Avis de non-responsabilité : cet article ne se présente ni comme une œuvre maîtresse sur la confidentialité des données, ni comme un conseil juridique pour faciliter la conformité de votre entreprise avec les lois sur la confidentialité des données comme la HIPAA. Il se contente de fournir des informations pour vous éclairer sur la manière dont CrowdStrike a traité des points juridiques importants. Ces informations juridiques ne valent pas les conseils prodigués par un avocat chargé d’appliquer la loi dans le cadre de votre situation particulière. Nous vous encourageons donc vivement à solliciter un avocat si vous avez besoin de conseils sur votre interprétation de ces informations ou leur précision. En résumé, vous ne devriez pas vous appuyer sur cet article pour en tirer des conseils juridiques ou une recommandation d’une interprétation juridique particulière.

Le règlement de sécurité HIPAA

Créées sur le fondement de la Health Insurance Portability and Accountability Act (HIPAA, loi sur la portabilité et la responsabilité des assurances maladie) de 1996, les normes de sécurité pour la protection des informations sécurisées relatives à la santé, autrement connues sous le nom de règlement de sécurité, traitent de la protection des renseignements médicaux personnels (PHI) des individus en formats électroniques.

Les renseignements médicaux personnels comprennent des informations de santé utilisables pour identifier un individu. Ils peuvent également contenir des données démographiques, des historiques de santé, des dossiers médicaux physiques et électroniques ainsi que des données d’assurance.

En quoi consiste le règlement de sécurité HIPAA ?

Le règlement de sécurité HIPAA spécifie des normes de sécurité pour la protection des renseignements médicaux personnels électroniques (ePHI) des individus telles qu’ils sont reçus, conservés ou transmis par les entités concernées et leurs associés.

En plus d’adhérer au règlement HIPAA, les entités concernées et leurs associés doivent également se conformer aux normes de confidentialité des renseignements médicaux identifiables individuellement, autrement connues sous le nom de règlement de confidentialité HIPAA. Le non-respect de ces deux textes de loi peut donner lieu à diverses sanctions civiles ou pénales.

Pour satisfaire aux exigences du règlement de sécurité HIPAA, des mesures de protection administratives, techniques et matérielles doivent s’appliquer afin d’aider les professionnels de santé à prévenir la perte de données et à préserver la confidentialité des renseignements médicaux personnels électroniques (ePHI). Examinons de plus près chaque type de mesure de protection.

Mesures de protection administratives

Les mesures de protection administratives traitent de nombreux aspects qui régissent la protection des ePHI, comme les actions, politiques et procédures internes. Elles décrivent également comment les employés doivent traiter les informations de santé d’un individu. Il existe neuf normes à respecter de la manière suivante.

Processus de gestion de la sécurité

Le processus de gestion de la sécurité vise à prévenir et corriger les violations de sécurité par la mise en œuvre de politiques. Il concerne les spécifications suivantes :

• Analyse des risques
• Gestion des risques
• Politique de sanction
• Observation des activités du système d’information

Responsabilité de sécurité attitrée

La responsabilité de sécurité attitrée fait référence aux responsabilités du personnel de cybersécurité qui met en œuvre le règlement de sécurité HIPAA, développe toutes les politiques ainsi que les procédures qu’il requiert. La personne désignée peut simultanément occuper les postes de responsable de la sécurité et de responsable de la confidentialité.

Sécurité des collaborateurs

Cette politique garantit l’accès aux ePHI à tous les collaborateurs concernés. Elle couvre également les procédures d’habilitation et de clôture dans le cadre de la gestion des informations privées d’un individu. Cette politique garantit que les utilisateurs comme les systèmes informatiques ont la permission de consulter les ePHI.

Gestion de l’accès aux informations

Tout comme la sécurité des collaborateurs, la gestion de l’accès aux informations autorise l’accès des employés aux ePHI. Elle suit le principe du moindre privilège, selon lequel seuls les responsables habilités ont accès aux données à un moment précis.

Formation de sensibilisation à la sécurité

Les mesures de protection administratives et autres politiques de cybersécurité sont inefficaces sans connaissances opérationnelles. Les formations de sensibilisation à la sécurité permettent aux professionnels de santé de se tenir à jour des procédures en vigueur concernant la cybersécurité. Elles aident également à définir la responsabilité des employés dans la mise en œuvre du règlement de sécurité HIPAA. Ces formations couvrent généralement les thématiques suivantes :

• Rappels de sécurité
• Comment se protéger des logiciels malveillants
• Surveillance des connexions
• Gestion des mots de passe

Procédures d’incidents de sécurité

Les incidents se définissent comme des « tentatives ou faits avérés et non autorisés d’accès, d’utilisation, de divulgation, de modification ou de destruction d’informations, ou d’interférence avec les opérations d’un système d’informations. » Il s’agit ici de définir les procédures pour identifier et contenir les incidents de sécurité.

Plan d’urgence

Le plan d’urgence est une mesure de protection administrative qui aide à garantir la disponibilité des données ePHI, même en cas d’urgence (par ex., incendie, vandalisme, catastrophes naturelles, défaillances système). Les normes de plan d’urgence impliquent les éléments suivants :

• Un plan de sauvegarde des données,
• Un plan de reprise après sinistre,
• Un plan opérationnel en conditions d’urgence,
• Des procédures de test et de révision,
• L’analyse des applications et de la criticité des données.

Évaluation

Le processus de surveillance et d’évaluation des systèmes selon le règlement de sécurité est appelé évaluation. Il s’agit d’un processus continu de surveillance de l’environnement qui touche à la sécurité des ePHI.

Contrats d’associés et autres dispositions

Il est possible que les associés des entreprises conformes aux règlements de sécurité et de confidentialité HIPAA doivent fournir des garanties écrites sur la protection des ePHI.

Mesures de protection matérielles

Les mesures de protection matérielles gèrent l’aspect de la sécurité des informations du règlement de sécurité HIPAA. Celles-ci protègent la structure et les appareils physiques sur lesquels vous stockez vos ePHI. Il ne s’agit pas d’une approche universelle, étant donné que les mesures matérielles dépendent spécifiquement de la taille de l’entreprise et de la nature des soins pratiqués. Généralement, les mesures de protection matérielles couvrent un nombre limité d’aspects.

Contrôles des accès aux sites physiques

Les sites physiques sont tenus de gérer les accès aux emplacements matériels de stockage des informations sur les patients. Cette condition identifie les individus, méthodes (verrous de porte, agents de sécurité, vidéo-surveillance, etc.), et des opérations d’urgence pour le contrôle de l’accès aux sites physiques. Cette politique traite des éléments suivants :

• Le plan de sécurité des installations ;
• Les procédures de contrôle et de validation d’accès ;
• Les enregistrements de maintenance ;

L’utilisation des postes de travail et la sécurité des appareils

La sécurité des postes de travail prend en compte l’utilisation ainsi que la sécurité des ordinateurs et des outils de travail pour le stockage des ePHI. Les exigences de sécurité HIPAA prennent en compte l’environnement, le flux de travail et le type de personnel (sur site ou hors site) qui peuvent accéder aux ePHI.

De même, les normes concernant les appareils expliquent comment traiter les supports électroniques et les systèmes matériels qui contiennent les ePHI sur le lieu de travail et en dehors. En tant que qu’exigence fondamentale, la sécurité des appareils gère la mise au rebut et la réutilisation des supports électroniques. La mise au rebut des supports détaille les méthode d’effacement des données, tandis que la réutilisation des supports définit les procédures de réutilisation des supports électroniques sur lesquels sont stockés des ePHI.

Les autres exigences de sécurité des appareils sont les suivantes :

• Responsabilité (les enregistrements sur les supports matériels et électroniques).
• Sauvegarde et stockage (création de copies accessibles des ePHI).

Mesures de protection techniques

Il s’agit de l’aspect technique des mesures de protection du règlement de sécurité HIPAA. Les mesures de protection techniques protègent les technologies de stockage des données des patients. Elles ne précisent pas quelles solutions technologiques les entités doivent utiliser, mais elles définissent clairement les aspects spécifiques que ces outils techniques doivent protéger.

La mise en œuvre de mesures de protection techniques implique de satisfaire aux normes suivantes.

Contrôles d’accès et d’audit

Les contrôles d’accès accordent un accès uniquement aux personnes et programmes logiciels qui bénéficient de droits d’accès. Cette norme aide les entreprises à identifier et suivre l’activité des utilisateurs. Les contrôles d’accès intègrent également des procédures d’urgence pour la récupération des ePHI. La déconnexion automatique (une politique destinée à fermer les sessions électroniques) ainsi que les processus de chiffrement et déchiffrement représentent d’autres exigences inhérentes aux contrôles d’accès.

Les contrôles d’audit produisent des rapports exhaustifs sur l’activité logicielle et matérielle relative aux ePHI. Ils aident ainsi les entreprises à déterminer quand des utilisateurs spécifiques accèdent à des fichiers précis.

Contrôles d’authentification et d’intégrité

Les mesures de protection techniques traitent également de l’authentification et de l’intégrité. L’authentification garantit la validité de l’identité ou des identifiants d’un utilisateur, tandis que l’intégrité protège les ePHI de toute altération, destruction ou corruption non autorisées.

Si votre entreprise traite des données de patients, elle est donc tenue de mettre en place des plateformes technologiques qui vérifient automatiquement l’intégrité des données, notamment via la vérification par somme de contrôle ou des signatures numériques. Cette norme requiert également l’authentification multifacteur (MFA) comme garantie de l’identité de l’utilisateur avant de lui accorder l’accès aux systèmes internes.

Sécurité des transmissions

La sécurité des transmissions protège les ePHI en mouvement. Elle concerne la protection des e-mails, navigateurs et réseaux endpoint. Dans ce cas, les exigences majeures de sécurité HIPAA sont les contrôles d’intégrité et le chiffrement. Les premiers empêchent la modification des données pendant l’utilisation des données, tandis que le second assure la protection des données pendant la transmission à l’aide d’un code secret.

CrowdStrike et HIPAA

Si la mise en œuvre du règlement de sécurité HIPAA apporte de nombreux avantages, le respect de la conformité peut présenter des défis pour les entreprises de prestations de santé et les autres entités concernées. Ces défis comprennent notamment les cybermenaces internes et externes, comme l’indique une enquête de 2016 par HealthITSecurity.

Normalement, les utilisateurs internes ou les employés bénéficient d’une confiance implicite pour accéder aux systèmes et applications afin d’optimiser leur productivité, notamment dans le cadre du télétravail. Toutefois, un accès illimité ouvre également la porte à des failles exploitables de cybersécurité. De plus, les cybermenaces peuvent n’impliquer aucune intention malveillante et se résumer à de simples erreurs. Par exemple, un récent rapport d’enquête sur la compromission de données par Verizon indiquait que les employés du secteur de la santé étaient deux fois et demi plus susceptibles d’accéder par erreur à des données qui ne leur sont pas destinées plutôt que d’en forcer l’accès avec des intentions malveillantes.

La mise en œuvre de solutions telles que CrowdStrike Falcon^® peuvent aider les entreprises de santé à prévenir, détecter et neutraliser les incidents de cybersécurité, afin de protéger leurs ePHI contre les menaces persistantes avancées (APT), les ransomwares et autres cybermenaces. Falcon associe un antivirus de nouvelle génération (NGAV) et la technologie de détection et réponse à incident (EDR) pour protéger les données. En outre, Falcon^® Device Control peut mettre en œuvre l’utilisation et la responsabilité sécurisées des terminaux. Device Control vous donne une visibilité contextuelle des appareils USB pour vous aider à prévenir la divulgation ou la manipulation indésirable des ePHI. Pour aller plus loin, vous pouvez même bloquer l’appareil concerné afin d’empêcher l’accès non autorisé aux données ou l’intrusion de logiciels malveillants. Falcon Fusion, une composante de la plateforme CrowdStrike Falcon^®, automatise les workflows complexes de réponse à incident, ce qui diminue le temps moyen de correction des incidents. Les entreprises envisagent également d’adopter des pare-feux et des politiques de chiffrement conformes à la loi HIPAA pour une surveillance efficace du réseau.

Malgré les politiques internes de cybersécurité, les incidents de sécurité demeurent inévitables. D’où la nécessité de plans de réponse à incident pour atténuer rapidement les incidents et compromissions de sécurité liés aux ePHI. CrowdStrike Falcon^® fournit un plan de réponse à incident (IR) pour identifier, contenir et neutraliser les incidents et compromissions liés aux ePHI conformes aux principes de la loi HIPAA. Elle propose également des connecteurs pour l’intégration d’outils de gestion des événements et des informations de sécurité (SIEM) avec CrowdStrike Falcon^{Logscale ®}. Ceci vous permet d’effectuer un suivi des données et de détecter les anomalies de sécurité en temps réel.

D’une manière générale, vous devez concevoir votre approche de la conformité au règlement de sécurité HIPAA de manière holistique, en vous assurant de répondre à toutes les exigences et mesures de protection sans renoncer aux objectifs et buts opérationnels de votre entreprise.