Plus de 93 millions de dossiers médicaux ont été exposés ou volés en 2023, selon les statistiques. Cela met en évidence l’importance de renforcer la cyber-résilience dans le secteur de la santé afin de prévenir l’utilisation abusive et le partage non autorisé des données des patients. Cela peut être réalisé en respectant les réglementations de santé telles que la HIPAA (Health Insurance Portability and Accountability Act de 1996).
La HIPAA est une réglementation américaine imposée par le gouvernement qui définit pourquoi et comment les organisations de santé doivent répondre aux exigences en matière de confidentialité des patients et de protection des données aux États-Unis.
Elle s’applique aux prestataires de soins de santé tels que les médecins, les hôpitaux, les cliniques, ainsi qu’aux organismes d’assurance santé. Elle concerne également les prestataires de services ou fournisseurs tiers qui traitent des informations de santé électroniques protégées (ePHI), comme les fournisseurs informatiques, les prestataires de stockage de données, les sociétés de facturation et même les partenaires étrangers travaillant avec des entités américaines.
Cette loi a été conçue pour protéger les informations de santé sensibles des patients, leur donner le contrôle de leurs données, prévenir les abus et garantir la confidentialité, la sécurité et l’efficacité du système de santé américain. Voyons comment la HIPAA impose la protection des ePHI.
L’importance de la conformité à la HIPAA
Les dossiers médicaux et les données des patients sont confidentiels. Si ces données sont exposées lors d’une cyberattaque, les patients peuvent perdre confiance dans l’organisation, ce qui peut nuire à sa réputation et affecter ses opportunités commerciales futures. Les établissements de santé peuvent également faire l’objet d’un examen public après une violation de données.
La HIPAA prévoit des amendes pouvant atteindre 50 000 USD par infraction. Dans les cas graves, des peines de prison ou d’autres sanctions peuvent être appliquées si une organisation est reconnue coupable d’utilisation abusive intentionnelle des ePHI. Les personnes concernées doivent être informées dans un délai de 60 jours. Selon l’ampleur de la violation, le Département américain de la Santé et des Services sociaux peut également devoir être notifié.
En outre, l’organisation doit prévoir des mesures en cas de défaillance de la protection des données et expliquer comment elle compte corriger la situation.
La HIPAA définit également des exigences de conservation. Elle recommande de conserver les documents liés à la conformité (politiques, procédures, enregistrements de conformité, autorisations, notifications, évaluations des risques, etc.) pendant au moins 6 ans. Pour déterminer la durée de conservation des sauvegardes de dossiers médicaux, il est conseillé de consulter les lois étatiques ou fédérales, telles que celles de la FDA ou de Medicare.
Comment se défendre contre les menaces visant le secteur de la santé
Face à la complexité des exigences du secteur, les organisations ont besoin d’une solution fiable et complète de protection des données, comme Synology ActiveProtect, qui offre des fonctionnalités avancées de sauvegarde, de restauration et de sécurité. Consultez la check-list d’HIPPA
| Exigences HIPAA | Moyens d’y répondre |
| § 164.308(a)(1)(ii)(D)
« Mettre en place des procédures pour examiner régulièrement les enregistrements d’activité des systèmes d’information, tels que les journaux d’audit, les rapports d’accès et les rapports de suivi des incidents de sécurité. » |
|
| § 164.312(a)(1)
« Mettre en œuvre des politiques et procédures techniques pour les systèmes électroniques contenant des ePHI afin de n’autoriser l’accès qu’aux personnes ou logiciels disposant des droits appropriés. » |
|
| § 164.312(c)(1)
« Mettre en œuvre des politiques pour protéger les ePHI contre toute altération ou destruction inappropriée. » |
|
| § 164.312(c)(2)
« Mettre en œuvre des mécanismes permettant de vérifier que les ePHI n’ont pas été modifiées ou détruites de manière non autorisée. » |
|
| § 164.312(d)
« Mettre en œuvre des procédures pour vérifier l’identité des personnes ou entités accédant aux ePHI. » |
|
| § 164.312(e)(2)(ii)
« Mettre en place un mécanisme de chiffrement des ePHI lorsque cela est approprié. » |
|
| § 164.530(j)(2)
« Conserver les politiques et procédures pendant six ans à partir de leur création ou de leur dernière utilisation. » |
|
Journaux d’audit et rapports :
Étant donné que la HIPAA exige que les établissements de santé mettent en place des procédures telles que des journaux d’audit et des rapports d’audit pour examiner l’activité, ActiveProtect permet aux utilisateurs d’effectuer des audits réguliers en consultant et en exportant les journaux. Ils peuvent également recevoir un résumé de leurs activités, tel que les journaux d’activité, les journaux système avancés, et plus encore.
Les utilisateurs peuvent également utiliser les capacités de transfert de journaux d’ActiveProtect afin de centraliser les journaux, tenir les organisations informées, révéler les risques cachés et garantir la sécurité de leurs données.
Contrôle des accès :
Étant donné que la HIPAA exige que les établissements médicaux mettent en œuvre des procédures et des politiques techniques afin de n’autoriser l’accès qu’aux utilisateurs autorisés, ActiveProtect permet aux équipes IT de déléguer les permissions des utilisateurs selon le principe du moindre privilège. Les utilisateurs peuvent se voir attribuer des permissions pour accéder aux serveurs, gérer les sauvegardes ou les restaurations, ou disposer d’un accès en lecture seule.
Résilience des données :
Étant donné que la HIPAA exige la mise en place de procédures pour protéger les ePHI contre toute altération ou destruction, ActiveProtect est doté d’une immutabilité intégrée afin de garantir que les données ne peuvent pas être modifiées ou supprimées, ainsi que de capacités d’isolation (air gap) permettant aux utilisateurs de stocker des copies de leurs données dans un emplacement sécurisé et isolé.
Intégrité des données :
Étant donné que la HIPAA stipule que des mécanismes électroniques capables de vérifier que les données ePHI n’ont pas été modifiées ou détruites sont obligatoires, ActiveProtect inclut des fonctionnalités telles que des capacités d’auto-réparation, la vérification automatique des sauvegardes et un hyperviseur intégré pour les tests de reprise après sinistre.
Les capacités d’auto-réparation garantissent que toute erreur ou donnée corrompue est détectée et réparée de manière proactive. ActiveProtect vérifie automatiquement les sauvegardes en capturant une vidéo, garantissant qu’une copie fidèle est conservée.
De plus, l’hyperviseur intégré d’ActiveProtect permet aux utilisateurs de créer un environnement sandbox afin de tester les stratégies de reprise après sinistre sans aucun impact sur le site de production. En savoir plus
Authentification des utilisateurs :
Étant donné que la HIPAA exige une authentification des utilisateurs pour vérifier leur identité, ActiveProtect inclut également des fonctionnalités permettant de configurer cette authentification. Les utilisateurs peuvent intégrer Windows AD et LDAP afin de centraliser la gestion des utilisateurs. ActiveProtect dispose de capacités SSO. Si le SSO est activé, vous pouvez utiliser les méthodes MFA existantes configurées sur votre serveur SSO/MFA. En savoir plus
Sécurité des données en transit et au repos :
La HIPAA recommande que les données ePHI soient chiffrées. Diverses méthodes sont utilisées lors de la sauvegarde des données avec ActiveProtect. ActiveProtect utilise une transmission sécurisée de bout en bout pour stocker les données. Lorsque les données sont transférées vers un site de stockage distant, le chiffrement AES-256 est utilisé.
Conservation des données :
Étant donné que la HIPAA stipule que les données doivent être conservées pendant au moins 6 ans, ActiveProtect permet aux utilisateurs de définir des politiques de conservation des données et d’exploiter des options de stockage distant dans le cloud ou sur site afin de protéger les copies de sauvegarde ou de stocker des données hiérarchisées.
Cliquez ici pour découvrir comment protéger dès aujourd’hui vos données de santé avec Synology ActiveProtect.