De nouvelles règles HIPAA imposent l’authentification multifacteur et le chiffrement pour les ePHI : votre organisation est-elle prête ?

La règle de sécurité HIPAA va connaître une mise à jour majeure—l'une des plus importantes depuis des années. Le 27 décembre 2024, l'Office for Civil Rights (OCR) a proposé de nouvelles exigences en matière de cybersécurité visant à protéger les informations de santé électroniques protégées (ePHI) contre la vague croissante de menaces informatiques.

Ces mises à jour ont été publiées le 6 janvier 2025, lançant une période de consultation publique de 60 jours. À l'issue de cette période, l'OCR examinera les retours, révisera la règle proposée si nécessaire, puis finalisera le texte pour approbation réglementaire. Une fois approuvée et publiée, la règle inclura une date d'entrée en vigueur et un calendrier de conformité. S'il n'y a pas de retards majeurs, la règle finale pourrait être publiée fin 2025 ou début 2026. Elle comportera une date d'entrée en vigueur et une échéance de conformité (souvent 6 à 24 mois après la publication).

Les changements visent à établir une plus grande protection des données et des attentes de conformité plus claires. Ceci s'ajoute à l'application obligatoire de mesures de sécurité critiques.

Ces mesures comprennent :

• Authentification multifacteur (MFA) pour tous les systèmes accédant aux ePHI
• Chiffrement des ePHI au repos et en transit
• Inventaires des actifs technologiques et cartographie du réseau pour suivre le déplacement des ePHI
• Exigences d'analyse des risques plus rigoureuses et détaillées

Pour les responsables de la sécurité des données, il est nécessaire de prouver que les ePHI sont correctement protégées, partout où elles se trouvent et à tout moment. Cependant, de nombreuses organisations manquent de visibilité sur leurs données et sur les personnes qui y accèdent.

La question devient donc : comment protéger et démontrer la conformité si vous ne savez pas où se trouve votre ePHI ? Vous ne pouvez pas protéger ce dont vous ignorez l'existence et vous ne pouvez pas appliquer l'authentification multifacteur (MFA) si vous ne savez pas qui accède à l'ePHI.

Décryptage des nouvelles exigences de sécurité HIPAA

1. L’authentification multifacteur (MFA) est désormais obligatoire

La MFA n'est plus une simple recommandation : c'est désormais une obligation pour tout système donnant accès à des ePHI. Cela s'applique aux systèmes sur site, dans le cloud et aux systèmes tiers utilisés par les entités couvertes et leurs partenaires commerciaux.

Ce que vous devez faire :

• Mettre en place l’authentification multifacteur (MFA) sur tous les comptes accédant aux ePHI
• Surveillez l'accès pour détecter toute activité suspecte
• Appliquez un contrôle d'accès basé sur les rôles pour limiter les accès inutiles

Comment Cyera aide : Pour appliquer l’authentification multifacteur (MFA), vous devez d’abord découvrir et classifier vos données afin de comprendre où se trouve votre ePHI. Grâce à ces informations, fournies par les capacités de découverte et de classification de Cyera ainsi que par notre module Identité, vous pouvez obtenir une vision claire de l’emplacement de votre ePHI et de qui — ou de quoi — y a accès.

2. Le chiffrement doit être appliqué au repos et en transit

Le chiffrement est une bonne pratique reconnue dans l'industrie, mais il est désormais explicitement exigé par la HIPAA. Les ePHI doivent être chiffrées par défaut, qu'elles soient structurées, semi-structurées ou non structurées.

Bien que le type de chiffrement ne soit pas explicitement indiqué, il doit être raisonnable et approprié, par exemple :

• Application du chiffrement AES-256 pour les données au repos
• Utilisation du chiffrement TLS 1.2+ pour les données en transit
• Veiller à ce que le cloud et les tiers respectent les politiques de chiffrement

Le dernier point mentionné ci-dessus implique une diligence accrue lors de la collaboration avec des tiers. Cela entraînera des modifications des processus, y compris des évaluations des risques liés aux tiers, ainsi qu'une mise à jour des clauses contractuelles afin de garantir une gestion appropriée des données.

Comment Cyera aide : comprendre où se trouve votre ePHI est la première étape pour vérifier le chiffrement. La solution DSPM de Cyera offre une visibilité approfondie sur vos espaces de stockage de données, fournissant des métadonnées détaillées pour vous aider à évaluer les mesures de sécurité essentielles, y compris le chiffrement.

La visibilité du chiffrement peut varier selon le système de stockage. Pour les données sur site, le chiffrement peut être nuancé : bien qu'une baie de stockage puisse chiffrer le disque, cela ne signifie pas nécessairement que les données elles-mêmes sont chiffrées. Le chiffrement au niveau du disque protège principalement contre le vol physique, plutôt que de sécuriser les données au repos. Cyera vous aide à naviguer dans ces complexités, en veillant à ce que vos mesures de chiffrement répondent aux normes de sécurité et de conformité.

3. Les organisations doivent suivre tous les actifs technologiques et les mouvements de données

La nouvelle règle introduit une autre exigence majeure : chaque organisation doit tenir à jour un inventaire de tous les actifs technologiques qui traitent, stockent ou transmettent des ePHI. Cela inclut la création d'une cartographie du réseau qui suit le déplacement des ePHI entre les systèmes internes et les partenaires externes.

Cette exigence est similaire à la conformité PCI, où les organisations doivent clairement documenter l'architecture et les composants de l'environnement de données des titulaires de carte. Selon les nouvelles règles HIPAA, les entités couvertes doivent désormais établir un environnement de détenteur/processeur de données ePHI bien défini.

L'essentiel est de s'assurer que les ePHI ne sont stockées, traitées ou transmises que dans cet environnement désigné et documenté. Si des ePHI sortent de cet environnement contrôlé pour aller dans une zone « hors périmètre » au sein de l'entreprise, cet environnement doit également respecter les mêmes exigences minimales de sécurité définies par la règle et devient soumis à un audit.

Ce que vous devez faire :

• Identifiez et documentez tous les systèmes, dispositifs et applications qui stockent ou traitent des ePHI
• Cartographiez la circulation des ePHI à travers les environnements internes et externes
• Examinez et mettez à jour cet inventaire au moins une fois par an, ou après des changements majeurs.

Comment Cyera aide : Au fil des années, de nombreuses organisations ont perdu la trace de leurs données les plus sensibles, y compris les ePHI. Cyera résout ce problème. En se connectant à vos sources de données, Cyera découvre, inventorie et classe automatiquement les données avec une grande précision, à grande échelle et rapidement — même les données fantômes dont vous ignorez peut-être l'existence. Grâce à l'IA, Cyera peut même identifier des types de données ePHI propres à votre entreprise, d'une manière que les méthodes traditionnelles, telles que les expressions régulières (RegEx) et la recherche de motifs, ne peuvent tout simplement pas égaler.

4. L'analyse des risques doit être plus approfondie

HIPAA a toujours exigé des évaluations des risques, mais la nouvelle règle signifie qu'une évaluation générique des risques de sécurité ne suffit plus. La nouvelle règle exige des analyses plus détaillées des cybermenaces, des vulnérabilités et des mesures de protection spécifiques à la protection des informations de santé électroniques protégées (ePHI).

Ce que vous devez faire :

• Passez en revue votre inventaire des actifs technologiques et votre cartographie réseau
• Identifiez toutes les menaces réalistes pesant sur la confidentialité, l'intégrité et la disponibilité des ePHI
• Évaluer les vulnérabilités des systèmes et réseaux électroniques
• Déterminez les niveaux de risque en fonction de la probabilité et de l'impact potentiel

Ce n'est pas un audit ponctuel non plus : il nécessite une surveillance continue et une gestion des risques pour maintenir la conformité.

Comment Cyera aide : Cyera propose des évaluations détaillées des risques liés aux données en découvrant, classifiant et évaluant la maturité de votre sécurité des données par rapport aux contrôles de gouvernance, de confidentialité, de sécurité et de conformité. Grâce à cette évaluation, nous identifions les risques et fournissons des analyses approfondies sur l'efficacité des contrôles de sécurité des données critiques. L'évaluation comprend une analyse de maturité dirigée par un CISO virtuel, s'appuyant sur un modèle d'intégration de la maturité des capacités (CMMI), afin de vous aider à comprendre votre posture de sécurité des données en lien avec HIPAA et d'autres cadres réglementaires.

5. Les mesures de sécurité adressables doivent être justifiées

La HIPAA offre une certaine flexibilité grâce à des mesures de sécurité « adressables » (parfois appelées contrôles compensatoires). Cela signifie que les exigences minimales en matière de contrôle peuvent être satisfaites par différentes approches, notamment la conception, l’architecture ou une combinaison de contrôles complémentaires travaillant ensemble pour atteindre ou dépasser les normes réglementaires. La nouvelle règle précise que les organisations doivent documenter entièrement leur raisonnement pour la mesure alternative et fournir une justification détaillée.

Ce que vous devez faire :

• Assurez-vous que toute dérogation aux contrôles de sécurité standard soit soigneusement documentée
• Identifier des mesures de sécurité alternatives acceptables si nécessaire
• Soyez prêt à justifier vos choix de sécurité lors des audits

Comment Cyera aide : Cyera fournit des métadonnées détaillées sur vos bases de données, y compris les mesures de sécurité en place ou absentes. Cela, associé au service d'évaluation des risques liés aux données, apporte de la clarté à la mise en œuvre de vos contrôles concernant les ePHI.

Une solide posture de sécurité des données simplifie la conformité

Les nouvelles exigences HIPAA reflètent un changement : les organisations de santé doivent renforcer leur programme de sécurité des données. Les organisations qui adoptent une approche axée sur les données simplifieront la conformité HIPAA tout en réduisant leur exposition aux violations, aux amendes et aux atteintes à la réputation.

Votre organisation est-elle prête pour ces changements HIPAA ? Il est temps d’évaluer comment vous suivez, sécurisez et appliquez les protections sur les ePHI. Demandez une démo dès aujourd’hui pour découvrir comment Cyera peut vous aider.