Une empreinte de pouce illuminée en or sur une carte de circuit imprimé sombre avec des circuits lumineux orange et bleus

Sécuriser les données en transit

Si vous êtes impliqué dans la sécurité des données pour les organismes de santé, vous vous demandez peut-être pourquoi les réglementations et la responsabilité légale jouent un rôle si important pour votre organisation lors du choix de ses technologies de transfert de données. L’un des plus grands facteurs de stress pour les services informatiques du secteur des services de santé est l’importance de la conformité aux réglementations sur la sécurité des données telles que la loi sur la l’assurance maladie (« Healthcare Insurance Portability and Accountability Act », HIPAA).

Ce stress n’est pas sans fondement : les violations de données dans le secteur des services de santé sont généralement les plus coûteuses et les plus dommageables en termes de revenus et de réputation pour l’organisation, et de loin.. Le coût moyen d’une violation de données dans le secteur des services de santé est passé de 7,13 millions de dollars en 2020 à 9,23 millions en 2021, par rapport à la moyenne mondiale de 3,86 millions en 2020 et de 4,24 millions en 2021.

Même les violations potentielles de l’HIPAA sont sanctionnées, tant la réglementation est sévère. En 2019, un ordinateur portable et une clé USB non chiffrée ont été dérobés au Centre médical de l’Université de Rochester (URMC). Cet évènement, et la façon dont l’URMC l’a géré, a entraîné le versement de 3 millions $ à l’Office for Civil Rights dans le cadre d’un règlement pour de potentielles violations de l’HIPAA.

Règles de l’HIPAA et exigences de sécurité

L’HIPAA comporte trois règles fondamentales pour protéger les patients et leurs informations :

  • Règle de confidentialité : informations et documents de santé protégés
  • Règle de notification des violations : manière dont les organisations doivent signaler les violations de sécurité aux autorités et aux patients
  • Règle de sécurité : établit des normes de sécurité pour le stockage et la transmission des informations de santé protégées (« Protected Health Information », PHI)
Médecin assis et utilisant une tablette avec une application de santé ; une interface d’application basée sur Hex est en superposition

Ces règles garantissent que les organisations assument la responsabilité de la confidentialité et de la sécurité des ePHI (PHI électroniques), ainsi que de l’anticipation et de la protection contre les menaces pesant sur ces données. Cependant, elles ne spécifient pas de protocole, de technologie ou de norme particulière pour ce faire. En effet, à mesure que les menaces de cybersécurité évoluent, les technologies de sécurité HIPAA doivent elles aussi évoluer. Plutôt que de spécifier quels protocoles de chiffrement étaient nécessaires, une étape qui aurait miné l’efficacité de la loi en la liant à des technologies spécifiques, la législation a simplement stipulé la force et la fiabilité des normes de sécurité lorsqu’elles sont utilisées pour protéger les ePHI. Cela a été fait sous le conseil du NIST (Institut national de la science et de la technologie), de manière à rendre la loi plus pérenne. Les entités peuvent choisir la solution la plus appropriée à leur situation et l’appliquer à leur système.

L’HIPAA exige des logiciels de chiffrement différents selon que les données sont ‘« au repos » ou ‘« en transit ».

Au repos : les données sont inactives, stockées dans un disque dur ou un SSD, ou sur un appareil comme une tablette. Les données doivent être protégées par une cryptographie avancée, la sécurité du disque complet/du disque virtuel et le chiffrement des appareils mobiles (le cas échéant).

En transit : les données se déplacent activement entre un expéditeur et une destination, comme par exemple via un e-mail, une transmission vers le cloud, ou entre un serveur et un appareil mobile.

La conformité HIPAA est rendue possible par des mesures telles que l’AES-256, presque impossible à forcer et approuvé pour le traitement des données confidentielles par le gouvernement américain. TLS (Transport Layer Security) est un autre protocole pour la transmission sécurisée de données, comme le HTTPS, les e-mails ou les messages instantanés. Il utilise également l’AES-256, combiné à d’autres mesures de sécurité. OpenPGP (Pretty Good Privacy) et S/MIME sont également conformes à l’HIPAA mais ont des exigences en matière de gestion des clés publiques que beaucoup trouvent laborieuses à utiliser par rapport à l’AES-256 et à TLS 1.2.

La recommandation commune est que les systèmes sécurisés utilisent le chiffrement AES-256 pour les données au repos, et TLS pour les données en transit. Toutefois, il ne s'agit pas de la seule et unique mesure de sécurité. Il est important d’identifier et d’atténuer les faiblesses de votre sécurité conforme HIPAA.

  • Personnel et formation (ingénierie sociale) : c’est cliché mais c’est vrai, les humains sont le maillon le plus faible de la cybersécurité, et le secteur des services de santé n’y échappe pas.
  • Appareils perdus ou volés : comme mentionné précédemment, la perte d’ordinateurs portables, de clés USB, de téléphones ou d’autres appareils contenant des ePHI peut entraîner des paiements à sept chiffres.
  • Partenaires tiers : tout fournisseur tiers de services cloud ou informatiques manipulant des ePHI doit avoir le même attachement aux normes de sécurité technique que le fournisseur ou le service de soins de santé avec lequel il travaille.
  • Systèmes/serveurs de messagerie non sécurisés : si quelqu’un dans votre organisation utilise encore des clients ou serveurs de messagerie non sécurisés, fermez-les.
  • Chiffrement faible : avec les avancées technologiques en informatique, en particulier l’informatique quantique, les anciennes normes de chiffrement longtemps considérées comme suffisamment sûres peuvent en fait être dangereusement vulnérables face aux cybercriminels modernes.
  • Clés et certificats de chiffrement non actualisés : les clés de chiffrement qui sont utilisées au-delà de la durée de vie recommandée par le NIST, ou après une violation de données, peuvent entraîner la compromission des organisations.

Les garanties techniques de l’HIPAA peuvent prêter à confusion car les exigences de chiffrement sont dites ‘« adressables ». La formulation du chiffrement des PHI est vague : « ...les entités doivent mettre en œuvre un mécanisme pour chiffrer les PHI chaque fois que cela est jugé approprié ».

Dans ce contexte,‘ « adressable » signifie qu’une mesure de protection ou une alternative équivalente doit être mise en œuvre, ou bien qu'une raison justifiable pour laquelle la mesure de protection n’a pas été employée doit être documentée. Par exemple, les communications internes via un serveur interne protégé par un pare-feu peuvent ne présenter aucun risque pour l’intégrité des PHI provenant de sources extérieures. Cependant, les communications contenant des ePHI qui quittent une entité protégée par des pare-feu doivent désormais être traitées à l’aide d’une sauvegarde adressable.

Un cadenas et une clé reposant sur un ordinateur portable moderne ; le cadenas porte un motif bleu lumineux de bouclier, entouré de circuits électroniques bleus lumineux

Les entités ne peuvent transmettre des ePHI par e-mail sur des réseaux ouverts que si ces informations sont protégées de manière adéquate. Il convient de procéder à une analyse des risques afin de déterminer les risques pour la confidentialité, l’intégrité et la disponibilité des ePHI, de sorte qu’un plan de gestion des risques puisse être conçu pour réduire ces risques à un niveau approprié.

Le chiffrement universel des messages est une méthode courante de gestion des risques, bien que des niveaux de protection équivalents puissent être utilisés à la place du chiffrement.

Tout comme les ordinateurs portables et les clés USB perdus ou volés, les appareils mobiles personnels sur le lieu de travail peuvent compromettre l’intégrité des PHI. Environ 4 professionnels de la santé sur 5 utilisent une tablette pour la gestion du flux de travail. Interdire l’utilisation d’appareils non chiffrés dans les organisations de soins de santé entraînerait une perturbation massive de la communication, ainsi que d’autres aspects du secteur.

Les plateformes de messagerie sécurisée offrent une solution possible à ce problème, car elles sont conformes aux exigences de chiffrement de l’HIPAA en chiffrant les PHI au repos et en transit. Les communications contenant des PHI sont indéchiffrables en cas d’interception ou d’accès non autorisé. Les solutions de messagerie sécurisée répondent non seulement aux exigences de chiffrement des e-mails de l’HIPAA, mais aussi aux exigences de contrôle d’accès, de contrôle d’audit, de contrôle d’intégrité et d’authentification d’identité. Cette solution est bien plus utile que les bipeurs, car elle permet de partager des informations médicales (notamment des images) en toute sécurité.

À mesure que la technologie progresse et que la cybercriminalité devient plus sophistiquée, la nécessité de se conformer à l’HIPAA et à d’autres législations pour préserver les informations de santé protégées des patients en transit ne fera que s’accentuer.

#KingstonIsWithYou

Icône Demandez à un expert de Kingston sur un circuit imprimé de chipset

Demandez à un expert

Pour planifier la bonne solution, les objectifs de votre projet de sécurité doivent être clairement définis. Les experts de Kingston Technology sont là pour vous aider.

Demandez à un expert.

Articles connexes