Le secteur de la santé est l’un des secteurs les plus ciblés par les acteurs malveillants, avec un nombre les violations augmentent de manière constante d'année en annéeMalgré les risques de sécurité courants qui affectent les environnements de soins de santé et les nombreuses violations de données qui font la une des journaux, le secteur de la santé manque encore de ressources pour se défendre contre le nombre croissant de cyberattaques.
Début janvier 2025, HIPAA a proposé une série de mises à jour de son cadre de règles de sécurité HIPAA afin de fournir des réglementations de sécurité plus détaillées. Il s'agit d'un changement indispensable pour le secteur, car il obligera chaque organisation de soins de santé à s'attaquer de front à ses risques de sécurité. Mais soyons honnêtes : si les changements proposés dans HIPAA sont un pas dans la bonne direction, ils sont loin d'être une solution complète, et bon nombre des nouvelles directives mettront au défi les organisations sous-financées de s'y conformer.
Pourquoi le cadre HIPAA ajoute-t-il de nouvelles réglementations ?
La règle de sécurité HIPAA Le cadre de sécurité HIPAA a subi quelques révisions majeures depuis sa création, la plus récente remontant au début des années 2000. Depuis lors, seules des mises à jour mineures ont été appliquées au cadre, mais aucune d'entre elles n'a fait bouger les choses du point de vue de la sécurité. De plus, les directives HIPAA de sécurité actuelles étaient davantage des recommandations que des exigences dans le cadre.
En bref, il était temps de réviser les consignes de sécurité, en particulier celles qui concernaient sécurité d'identitéIl convient également de noter que les mises à jour ne sont pas sorties de nulle part : elles constituaient une réponse directe au nombre croissant d'attaques dans le secteur de la santé ces dernières années. Le dénominateur commun des attaques dans ce secteur était l'utilisation d'identifiants compromis et non détectés mouvements latéraux.
À la suite de cette violation continue et réussie des données des prestataires de soins de santé, les régulateurs HIPAA ont émis un message fort et clair : trop c'est trop.
Ces nouvelles directives proposées visent à remédier au manque de contrôles et de posture de sécurité du secteur. Elles constituent également un sérieux rappel à la réalité pour un secteur qui peine à se maintenir au niveau des meilleures pratiques en matière de sécurité.
Principaux changements proposés au cadre HIPAA
Le 6 janvier 2025, le ministère de la Santé et des Services sociaux (HHS) a dévoilé une proposition complète de mise à jour du cadre HIPAA, marquant une étape importante vers l'amélioration de la sécurité et de la confidentialité des informations de santé électroniques protégées (ePHI).
D’après Annonce de l'OCR, la règle proposée vise à « améliorer la cybersécurité et à mieux protéger le système de santé américain contre un nombre croissant de cyberattaques » et à « mieux aligner la règle de sécurité sur les meilleures pratiques modernes en matière de cybersécurité ».
Examinons de plus près les lignes directrices proposées qui abordent spécifiquement sécurité d'identité dans le cadre mis à jour des règles de sécurité HIPAA.
1. Identifiants compromis et MFA
Pour tous les points d’accès aux informations médicales électroniques protégées (ePHI), les organisations devront mettre en œuvre authentification multi-facteur protection. Cette mesure vise à atténuer les risques associés à identifiants compromis, réduisant ainsi les accès non autorisés.
2. Réponse aux incidents
Suite aux mises à jour proposées, toutes les politiques, procédures, plans et analyses liés à la réponse aux incidents doivent être documentés par écrit. Un plan de réponse aux incidents complet, comprenant des procédures de signalement des incidents et de restauration des systèmes dans les 72 heures suivant une violation, doit être élaboré par les entités concernées. De plus, les organisations doivent effectuer des tests de sécurité annuels pour garantir l'efficacité des contrôles de sécurité de l'organisation.
3. Une analyse des risques
Pour mener des analyses de risques de sécurité, le HHS a proposé des exigences plus détaillées, notamment la tenue d'une évaluation écrite qui examine un inventaire des actifs et une carte du réseau, identifie les menaces potentielles pour les informations médicales protégées (PHI) et évalue le niveau de risque de chaque menace. Les organisations bénéficieront de cette approche proactive en comprenant mieux et en atténuant les menaces et les risques de sécurité.
4. Inventaire des actifs
Les établissements de santé devront élaborer un inventaire des actifs et une cartographie du réseau qui permettent de suivre le mouvement des ePHI dans leurs systèmes. Cette exigence de cartographie complète permettra d'identifier les erreurs de configuration et les risques de sécurité, garantissant ainsi que tous les actifs sont correctement protégés contre tout accès non autorisé.
5. Chiffrement
Toutes les données de santé protégées doivent être chiffrées au repos et en transit, ce qui reflète une évolution vers des pratiques de chiffrement obligatoires plutôt que des recommandations facultatives. Ce changement souligne l'importance cruciale de sécuriser les informations sensibles des patients contre tout accès non autorisé pendant le stockage et la transmission.
6. Analyse de vulnérabilité et tests de pénétration
Les organisations devront effectuer des analyses de vulnérabilité tous les six mois et réaliser des tests de pénétration au moins une fois par an. Ces évaluations seront essentielles pour identifier les faiblesses des mesures de sécurité avant qu'elles ne soient exploitées par des acteurs malveillants.
7. Audits de conformité
Les entités concernées doivent effectuer un audit de conformité au moins une fois par an pour vérifier que les contrôles techniques sont mis en œuvre efficacement. Les organisations doivent documenter cet audit pour prouver qu'elles ont respecté les normes de sécurité mises à jour.
8. Formation de sensibilisation à la sécurité
La réglementation proposée comprend de nouvelles exigences de formation pour les membres du personnel concernant l'identification et le signalement des incidents de sécurité, l'accès sécurisé aux systèmes électroniques et la compréhension des politiques HIPAA. Lors de l'accès aux systèmes informatiques, la formation doit être complétée dans les 30 jours et doit être renouvelée chaque année.
La dure vérité pour les organisations de soins de santé
Aussi importantes que soient ces mises à jour, elles mettent également en évidence les défis auxquels sont confrontés les prestataires de soins de santé qui manquent de ressources. Le respect de ces réglementations nécessite la bonne quantité de ressources (équipe informatique et investissements) dans la technologie et les processus avec lesquels de nombreux prestataires de soins de santé ont tendance à avoir du mal. Le non-respect du nouveau cadre proposé par la loi HIPAA pourrait entraîner des sanctions réglementaires ainsi que les conséquences d'une violation de la sécurité. En mettant en œuvre des contrôles de sécurité plus stricts et en améliorant leur posture de sécurité globale, les organisations de soins de santé peuvent prendre des mesures proactives pour s'aligner sur les nouvelles directives de sécurité proposées par la loi HIPAA, qui exigent des mesures de sécurité plus strictes et plus étendues.
Une approche proactive de la sécurité facilitera la conformité
Les modifications proposées au cadre HIPAA constituent une étape nécessaire pour aider le secteur de la santé dans sa lutte contre les cybercriminels. En abordant les différents risques et menaces de sécurité dans le secteur, HIPAA fournit une feuille de route claire pour réduire les risques. Cependant, la mise en conformité nécessitera des efforts importants, en particulier pour les organisations sous-financées. Les prestataires de soins de santé doivent adopter une approche proactive en matière de sécurité et agir dès maintenant pour s'adapter à ces changements, en s'assurant qu'ils sont non seulement conformes mais également résilients.
Vous voulez en savoir plus sur la façon dont Silverfort peut vous aider à vous conformer aux exigences HIPAA ? Planifier un appel avec l'un de nos experts ou téléchargez le État d'urgence : les angles morts en matière de sécurité des identités mettent en danger les services de santé eBook.