Blog GlobalSign

17 nov. 2017

Secteur de la santé : réglementation et bonnes pratiques de cybersécurité

Pourquoi intégrer les certificats numériques à votre stratégie de sécurité des données et de respect de la vie privée ?

Dans le domaine de la santé, le respect de la vie privée et la sécurité des données personnelles revêtent une importance capitale. Cela fait déjà 21 ans que le Titre I de la loi sur la protection des données médicales (dite « loi HIPAA » [Health Insurance Portability and Accountability Act]) a été promulgué aux États-Unis pour protéger la couverture d’assurance-maladie dont bénéficient les salariés et leurs familles. En 2003, le Titre II a permis de définir la norme nationale qui régit les transactions électroniques de données médicales et les identifiants nationaux utilisés par les prestataires, les régimes d’assurance santé et les salariés. Une grande partie des règles de protection de la vie privée et de la sécurité des données ont été définies à cette période pour protéger les données électroniques sensibles relatives à la santé (« données e-PHI »).

Aux États-Unis, le Congrès et le ministère de la Santé et des Services sociaux (HHS) avaient constitué il y a quelques années un groupe de travail sur la cybersécurité appliquée à la santé — HCIC (Health Care Industry Cybersecurity) — inscrit dans la loi de 2015 sur la cybersécurité pour répondre aux inquiétudes croissantes face aux risques et aux menaces pour la cybersécurité dans le secteur de la santé. Les conclusions des travaux de cette Task Force ont récemment été publiées dans un rapport très détaillé intitulé Report on Improving Cybersecurity in the Health Care Industry (Rapport pour l’amélioration de la cybersécurité dans le secteur de la santé). Le document souligne l’urgence et la complexité des cybermenaces, ainsi que les mesures recommandées pour protéger les systèmes de santé et les patients.

D’une extrême complexité, l’écosystème de la santé est essentiellement centré sur les services, les soins et les produits fournis aux patients et consommateurs. En tant que patient, imaginez l’ensemble des interactions, des données et des dossiers générés lors d’un seul rendez-vous chez le médecin. Les établissements et les entreprises de santé restent les acteurs de cette transformation numérique qui promet une amélioration des soins et des services. Aujourd’hui, les dossiers patient sont, pour la plupart, entièrement numérisés, mais ce n’est pas tout ! La surveillance des patients et la collecte des données s’effectuent désormais de manière entièrement automatisée. Or, avec l’augmentation des volumes d’informations et des processus numériques, le risque de cyberattaques croît également de manière exponentielle.

Les établissements et entreprises de santé sont souvent pris pour cible par des hackers qui cherchent à faire un maximum de dégâts en s’attaquant aux dossiers patients et à la sécurité de ces organismes. Ce sont du reste des cibles faciles en raison du nombre de personnes et de membres du personnel qui se connectent à divers équipements et réseaux accessibles. Difficiles à mettre à jour, trop coûteux à remplacer ou toujours utilisés pour les soins quotidiens aux patients, certains équipements plus anciens sont toujours utilisés alors qu’ils sont potentiellement vulnérables. La récente attaque par rançongiciel WannaCry qui s’en est prise à une vulnérabilité connue de Microsoft Windows aurait pu être évitée à l’aide d’un simple correctif. En visant un grand nombre d’établissements de santé, WannaCry a lourdement impacté certains pays.

Les missions du groupe de travail HCIC et la publication de son rapport sur la cybersécurité permettent de disposer de consignes et lignes directrices en phase avec le cadre de cybersécurité du NIST (National Institute of Standards and Technology). Toutefois, les dispositifs techniques de protection évoqués dans la loi HIPAA doivent être intégrés à la stratégie de cybersécurité de tout établissement de santé et de soins. Ce récent article Implementing HIPAA Technical Safeguards for Data Security publié par Health IT Security donne un excellent aperçu des dispositifs techniques de protection et des conséquences pour les entreprises qui en feraient l’impasse.

Qu’entend-on par « dispositifs techniques de protection » ?

Comme le définissent les règles HIPAA sur la sécurité des données, on appelle dispositifs techniques de protection les technologies, ainsi que les règles et les procédures d’utilisation associées, qui visent à protéger les données électroniques sensibles relatives à la santé (e-PHI) et à contrôler l’accès à ces données.

En vertu de la règle HIPAA sur la sécurité, les dispositifs de protection techniques portent sur les points suivants :

  • Contrôles d’accès —Toute entité couverte doit mettre en œuvre des règles et des procédures techniques permettant de restreindre l’accès aux données e-PHI aux seules personnes habilitées.
  • Contrôles d’audit — Toute entité couverte doit mettre en œuvre des mécanismes matériels, logiciels et/ou basés sur des procédures pour enregistrer et analyser l’accès aux systèmes d’information ou toute activité en lien avec ces SI qui contiennent ou utilisent des données e-PHI.
  • Contrôles d’intégrité — Toute entité couverte doit mettre en œuvre des règles et des procédures pour éviter que les données e-PHI ne soient modifiées ou détruites à tort. Des mesures électroniques doivent être mises en place pour confirmer qu’aucune donnée e-PHI n’a été modifiée ou détruite à tort.
  • Sécurité des transmissions — Toute entité couverte doit mettre en œuvre des mesures techniques de sécurité qui protègent contre tout accès non autorisé aux données e-PHI transmises par voie électronique.

technical safeguards for cybersecurity in the healthcare industy

(Source : HHS)

Défaut d’application des mesures techniques de protection HIPAA

En tant qu’organisme de santé, vous n’avez pas le droit à l’erreur. La mise en œuvre de ces dispositifs techniques de protection aider à prévenir les incidents de sécurité. Vous devez également être en conformité avec la loi HIPAA, ce qu’une personne chargée d’auditer votre organisme ne manquera pas de vérifier. Peut-on affirmer que cela vous prémunit définitivement de tout incident de sécurité ? Non, mais le respect des règles de sécurité HIPAA et l’application des bonnes pratiques de sécurité prouveront que vous étiez en conformité et vous éviteront potentiellement d’être sanctionné par une lourde amende en cas d’incident de sécurité, et s’il devait être établi que les dispositifs techniques n’ont pas été correctement appliqués par l’entreprise.

En quoi les certificats numériques sont-ils utiles ?

C’est là que les choses deviennent vraiment intéressantes ! La règle HIPAA sur la sécurité des données reste assez floue dans sa définition des technologies ; les organismes de santé peuvent ainsi appliquer les mesures de sécurité de leur choix pour répondre à la norme et aux spécifications. En tant qu’employé de l’autorité de certification leader GlobalSign, je dirais que les certificats numériques peuvent jouer un rôle clé dans la manière dont les établissements et les entreprises du secteur de la santé choisissent d’aborder les dispositifs techniques de protection évoqués dans la loi HIPAA. On retiendra les mots clés suivants : identification utilisateur unique, chiffrement et déchiffrement, authentification et contrôles d’intégrité.

L’identité constitue le point de départ idéal de toute bonne pratique de sécurité. Avec une identité pour chaque « objet », tout est potentiellement plus sûr. Chiffrement des communications et des transactions, authentification sur un service, autorisation d’accès, justification de l’intégrité... toutes ces actions exigent que chaque personne, chaque appareil, chaque service, chaque application, chaque chose ou objet qui se connecte à Internet possède sa propre identité. Les certificats numériques fournissent ces identités et cette confiance. Ils apportent une réponse à la question des dispositifs techniques de sécurité recommandés dans la loi HIPAA pour un certain nombre de scénarios de sécurité.

  • Sécurité du Web et des serveurs — La sécurité renforcée des certificats SSL/TLS de GlobalSign confère une légitimité à vos sites et serveurs publics et privés, avec en prime le chiffrement des transmissions et des transactions de données.
  • Authentification et contrôle d’accès des utilisateurs et des appareils — Les mécanismes d’authentification forte évitent que les utilisateurs ne s’encombrent de modules matériels ou d’applications [d’authentification], et veillent à ce que seuls les utilisateurs, les machines et les terminaux (y compris mobiles) puissent accéder aux réseaux et aux services autorisés.
  • Signature de documents — Les signatures numériques qui utilisent des certificats numériques de confiance remplacent les signatures manuscrites et créent un sceau de confiance inviolable pour protéger les dossiers de vos patients et tout autre document à conserver en sécurité pour protéger la confidentialité des informations.
  • E-mails sécurisés — La signature numérique et le chiffrement systématiques des e-mails en interne réduisent les risques de hameçonnage et de perte de données. La vérification de l’origine des messages permet en effet aux destinataires de reconnaître clairement les e-mails légitimes des e-mails de hameçonnage. De plus, seuls les destinataires officiels ont accès aux contenus des e-mails.

Dans le domaine de la santé, la sécurité est indéniablement complexe et indispensable au maintien de la confidentialité et de la sécurité des données critiques. Les réglementations comme la loi HIPAA et les orientations du groupe de travail HCIC offrent un excellent cadre, ainsi que des recommandations pour la mise en œuvre de bonnes pratiques en vue d’un environnement plus sécurisé. Il est recommandé d’intégrer les certificats numériques à votre démarche de sécurité multicouche. Nous sommes là pour vous aider.

Je vous invite à nous contacter pour discuter sur la manière dont nous pouvons vous aider à automatiser, gérer et intégrer les certificats à l’ensemble de votre infrastructure informatique.

Partager ce blog