Sécuriser les données en transit

L’HIPAA exige des logiciels de chiffrement différents selon que les données sont ‘« au repos » ou ‘« en transit ».

Au repos : les données sont inactives, stockées dans un disque dur ou un SSD, ou sur un appareil comme une tablette. Les données doivent être protégées par une cryptographie avancée, la sécurité du disque complet/du disque virtuel et le chiffrement des appareils mobiles (le cas échéant).

En transit : les données se déplacent activement entre un expéditeur et une destination, comme par exemple via un e-mail, une transmission vers le cloud, ou entre un serveur et un appareil mobile.

La conformité HIPAA est rendue possible par des mesures telles que l’AES-256, presque impossible à forcer et approuvé pour le traitement des données confidentielles par le gouvernement américain. TLS (Transport Layer Security) est un autre protocole pour la transmission sécurisée de données, comme le HTTPS, les e-mails ou les messages instantanés. Il utilise également l’AES-256, combiné à d’autres mesures de sécurité. OpenPGP (Pretty Good Privacy) et S/MIME sont également conformes à l’HIPAA mais ont des exigences en matière de gestion des clés publiques que beaucoup trouvent laborieuses à utiliser par rapport à l’AES-256 et à TLS 1.2.

La recommandation commune est que les systèmes sécurisés utilisent le chiffrement AES-256 pour les données au repos, et TLS pour les données en transit. Toutefois, il ne s'agit pas de la seule et unique mesure de sécurité. Il est important d’identifier et d’atténuer les faiblesses de votre sécurité conforme HIPAA.

• Personnel et formation (ingénierie sociale) : c’est cliché mais c’est vrai, les humains sont le maillon le plus faible de la cybersécurité, et le secteur des services de santé n’y échappe pas.
• Appareils perdus ou volés : comme mentionné précédemment, la perte d’ordinateurs portables, de clés USB, de téléphones ou d’autres appareils contenant des ePHI peut entraîner des paiements à sept chiffres.
• Partenaires tiers : tout fournisseur tiers de services cloud ou informatiques manipulant des ePHI doit avoir le même attachement aux normes de sécurité technique que le fournisseur ou le service de soins de santé avec lequel il travaille.
• Systèmes/serveurs de messagerie non sécurisés : si quelqu’un dans votre organisation utilise encore des clients ou serveurs de messagerie non sécurisés, fermez-les.
• Chiffrement faible : avec les avancées technologiques en informatique, en particulier l’informatique quantique, les anciennes normes de chiffrement longtemps considérées comme suffisamment sûres peuvent en fait être dangereusement vulnérables face aux cybercriminels modernes.
• Clés et certificats de chiffrement non actualisés : les clés de chiffrement qui sont utilisées au-delà de la durée de vie recommandée par le NIST, ou après une violation de données, peuvent entraîner la compromission des organisations.

Les garanties techniques de l’HIPAA peuvent prêter à confusion car les exigences de chiffrement sont dites ‘« adressables ». La formulation du chiffrement des PHI est vague : « ...les entités doivent mettre en œuvre un mécanisme pour chiffrer les PHI chaque fois que cela est jugé approprié ».

Dans ce contexte,‘ « adressable » signifie qu’une mesure de protection ou une alternative équivalente doit être mise en œuvre, ou bien qu'une raison justifiable pour laquelle la mesure de protection n’a pas été employée doit être documentée. Par exemple, les communications internes via un serveur interne protégé par un pare-feu peuvent ne présenter aucun risque pour l’intégrité des PHI provenant de sources extérieures. Cependant, les communications contenant des ePHI qui quittent une entité protégée par des pare-feu doivent désormais être traitées à l’aide d’une sauvegarde adressable.

Les entités ne peuvent transmettre des ePHI par e-mail sur des réseaux ouverts que si ces informations sont protégées de manière adéquate. Il convient de procéder à une analyse des risques afin de déterminer les risques pour la confidentialité, l’intégrité et la disponibilité des ePHI, de sorte qu’un plan de gestion des risques puisse être conçu pour réduire ces risques à un niveau approprié.

Le chiffrement universel des messages est une méthode courante de gestion des risques, bien que des niveaux de protection équivalents puissent être utilisés à la place du chiffrement.

Tout comme les ordinateurs portables et les clés USB perdus ou volés, les appareils mobiles personnels sur le lieu de travail peuvent compromettre l’intégrité des PHI. Environ 4 professionnels de la santé sur 5 utilisent une tablette pour la gestion du flux de travail. Interdire l’utilisation d’appareils non chiffrés dans les organisations de soins de santé entraînerait une perturbation massive de la communication, ainsi que d’autres aspects du secteur.

Les plateformes de messagerie sécurisée offrent une solution possible à ce problème, car elles sont conformes aux exigences de chiffrement de l’HIPAA en chiffrant les PHI au repos et en transit. Les communications contenant des PHI sont indéchiffrables en cas d’interception ou d’accès non autorisé. Les solutions de messagerie sécurisée répondent non seulement aux exigences de chiffrement des e-mails de l’HIPAA, mais aussi aux exigences de contrôle d’accès, de contrôle d’audit, de contrôle d’intégrité et d’authentification d’identité. Cette solution est bien plus utile que les bipeurs, car elle permet de partager des informations médicales (notamment des images) en toute sécurité.

À mesure que la technologie progresse et que la cybercriminalité devient plus sophistiquée, la nécessité de se conformer à l’HIPAA et à d’autres législations pour préserver les informations de santé protégées des patients en transit ne fera que s’accentuer.

#KingstonIsWithYou