer-to-peer sont bloqués derrière les pare-feu de l'entreprise. À cette fin, des serveurs relais (STUN/TURN) sont en place pour transmettre les flux audio, vidéo et de données à leurs destinataires en dehors des limites de l'entreprise. Si les serveurs relais peuvent gérer une charge conséquente avant d'être saturés, il est important de les déployer de manière évolutive. L'appel vidéo a été déployé sur AWS Cloud afin que les serveurs de relais soient surveillés et si une charge plus élevée est découverte, des serveurs de relais supplémentaires sont générés qui prendront en charge de manière transparente le travail de relais supplémentaire. C'est ce qu'on appelle «l'équilibrage de charge».
- Les serveurs de signalisation sont impliqués dans la mise en place des appels vidéo, une attention particulière a donc été accordée au déploiement d'une infrastructure de signalisation évolutive. Des tests de charge ont été entrepris sur les serveurs de signalisation d'appel vidéo et ils ont pu prendre en charge des centaines de milliers d'appels parallèles. De plus, un réseau de serveurs de signalisation a été déployé dans différents emplacements AWS pour réduire la latence entre les points de terminaison d'un appel vidéo et le serveur de signalisation en choisissant le serveur de signalisation le plus proche pour fournir la signalisation d'appel.
- L'application Web est distribuée dans des navigateurs Web à partir d'un serveur d'application. Comme un grand nombre d'utilisateurs commencent à utiliser l'appel vidéo, les serveurs d'applications Web peuvent également devenir très occupés. Video Call a mis en place un équilibrage de charge pour les serveurs d'applications.
L'appel vidéo a été conçu pour évoluer. Toute l'infrastructure de base de données et de serveur a été conçue à l'aide d'une architecture de microservices sans état, permettant à chaque composant d'être tolérant aux pannes et capable de s'adapter horizontalement individuellement pour correspondre à la charge de chaque service à un moment donné.
Accompagnement de votre organisation
- Basé sur WebRTC - Les composants WebRTC sont implémentés dans Chrome, Firefox et Safari à partir de projets Open Source, sous la direction et l'examen de nombreux experts en sécurité du Web et des télécommunications.
- Conçu pour les soins de santé - l'environnement d'appel vidéo est régulièrement revu et optimisé pour les soins de santé. L'exposition aux vulnérabilités présentes dans d'autres services de communication est limitée dans l'appel vidéo.
- Accessible entièrement via le Web - L'appel vidéo est mis à jour pour fonctionner avec les dernières versions de Chrome, Firefox et Safari (la prise en charge de Microsoft Edge est prévue lors de son passage au moteur de clignotement). Ces navigateurs exécutent des mises à jour de sécurité régulières, il n'est donc pas nécessaire d'attendre les mises à jour de l'appel vidéo.
- Application confinée au navigateur - L'appel vidéo s'exécute en toute sécurité dans les navigateurs Web, ce qui limite sa capacité à affecter l'environnement de bureau d'un ordinateur ou l'appareil mobile utilisé grâce aux mesures de sécurité standard mises en œuvre dans les navigateurs Web.
- Sécurité du réseau - L'appel vidéo n'a besoin d'accéder qu'à quelques ports multimédias HTTPS standard et sécurisés à partir de votre ordinateur de bureau, ordinateur portable ou appareil mobile. Ceux-ci sont détaillés dans la page ' Network basics ' du Centre de ressources.
- Services de proxy Web - le trafic Web pour les appels vidéo utilise les services de proxy Web et les politiques de sécurité existants.
- Profils de qualité d'appel - en définissant des profils de qualité d'appel vidéo, les cliniciens peuvent réduire les demandes multimédias sur les liaisons réseau pour rester dans des limites particulières.
- Accessibilité - Video Call s'engage à offrir un accès universel à tous les utilisateurs, afin que tous les prestataires de services et leurs patients puissent bénéficier de la meilleure expérience possible. Pour aider les utilisateurs aveugles et malvoyants, l'application Web est accessible aux lecteurs d'écran et des outils de zoom peuvent être utilisés. L'appel vidéo peut également être utilisé dans les appels à trois et à quatre voies afin qu'un interprète en langue des signes puisse rejoindre une session vidéo en direct et aider l'utilisateur sourd avec la langue des signes ASLAN.