FS Informatique

Le magazine informatique, web & start-ups !

Pourquoi une évaluation efficace des risques de conformité à l’HIPAA est cruciale pour sécuriser les PHI

Partout, les professionnels de la santé adoptent les technologies numériques pour protéger les informations relatives aux patients. Alors que cette tendance se poursuit, il est nécessaire pour l’ensemble du secteur de veiller à ce que l’écosystème numérique soit conforme aux réglementations, en particulier à la loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA).

Alors que la protection des données des patients devrait constituer en soi une incitation suffisante pour sécuriser les informations de santé protégées, les organismes de santé peuvent se voir infliger des sanctions importantes en cas de non-respect de la réglementation HIPAA, avec des amendes pouvant aller de 100 à 1,5 million de dollars. Et ces violations ne sont pas rares : en 2018, les prestataires ont accumulé plus de 25 millions de dollars d’amendes HIPAA.

En outre, les organisations de soins de santé sont particulièrement sensibles aux menaces d’initiés qui peuvent entraîner d’importantes violations de RPS. Les responsables informatiques des soins de santé ne sont pas aveugles au fait que la protection des PHI devrait figurer en tête de leur liste de tâches : Selon une enquête récente de CDW, la principale préoccupation informatique des prestataires pour l’année à venir est la protection des informations sur les patients.

Alors, comment les prestataires peuvent-ils s’y prendre pour protéger les PHI de manière efficace et conforme ? La première étape consiste à effectuer une évaluation des risques.

Qu’est-ce qu’une évaluation des risques ?

Également connue sous le nom d’évaluation de la sécurité ou d’analyse des risques, l’évaluation des risques est un examen complet de la structure de sécurité d’une organisation qui vise à découvrir les menaces et les vulnérabilités potentielles au sein de l’écosystème informatique.

Dans le cas des organismes de soins de santé, il s’agit de « la confidentialité, l’intégrité et la disponibilité des informations de santé électroniques protégées » détenues par l’organisme, selon les notes du département de la santé et des services sociaux dans les orientations sur l’analyse des risques.

Les fournisseurs restent conformes à l’HIPAA grâce aux évaluations des risques

La réalisation d’une évaluation des risques visant spécifiquement à rester conforme à l’HIPAA peut être un moyen essentiel de préserver la sécurité des informations de santé protégées des patients tout en évitant les violations et les pénalités pour infraction. Il est également important de noter que, pour les prestataires, des évaluations régulières des risques sont requises.

« Le résultat du processus d’analyse des risques est un facteur essentiel pour déterminer si une spécification de mise en œuvre ou une mesure équivalente est raisonnable et appropriée », note le HHS.

En outre, les évaluations des risques peuvent faire plus qu’aider les organisations à rester conformes ; elles peuvent aller plus loin en aidant les prestataires et les autres acteurs de l’écosystème de la santé à traiter les éventuelles vulnérabilités en dehors de la réglementation.

« Si la conformité à ces réglementations peut être obligatoire, elle n’est généralement pas suffisante pour protéger une organisation contre les risques de cybersécurité. Une option plus efficace pour les organisations est d’adopter une approche de la sécurité basée sur le risque qui réalise une évaluation holistique des menaces auxquelles l’organisation est confrontée et des vulnérabilités de son environnement opérationnel actuel », note un livre blanc de CDW intitulé « Move to a Risk-Based Security Strategy ».

Modèle d’évaluation des risques HIPAA

Bien qu’il n’existe pas de méthode officielle d’analyse des risques, le HHS fournit des lignes directrices pour s’assurer que l’évaluation des risques atteint son objectif ultime : aider les organisations à comprendre comment les technologies et les stratégies de leur organisation sont conformes à l’HIPAA et à mettre en œuvre les mesures de sécurité nécessaires dans leur environnement opérationnel.

Le HHS énonce comme suit les objectifs d’une évaluation des risques HIPAA pour les organismes de santé, suggérant que les organismes entreprennent une évaluation des risques afin de :

  • Concevoir des processus appropriés de sélection du personnel
  • Identifier les données à sauvegarder et comment
  • Décider si et comment utiliser le cryptage
  • Déterminer quelles données doivent être authentifiées dans des situations particulières pour protéger l’intégrité des données
  • Déterminer la manière appropriée de protéger les transmissions d’informations de santé.

Le modèle type d’évaluation des risques comprend des entretiens avec les parties prenantes, une analyse des lacunes en matière de sécurité, de pratiques et de procédures, des tests de pénétration et de vulnérabilité, ainsi qu’un rapport détaillé.

Outils d’évaluation des risques recommandés pour la conformité HIPAA

Il existe plusieurs boîtes à outils disponibles pour les organisations qui souhaitent évaluer leur conformité HIPAA et leurs pratiques de sécurité autour des PHI. Voici quelques outils permettant d’effectuer des évaluations des risques :

  • Les évaluations de vulnérabilité
  • Tests de pénétration
  • Tests de périmètre externe
  • Tests de sécurité sans fil
  • Les évaluations internes
  • Tests d’ingénierie sociale pour prévenir les exploits de phishing

Cependant, il est souvent difficile, surtout pour les petits fournisseurs aux ressources limitées, de s’assurer que l’équipe de sécurité interne a effectué un audit complet. C’est là qu’une évaluation des risques par un tiers peut s’avérer utile.

En faisant appel à une source extérieure pour effectuer l’évaluation et fournir un retour d’information exploitable, le prestataire peut s’assurer que l’évaluation porte sur tous les endroits où les renseignements médicaux personnels peuvent se cacher et peut recevoir de l’aide pour combler les lacunes en matière de sécurité.

fsinformatique

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Revenir en haut de page