Nouvelles règles HIPAA imposant l'authentification multifacteur et le chiffrement des données de santé électroniques protégées : votre organisation est-elle prête ?

Feb 24, 2025
Share

La règle de sécurité HIPAA fait l'objet d'une mise à jour majeure, l'une des plus importantes de ces dernières années. Le 27 décembre 2024, l'Office for Civil Rights (OCR) a proposé de nouvelles exigences en matière de cybersécurité visant à protéger les informations de santé électroniques protégées (ePHI) contre la recrudescence des cybermenaces.

Ces mises à jour ont été publiées le 6 janvier 2025, ouvrant une période de consultation publique de 60 jours. À l'issue de cette période, l'OCR examinera les commentaires reçus, révisera le projet de règlement si nécessaire et le soumettra à l'approbation des autorités réglementaires. Une fois approuvé et publié, le règlement précisera sa date d'entrée en vigueur et le calendrier de mise en conformité. Sauf imprévu majeur, le règlement définitif pourrait être publié fin 2025 ou début 2026. Il indiquera alors une date d'entrée en vigueur et un délai de mise en conformité (généralement de 6 à 24 mois après sa publication).

Ces modifications visent à renforcer la protection des données et à clarifier les exigences en matière de conformité. Elles s'ajoutent à l'application obligatoire des mesures de sécurité essentielles.

Ces mesures comprennent :

  • Authentification multifacteurs (AMF) pour tous les systèmes accédant aux données de santé électroniques protégées (DSEEP)
  • Chiffrement des données de santé électroniques protégées (ePHI) au repos et en transit
  • Inventaires des actifs technologiques et cartographie du réseau pour suivre les mouvements des données de santé électroniques protégées (ePHI).
  • Exigences d'analyse des risques plus rigoureuses et détaillées

Pour les responsables de la sécurité des données, il est indispensable de prouver que les données de santé électroniques protégées (ePHI) sont correctement protégées, partout et en permanence. Or, de nombreuses organisations manquent de visibilité sur leurs données et sur les personnes qui y accèdent.

La question est donc la suivante : comment protéger et démontrer la conformité si l’on ignore où se trouvent les données de santé électroniques protégées (ePHI) ? On ne peut protéger ce dont on ignore l’existence, et on ne peut imposer l’authentification multifacteur (MFA) si l’on ne sait pas qui accède aux ePHI.

Analyse des nouvelles exigences de sécurité HIPAA

1. L'authentification multifacteurs (MFA) est désormais obligatoire.

L’authentification multifacteur (MFA) n’est plus une recommandation, mais une obligation pour tout système donnant accès aux données de santé électroniques protégées (ePHI). Ceci s’applique aux systèmes sur site, dans le cloud et aux systèmes tiers utilisés par les entités concernées et leurs partenaires commerciaux.

Ce que vous devez faire :

  • Mettre en œuvre l'authentification multifacteur (MFA) pour tous les comptes accédant aux données de santé électroniques protégées (ePHI
  • Surveillez les accès pour détecter toute activité suspecte.
  • Mettez en œuvre un contrôle d'accès basé sur les rôles afin de limiter les accès inutiles.

Comment Cyera vous aide : Pour mettre en œuvre l’authentification multifacteur (MFA), vous devez d’abord identifier et classer vos données afin de déterminer où se trouvent vos données de santé électroniques protégées (ePHI). Grâce aux fonctionnalités d’identification et de classification de Cyera, associées à notre module d’identité, vous pouvez identifier clairement où se trouvent vos ePHI et qui (ou quoi) y a accès.

2. Le chiffrement doit être appliqué aux données au repos et en transit.

Le chiffrement est une pratique courante dans le secteur, mais il est désormais explicitement exigé par la loi HIPAA. Les données de santé électroniques protégées (ePHI) doivent être chiffrées par défaut, qu'elles soient structurées, semi-structurées ou non structurées.

Bien que le type de chiffrement ne soit pas explicitement indiqué, il doit être raisonnable et approprié, par exemple :

  • Application du chiffrement AES-256 aux données au repos
  • Utilisation du chiffrement TLS 1.2+ pour les données en transit
  • S’assurer que les fournisseurs de cloud et les tiers respectent les politiques de chiffrement

Le dernier point évoqué ci-dessus implique une vigilance accrue lors de la collaboration avec des tiers. Cela se traduira par des modifications des processus, notamment des évaluations des risques liés aux tiers, ainsi que par une mise à jour des clauses contractuelles afin de garantir un traitement adéquat des données.

Comment Cyera vous aide : Comprendre où se trouvent vos données de santé électroniques protégées est la première étape de la vérification du chiffrement. Cyera DSPM Cette solution offre une visibilité approfondie sur vos bases de données, en fournissant des métadonnées détaillées pour vous aider à évaluer les mesures de sécurité critiques, notamment le chiffrement.

La visibilité du chiffrement peut varier selon le système de stockage. Pour les données sur site, le chiffrement peut être complexe : si une baie de stockage chiffre le disque, cela ne signifie pas nécessairement que les données elles-mêmes sont chiffrées. Le chiffrement au niveau du disque protège principalement contre le vol physique plutôt que contre la sécurisation des données au repos. Cyera vous aide à appréhender ces complexités et à garantir que vos mesures de chiffrement respectent les normes de sécurité et de conformité.

3. Les organisations doivent assurer le suivi de tous leurs actifs technologiques et des mouvements de données.

La nouvelle réglementation impose une autre exigence majeure : chaque organisation doit tenir à jour un inventaire complet de ses ressources technologiques qui traitent, stockent ou transmettent des données de santé électroniques protégées (ePHI). Cela inclut la création d’une cartographie du réseau permettant de suivre les déplacements des ePHI entre les systèmes internes et les partenaires externes.

Cette exigence est similaire à la conformité PCI, qui impose aux organisations de documenter clairement l'architecture et les composants de l'environnement de données des titulaires de cartes. En vertu des nouvelles règles HIPAA, les entités concernées doivent désormais établir un environnement de traitement et de gestion des données ePHI bien défini.

L'essentiel est de garantir que les données de santé électroniques protégées (ePHI) ne soient stockées, traitées ou transmises que dans cet environnement désigné et documenté. Si des ePHI sont déplacées hors de cet environnement contrôlé, vers une zone « hors champ d'application » au sein de l'entreprise, cet environnement doit également respecter les mêmes exigences minimales de sécurité définies dans la réglementation et est soumis à un audit.

Ce que vous devez faire :

  • Identifier et documenter tous les systèmes, appareils et applications qui stockent ou traitent des données de santé électroniques protégées (ePHI).
  • Cartographiez la façon dont les informations de santé électroniques protégées (ePHI) circulent entre les environnements internes et externes.
  • Examinez et mettez à jour cet inventaire au moins une fois par an, ou après des changements importants.

Comment Cyera vous aide : Au fil des ans, de nombreuses organisations ont perdu la trace de leurs données les plus sensibles, notamment les données de santé électroniques protégées (ePHI). Cyera résout ce problème. En se connectant à vos sources de données, Cyera découvre, inventorie et classe automatiquement les données avec une grande précision, à grande échelle et rapidement, même les données cachées dont vous ignorez peut-être l’existence. Grâce à l’intelligence artificielle, Cyera peut même identifier les types de données ePHI propres à votre entreprise, ce que les méthodes traditionnelles, telles que les expressions régulières (RegEx) et la correspondance de modèles, ne permettent pas.

4. L'analyse des risques doit être plus exhaustive.

HIPAA L'évaluation des risques a toujours été requise, mais la nouvelle réglementation exige désormais des évaluations plus détaillées des cybermenaces, des vulnérabilités et des mesures de protection spécifiques aux données de santé électroniques protégées (ePHI).

Ce que vous devez faire :

  • Examinez votre inventaire des actifs technologiques et votre plan de réseau.
  • Identifier toutes les menaces réalistes pesant sur la confidentialité, l'intégrité et la disponibilité des données de santé électroniques protégées (ePHI).
  • Évaluer les vulnérabilités des systèmes et réseaux électroniques
  • Déterminer les niveaux de risque en fonction de la probabilité et de l'impact potentiel

Il ne s'agit pas non plus d'un audit ponctuel ; un suivi continu et une atténuation des risques sont nécessaires pour maintenir la conformité.

Comment Cyera vous aide : Cyera propose des évaluations détaillées des risques liés aux données en identifiant, classant et évaluant votre niveau de maturité en matière de sécurité des données au regard des contrôles de gouvernance, de confidentialité, de sécurité et de conformité. Grâce à cette évaluation, nous identifions les risques et vous offrons une vision plus approfondie de l’efficacité de vos contrôles critiques de sécurité des données. L’évaluation comprend une analyse de maturité menée par un RSSI virtuel, s’appuyant sur le modèle CMMI (Capability Maturity Model Integration) pour vous aider à comprendre votre posture en matière de sécurité des données au regard de la loi HIPAA et des autres cadres réglementaires.

5. Les mesures de sécurité adressables doivent être justifiées.

La loi HIPAA autorise une certaine flexibilité grâce à des mesures de sécurité « adressables » (parfois appelées contrôles compensatoires). Cela signifie que les exigences minimales de contrôle peuvent être satisfaites par diverses approches, notamment la conception, l'architecture ou une combinaison de contrôles complémentaires fonctionnant de concert pour respecter, voire dépasser, les normes réglementaires. La nouvelle réglementation précise que les organisations doivent documenter intégralement le raisonnement qui sous-tend la mesure alternative et fournir une justification détaillée.

Ce que vous devez faire :

  • Veillez à ce que tout écart par rapport aux contrôles de sécurité standard soit soigneusement documenté.
  • Identifier les mesures de sécurité alternatives acceptables, le cas échéant.
  • Soyez prêt à défendre vos choix en matière de sécurité lors des audits.

Comment Cyera vous aide : Cyera fournit des métadonnées détaillées sur vos bases de données, notamment sur les mesures de sécurité en place (ou non). Associées au service d’évaluation des risques liés aux données, ces informations vous permettent de mieux appréhender la mise en œuvre des contrôles relatifs aux données de santé électroniques protégées (ePHI).

Une politique de sécurité des données robuste simplifie la conformité

Les nouvelles exigences de la loi HIPAA témoignent d'un changement de paradigme : les organismes de santé doivent renforcer leur programme de sécurité des données. Ceux qui privilégient une approche axée sur les données simplifieront leur mise en conformité avec la loi HIPAA tout en réduisant les risques de violation de données, d'amendes et d'atteinte à leur réputation.

Votre organisation est-elle prête pour ces changements liés à la loi HIPAA ? Il est temps d’évaluer comment vous suivez, sécurisez et appliquez les protections relatives aux informations de santé électroniques protégées (ePHI). Demandez une démonstration dès aujourd'hui pour découvrir comment Cyera peut vous aider.

Share