logo

Intégration de la gestion des identités et des accès dans le secteur de la santé à l’aide des normes HIPAA, NIST, RGPD et CCPA

Le secteur de la santé est une cible privilégiée des cybercriminels qui volent des données sensibles et exigent des rançons élevées. Pour déjouer les attaques coûteuses, il est essentiel de comprendre que l’identité est le nouveau périmètre de sécurité. En mettant en œuvre une gestion efficace des identités et des accès (IAM), les organismes de santé peuvent améliorer significativement leur sécurité et leur cyberrésilience.

Cet article analyse le rôle que joue la gestion des identités et des accès dans le secteur de la santé et recense les lacunes les plus urgentes à combler. Il précise ensuite comment une solution IAM permet à votre organisation de garantir la conformité aux normes suivantes :

  • Le Cadre de sécurité de l’Institut national des normes et de la technologie (National Institute of Standards and Technology Cybersecurity Framework, ou NIST CSF)
  • Le RGPD (Règlement général sur la protection des données)
  • Loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, ou CCPA)
  • Loi sur la portabilité et la responsabilité des assurances maladie (Health Insurance Portability and Accountability Act, ou HIPAA)
Télécharger eBook (Contenu en anglais) :

Le rôle de la gestion des identités et des accès dans le secteur de la santé

Un programme de gestion des identités et des accès (IAM) comprend un ensemble de stratégies, de processus et de technologies qui permettent de gérer les utilisateurs et de contrôler l’accès aux données, aux applications et aux autres ressources informatiques. Généralement, un annuaire est utilisé pour authentifier les utilisateurs et autoriser leur accès à des ressources spécifiques, souvent en fonction de leur appartenance aux groupes plutôt que sur la base d’autorisations précises.

Par ailleurs, lorsqu’ils sont intégrés à d’autres outils de sécurité, les systèmes de gestion des identités et des accès peuvent enregistrer les activités des utilisateurs. Ils contribuent ainsi à identifier les comportements suspects ou le non-respect des politiques.

Principaux avantages de la gestion des identités et des accès dans le secteur de la santé

Dans le secteur de la santé, un système de gestion des identités et des accès est essentiel principalement pour deux raisons. En premier lieu, il permet aux organisations de se conformer aux exigences réglementaires. Par exemple, la norme HIPAA et le RGPD imposent de gérer les identités numériques, de mettre en place des contrôles d’accès et de conserver les pistes d’audit requises.

Il renforce ensuite la sécurité des données des patients. L’accès non autorisé aux dossiers médicaux informatisés peut entraîner des conséquences désastreuses, notamment de lourdes amendes et des dommages réputationnels pour l’organisme de santé, ainsi que l’usurpation d’identité et d’autres répercussions négatives pour les personnes. La gestion des identités et des accès permet aux organisations d’empêcher l’accès inapproprié aux données sensibles des patients par des attaquants externes ou même des menaces internes, c’est-à-dire des employés ou d’autres utilisateurs qui abuseraient de leur accès légitime, que ce soit de manière délibérée ou accidentelle.

Comment remédier aux lacunes les plus courantes en matière de sécurité grâce à la gestion des identités et des accès

Les organismes de santé sont une cible privilégiée des cybercriminels. En effet, ils stockent d’innombrables données sensibles et doivent reprendre leurs activités au plus vite après un incident de sécurité, même si cela implique de payer une rançon pour obtenir une clé de décryptage. Voici les principales lacunes de sécurité que les acteurs de la menace exploitent, et comment une solution IAM peut aider les organismes de santé à réduire leurs risques :

Utilisateurs bénéficiant de privilèges excessifs

En règle générale, les organismes de santé disposent d’une base d’utilisateurs dynamique, en raison du renouvellement régulier du personnel et des changements de responsabilités fréquents des utilisateurs. Veiller à ce que chaque utilisateur ne dispose que des autorisations dont il a besoin et que les comptes soient rapidement supprimés lorsqu’ils ne sont plus nécessaires peut donc s’avérer difficile. L’attribution excessive de privilèges est souvent à l’origine des accès non autorisés.

Afin de réduire ce risque, les organismes de santé peuvent mettre en place un contrôle d’accès en fonction du rôle (RBAC) pour simplifier la gestion des droits d’accès. Le contrôle d’accès en fonction du rôle repose sur le fait que les utilisateurs qui occupent des rôles semblables ont généralement besoin d’accéder aux mêmes ressources. Les organisations peuvent donc définir un ensemble de rôles et attribuer à chacun d’eux un ensemble de droits d’accès. L’attribution ou la réattribution de privilèges d’accès à un utilisateur est ainsi aussi simple que l’ajout ou la suppression de rôles spécifiques. Cela permet d’éviter un tri laborieux et sujet à l’erreur parmi une quantité infinie d’autorisations attribuées directement.

Stratégies de mot de passe faibles

Nombreux sont les organismes de santé qui ne respectent que les exigences minimales de la norme HIPAA en matière de mots de passe :

  • Vérifier qu’une entité demandant l’accès à des informations médicales protégées (ePHI) est bien celle qu’elle prétend être ;
  • Mettre en place des procédures de modification, de création et de protection des mots de passe ;
  • Mettre en œuvre des stratégies et des procédures de contrôle des tentatives de connexion.

Adopter des stratégies de mots de passe robustes constitue un bon moyen de renforcer la sécurité. Elles exigent des employés l’utilisation de mots de passe forts et uniques pour chaque application, site web ou système auxquels ils doivent accéder. Pour qu’ils puissent le faire sans recourir à des méthodes risquées, par exemple, écrire leurs mots de passe sur un pense-bête ou les réutiliser, les organisations devraient également mettre à disposition un gestionnaire de mots de passe. Cette application permet de générer des mots de passe sécurisés et de les stocker, de les saisir et de les gérer.

Adoption lente du Zero Trust

Le Zero Trust est un modèle de sécurité pour la protection des données et de l’infrastructure. Il repose sur un principe de base : par défaut, on ne doit faire confiance à aucun appareil, aucune application et aucun utilisateur.

L’adoption du Zero Trust nécessite des organisations qu’elles authentifient, autorisent et valident sans cesse toutes les entités avant de leur octroyer un accès aux applications et aux données. La mise en œuvre de ce modèle de sécurité est essentielle pour faire face aux défis modernes en matière de cybersécurité, notamment les environnements hybrides, les travailleurs à distance, le SaaS et les menaces sophistiquées de ransomware.

Absence d’authentification multifacteur

Les organisations qui utilisent un seul facteur d’authentification, par exemple un mot de passe, sont plus susceptibles de subir des violations de sécurité que celles qui utilisent l’authentification multifacteur (MFA). L’authentification multifacteur exige que les utilisateurs présentent au moins deux types de preuves différentes pour s’authentifier :

  • Quelque chose que vous connaissez, par exemple, un code PIN ou un mot de passe
  • Quelque chose que vous possédez, comme un smartphone ou un badge
  • Quelque chose qui vous est inhérent, comme une empreinte digitale ou un scan de la rétine

Dans le cadre d’une stratégie de sécurité Zero Trust générale, l’authentification multifacteur ne doit pas être source de frustration ou de perte de productivité pour les utilisateurs. Elle devrait être exigée uniquement lorsque l’action demandée présente un risque suffisamment élevé en ce qui concerne la sensibilité de la ressource en question, de l’appareil de l’utilisateur et de son emplacement.

Absence de sécurisation de l’accès des tiers

Plus de la moitié (54 %) des organismes de santé n’effectuent pas un contrôle régulier des autorisations d’accès des fournisseurs, selon un rapport de SecureLink et de l’Institut Ponemon. Une négligence qui permet aux acteurs de la menace d’exploiter les lacunes en matière de sécurité pour accéder au réseau d’un fournisseur et aux environnements de ses clients. Afin de réduire le risque, les organismes de santé doivent contrôler strictement l’activité de tous les fournisseurs et prestataires de services.

Capacité de détection et de réponse aux menaces insuffisante

De nombreux organismes de santé ne découvrent que plusieurs mois après l’attaque initiale que leurs systèmes ont été piratés. Par exemple, ils ne détectent les attaques de ransomware que lorsque le chiffrement des données est terminé et qu’ils reçoivent une demande de rançon pour obtenir une clé de déchiffrement.

Pour améliorer cet aspect, les entreprises peuvent mettre en place des solutions de gestion des journaux d’évènements et de détection des intrusions. Elles permettent de repérer les activités anormales, de les analyser et d’alerter les équipes informatiques sur les menaces probables afin qu’elles puissent y répondre rapidement et réduire leur impact.

Conformité et gestion des identités et des accès

En matière de réglementations et de normes, notamment le RGPD et le CSF du NIST, la gestion des identités et des accès est une révolution. Voici quelques-uns des principaux moyens par lesquels la gestion des identités et des accès peut aider les organisations à se conformer aux cadres et aux normes de sécurité les plus courants.

Cadre de sécurité (CSF) du NIST

Le cadre de cybersécurité du NIST a été créé pour permettre aux organisations, peu importe leur taille, de mieux comprendre, réduire et gérer les risques liés à la cybersécurité dans le but de protéger leurs données et leurs réseaux. Le CSF du NIST est un outil libre, mais il offre une aide précieuse pour les organismes de santé qui souhaitent renforcer leur posture de cybersécurité. Certaines de ses directives sont directement liées à la gestion des identités et des accès dans le secteur de la santé. En voici quelques-unes :

  • Vérification de l’identité – Le cadre de sécurité du NIST recommande de vérifier scrupuleusement l’identité d’une personne avant de lui octroyer un accès aux systèmes et aux données.
  • Politiques de contrôle des accès – Il préconise également la mise en œuvre de politiques strictes de gestion des accès aux données sensibles et autres ressources, ce qui inclut notamment des contrôles d’accès très détaillés basés sur les principes du Zero Trust. Il encourage également la surveillance continue des accès pour permettre une détection et une réponse rapides aux menaces.
  • Authentification multifacteur (MFA) – Le cadre de sécurité du NIST recommande la mise en œuvre de l’authentification multifacteur afin de réduire le risque d’utilisation des informations d’identification compromises.

RGPD

Le Règlement général sur la protection des données (RGPD) s’applique à toutes les organisations qui stockent ou traitent les données des résidents de l’UE, même si elles n’exercent pas directement leurs activités dans un État membre. Une stratégie solide de gestion des identités et des accès permet aux organismes de santé de répondre aux exigences fondamentales du RGPD en matière de confidentialité des données. Par ailleurs, nous vous recommandons de mettre en œuvre les pratiques suivantes :

  • Veillez à ce que votre équipe tienne compte des exigences en matière de confidentialité dès le début d’un projet et qu’elle les réévalue à intervalles réguliers.
  • Conservez un registre détaillé de toutes les conversations sur les violations de données potentielles sans inclure d’exemples spécifiques de données à caractère personnel. Vous devez toujours collecter le moins de données possible, conformément au principe de minimisation des données du RGPD.
  • Effectuez une analyse d’impact relative à la protection des données (AIPD) pour tout nouveau projet susceptible de présenter un « risque élevé » en matière de données à caractère personnel. Une AIPD consiste à identifier, analyser et minimiser de manière systématique les difficultés potentielles en matière de protection des données dans le cadre d’une proposition de projet.
  • Respectez le droit au consentement. Le RGPD exige l’obtention du consentement des utilisateurs avant de collecter ou d’utiliser leurs informations. Le consentement doit être « libre, spécifique, informé et sans ambiguïté ».

CCPA et CPRA

La Loi californienne sur la protection de la vie privée des consommateurs a été adoptée en 2020 et modifiée par la Loi californienne sur la protection de la vie privée (CPRA), entrée en vigueur en 2023. Sont concernées par la CPRA les entreprises à but lucratif qui collectent des données à caractère personnel auprès des résidents californiens, qui réalisent un chiffre d’affaires défini ou qui traitent une quantité de données déterminée.

Tout comme le RGPD, la CPRA donne aux personnes concernées par le traitement des données de nombreux droits, notamment les suivants :

  • Connaître et accéder à leurs données à caractère personnel
  • Demander la suppression de leurs données
  • S’opposer à la vente de leurs données
  • Ne pas subir de discrimination
  • Demander la rectification de leurs données
  • Limiter l’utilisation et la divulgation de leurs informations personnelles sensibles

Certaines fonctions caractéristiques de la gestion des identités et des accès simplifient la mise en conformité avec la CPRA. Nous vous expliquons pourquoi ci-dessous.

  • Gestion de l’accès des utilisateurs aux données réglementées – Les systèmes de gestion des identités et des accès permettent aux organismes de santé de contrôler de manière centralisée l’accès des utilisateurs aux données sensibles, notamment les informations personnelles soumises aux réglementations de la CPRA.
  • Surveillance de l’activité en lien avec les données réglementées – En général, les solutions de gestion des identités et des accès permettent d’effectuer un audit robuste de l’activité des utilisateurs. Les organismes de santé peuvent ainsi savoir qui accède à quelles données et réagir rapidement en cas de comportement suspect afin de protéger les données réglementées par la CPRA et d’autres normes.
  • Satisfaire les demandes des personnes concernées – Les solutions IAM automatisent le traitement des demandes des utilisateurs qui souhaitent connaître les données stockées par un organisme de santé à leur sujet. Elles peuvent ainsi les corriger ou les supprimer.

HIPAA

La norme HIPAA est une loi fédérale américaine qui protège les informations sensibles sur la santé des patients et empêche leur divulgation sans qu’ils ne le sachent ou sans leur consentement. La gestion des identités et des accès permet aux organisations de se conformer à certaines des exigences de la norme HIPAA. Voici lesquelles :

  • Chiffrement des informations électroniques protégées sur la santé (ePHI) – Les solutions IAM proposent souvent le chiffrement des informations protégées sur la santé, ce qui permet de garantir leur confidentialité aussi bien au moment du stockage que de la transmission.
  • Procédures d’accès d’urgence. Certaines solutions IAM sont dotées de protocoles d’accès d’urgence. Ces derniers permettent au personnel désigné d’accéder rapidement aux informations électroniques protégées sur la santé durant les périodes critiques (pannes système, catastrophes naturelles, etc.) tout en respectant les mesures de sécurité adéquates.
  • Contrôle des accès et pistes d’audit – La gestion des identités et des accès permet aux organisations de limiter l’accès des utilisateurs aux informations électroniques protégées sur la santé, conformément au principe du moindre privilège. Elle les aide également à mettre en place des contrôles d’authentification et d’autorisation stricts, ainsi qu’à enregistrer les activités comme l’exige la norme HIPAA.
  • Application du principe d’utilisation et de divulgation minimales nécessaires – En matière de confidentialité, la norme HIPAA exige que les entités concernées limitent au maximum l’utilisation et la divulgation des informations protégées sur la santé pour atteindre un objectif. Un système IAM qui permet la mise en place de contrôles d’accès en fonction du rôle (RBAC) peut aider les organismes de santé à se conformer à cette exigence. En effet, il assure un contrôle détaillé de tous les accès.

Conclusion

Les réglementations gouvernementales et les meilleures pratiques en matière de cybersécurité peuvent s’avérer complexes et s’y conformer peut représenter un défi de taille pour tout organisme de santé. Mettre en œuvre une solution IAM efficace constitue une base solide pour identifier et atténuer les risques lors de chaque phase du cycle de vie de la cybersécurité.

Comment Netwrix peut vous aider

Les solutions de gestion des identités et des accès (IAM) développées par Netwrix permettent aux organismes de santé de renforcer la cybersécurité et de garantir leur conformité aux différents cadres et règlements pertinents. Elles leur permettent notamment de respecter les objectifs suivants :

  • Assurer, maintenir et prouver la conformité – Un suivi en temps réel et des rapports détaillés permettent de répondre aux exigences des différentes normes en toute simplicité et de réaliser avec succès des audits de conformité.
  • Réduire le risque de violation de données – La solution offerte par Netwrix permet aux organisations de limiter strictement l’accès aux données sensibles et de minimiser ainsi les risques de violation.
  • Garantir une meilleure visibilité sur les accès et les activités – La solution IAM de Netwrix vous permet d’obtenir des informations précises sur les modes d’accès aux données, ce qui améliore la sécurité et la prise de décision opérationnelle.
  • Détecter les menaces et y répondre rapidement – Des capacités de détection et de réponse avancées permettent d’identifier et d’atténuer rapidement les menaces.
  • Augmenter la productivité des utilisateurs – Grâce à une gestion des identités et des accès simplifiée, les professionnels de la santé peuvent se concentrer davantage sur les soins aux patients.

Les solutions IAM de Netwrix offrent aux organismes de santé la possibilité de concilier une sécurité robuste et les exigences évolutives d’un milieu hospitalier moderne.

Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data governance Data security Insider threat IT security Office 365 PowerShell Risk assessment SharePoint Windows Server
...