Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Archive Data Protection

    10 bonnes pratiques pour l'utilisation de Slack dans le secteur de la santé

    La configuration de Slack conforme à la HIPAA est cruciale pour la protection des données des patients.

    by Emily Schwenke

    Key Points

    • Ce blog a été publié à l'origine sur le site web d'Aware, mais avec l'acquisition d'Aware par Mimecast, nous veillons à ce qu'il soit également disponible pour les visiteurs du site web de Mimecast.
    • La mise en œuvre de mesures de sécurité avancées, telles que les contrôles d'accès basés sur les rôles et la prévention des pertes de données alimentée par l'IA, est cruciale pour maintenir la conformité HIPAA dans Slack.

    Slack est un outil populaire utilisé par de nombreux organismes de santé pour soutenir la collaboration sur le lieu de travail à travers un large éventail d'applications polyvalentes. Mais s'agit-il d'un référentiel sûr pour les informations de santé protégées (PHI) ? Ce billet passe en revue les considérations critiques et les meilleures pratiques pour traiter les données sensibles des patients tout en restant conforme à l'HIPAA.

    Comment Slack est-il utilisé dans le secteur de la santé ?

    L'utilisation d'outils de collaboration sur le lieu de travail tels que Slack est en hausse dans le secteur de la santé.

    • Gestion des réclamations - rationalisation descommunications pour améliorer les délais de résolution et la satisfaction des patients
    • Soins aux patients—réunir les médecins et les infirmières dans un espace de travail unified pour accélérer les décisions thérapeutiques.
    • Soutien aux équipes derecherche - coordination desessais cliniques et facilitation d'une communication sans faille pour les équipes de recherche.

    Bien que ces cas d'utilisation puissent améliorer les résultats pour les patients et les équipes médicales, il est essentiel de faire preuve de prudence lors de la manipulation de données sensibles relatives aux soins de santé. À tout moment, le respect de la réglementation HIPAA est primordial pour garantir la sécurité et la confidentialité des informations relatives aux patients.

    Slack est-il couvert par la loi HIPAA ?

    Les prestataires de soins de santé et les autres entités concernées ont la même obligation de protéger les PHI dans Slack que dans tout autre ensemble de données. La nature informelle et conversationnelle des chats Slack peut amener les employés à penser qu'ils n'ont pas à prendre les mêmes précautions pour protéger les informations des patients que dans d'autres outils, tels que le courrier électronique, et il est donc essentiel que les organismes de santé forment correctement les employés sur la façon d'utiliser Slack en toute sécurité pour rester en conformité avec la loi sur la portabilité et la responsabilité de l'assurance maladie.

    Pour prendre en charge l'HIPAA, Slack offre une gamme de fonctions de sécurité et de conformité conçues pour protéger les informations des patients. Cependant, il ne suffit pas de configurer ces paramètres pour obtenir une conformité HIPAA complète dans Slack. Au contraire, les contrôles de sécurité de l'information doivent être associés à une formation appropriée et à l'application de la conformité.

    L'utilisation de Slack dans le secteur de la santé pose-t-elle des problèmes ?

    La nature rapide et informelle des conversations sur Slack peut augmenter la probabilité que des informations risquées ou restreintes soient partagées sur ses canaux. L'étude d'Aware montre qu'un message Slack sur 17 contient au moins trois données sensibles telles que des PII ou des PHI.

    En outre, les administrateurs de l'espace de travail peuvent constater que leur visibilité des messages Slack est limitée par la structure complexe de Slack, qui comprend des canaux publics, des canaux privés et des messages directs. Selon le plan Slack utilisé, les administrateurs peuvent avoir à demander à Slack des copies de leurs propres enregistrements. Et même lorsque les administrateurs ont une visibilité totale sur les messages Slack, les utilisateurs peuvent toujours modifier ou supprimer ce qu'ils ont écrit à l'origine, ce qui rend les enquêtes de conformité HIPAA plus difficiles à mener.

    Problèmes de conformité liés à l'utilisation de Slack dans le secteur de la santé

    Au-delà des défis liés au comportement des utilisateurs et à la visibilité et au contrôle limités sur les données sensibles, les organismes de santé et autres entités couvertes doivent répondre à d'autres préoccupations liées à la conformité HIPAA dans Slack.

    Prévention de la perte de données

    Des outils comme Slack offrent d'innombrables possibilités d'accès inapproprié, d'exfiltration ou de perte de données. Beaucoup de ces cas sont le résultat d'accidents ou de négligences, comme le téléchargement de documents confidentiels sur des canaux Slack publics. Ces erreurs peuvent être aggravées si les employés décident d'effacer les preuves d'une infraction plutôt que de la signaler. Les initiés malveillants peuvent également utiliser Slack pour se couvrir, en synchronisant les fichiers de l'entreprise sur des appareils personnels et en contournant les pare-feu de sécurité en quelques instants.

    Piratages et brèches

    Des acteurs externes mal intentionnés peuvent également accéder à des données sensibles par le biais de Slack. Même dans les lieux de travail qui appliquent l'authentification à deux facteurs (2FA), les comptes Slack peuvent toujours être piratés par le biais d'informations d'identification compromises et d'attaques de fatigue MFA, où ils envoient des demandes de connexion répétées jusqu'à ce qu'un utilisateur finisse par en approuver une. Une fois à l'intérieur d'un environnement Slack, ces mauvais acteurs peuvent exfiltrer n'importe quoi à partir des canaux mis à leur disposition, y compris des informations sur les patients sans restriction.

    Intégrations de tiers

    Même si Slack est correctement configuré et sécurisé pour la conformité HIPAA, les applications et intégrations tierces qui y sont connectées peuvent toujours créer des portes dérobées par lesquelles les données peuvent être compromises. Pour éviter cela, les administrateurs de l'espace de travail doivent vérifier minutieusement chaque nouvelle application et intégration avant de les utiliser, et les inspecter régulièrement pour s'assurer qu'elles répondent toujours aux normes de conformité requises.

    Sécurité des appareils

    L'une des caractéristiques les plus populaires de Slack est sa large gamme d'applications qui lui permettent d'être utilisé sur plusieurs appareils et types d'appareils. Cependant, lorsque les employés utilisent Slack sur leurs appareils personnels, ils peuvent introduire des risques en ne gardant pas leur application Slack à jour, ou même en égarant complètement l'appareil.

    10 bonnes pratiques pour les équipes de soins de santé utilisant Slack

    1. Exploiter les fonctions natives de sécurité des données
     

    Commencez par comprendre et utiliser les contrôles que Slack fournit pour protéger les informations de santé. Slack offre une gamme d'options de sécurité et de conformité, notamment le chiffrement des données en transit et au repos, le MFA et l'authentification single (SSO) basée sur OAuth ou SAML.

    2. Utiliser les rôles d'administrateur dans Enterprise Grid
     

    Les entités de santé doivent utiliser Slack Enterprise Grid pour accéder à tous les outils de conformité HIPAA de Slack, ce qui permet également aux administrateurs d'accéder à des contrôles de sécurité de niveau entreprise. Les rôles Enterprise Grid permettent aux propriétaires d'espaces de travail d'exercer un contrôle granulaire sur les personnes ayant accès à des données sensibles ou restreintes dans Slack.

    3. Signer un accord d'association commerciale (BAA)
     

    Un BAA est un contrat contraignant qui décrit les responsabilités des entités couvertes et de leurs partenaires en matière de protection des PHI. Slack est classé comme un fournisseur ou un partenaire de service en vertu de l'HIPAA et a certaines obligations pour sauvegarder les données de santé protégées dans son logiciel. Les utilisateurs doivent avoir un plan Enterprise Grid pour signer un BAA avec Slack.

    4. Automatiser la conservation et la suppression des données
     

    Par défaut, Slack conserve indéfiniment les données des espaces de travail payants. Au fil du temps, cela peut créer une énorme bibliothèque remplie de données qui comportent plus de risques que de valeur. Cependant, les utilisateurs gratuits peuvent trouver que la limite de conservation d'un an de Slack entraîne la perte d'informations critiques de l'entreprise. En mettant en œuvre des politiques de conservation granulaires, en évaluant la valeur des données Slack pour l'organisation et en purgeant automatiquement les anciens contenus lorsqu'ils ne sont plus nécessaires, les entités de soins de santé peuvent se protéger en réduisant leur responsabilité dans Slack.

    5. Utiliser un outil DLP conçu pour soutenir la conformité HIPAA dans Slack
     

    Bien que Slack offre de nombreuses fonctionnalités pour aider à gérer les données dans son application, les administrateurs de l'espace de travail devraient envisager de mettre en œuvre des intégrations tierces de prévention de la perte de données avec la fonctionnalité pour soutenir davantage la conformité HIPAA dans Slack. L'outil adéquat doit se connecter en temps réel pour identifier les cas de non-conformité, émettre des notifications lorsqu'il détecte un risque et former les employés aux politiques d'utilisation acceptable au fur et à mesure des violations.

    6. Mettre en œuvre l'authentification à 2 facteurs
     

    Slack peut protéger les instances de l'espace de travail en limitant les connexions aux membres de l'équipe d'un domaine spécifié. Cependant, les noms d'utilisateur et les mots de passe peuvent être compromis, piratés ou volés lors d'attaques par phishing. La mise en œuvre de l'authentification à 2 facteurs ou de l'authentification single peut réduire la probabilité qu'un pirate informatique accède au compte Slack d'une entreprise.

    7. Utiliser le contrôle d'accès basé sur les rôles (RBAC)
     

    Les administrateurs de l'espace de travail Slack peuvent limiter davantage les utilisateurs qui peuvent consulter des informations sensibles et confidentielles en mettant en place un contrôle d'accès basé sur les rôles à chaque étape. Cela permet de limiter la visibilité dans Slack et de restreindre les personnes qui peuvent créer des canaux, ajouter des utilisateurs ou accorder des autorisations. Le RBAC devrait également être une caractéristique de tout outil tiers connecté à l'espace de travail qui peut voir ou gérer les données de Slack.

    8. Mettre en œuvre des conventions de dénomination conformes
     

    La surveillance de la conformité en temps réel pour Slack peut empêcher la prolifération des PHI et d'autres données sensibles en utilisant des mots-clés et des expressions régulières pour détecter le partage d'informations non autorisé. Cependant, les utilisateurs peuvent prendre des mesures pour contourner ces contrôles en croyant à tort que cela protège les données qu'ils partagent. L'application de conventions de dénomination prédéfinies peut soutenir la conformité HIPAA en rendant les PHI facilement identifiables dans Slack.

    9. Former et rééduquer régulièrement les employés
     

    Vos employés sont votre plus grande source de risque et votre première ligne de défense lorsqu'il s'agit d'utiliser Slack dans le domaine de la santé. Former vos employés à l'importance de la protection des PHI, actualiser régulièrement cette formation et donner aux employés des outils appropriés pour partager des informations sensibles dans le cadre de leur travail.

    10. Éviter la communication avec les patients via Slack
     

    Slack interdit l'utilisation de son application pour partager des communications entre médecins et patients. Cela invalidera le BAA que votre organisation signe avec Slack, et vous exposera à des violations de la loi HIPAA. Les communications avec les patients devraient plutôt être limitées à des outils tels que MyChart, qui sont spécifiquement conçus à cette fin.

    En suivant ces bonnes pratiques, les équipes de soins de santé peuvent exploiter la puissance collaborative de Slack tout en atténuant les risques potentiels et en assurant la conformité à l'HIPAA.

    Comment Aware soutient la conformité des équipes de soins de santé

    Aware permet aux équipes de soins de santé d'exploiter le potentiel de Slack tout en restant conforme à la loi HIPAA, grâce à une technologie d'IA et de NLP à la pointe de l'industrie, qui permet de contrôler la conformité à la loi HIPAA en temps réel. La plateforme Aware se connecte à Slack via des API natives pour une intégration transparente, fournissant la sécurité dont les entités couvertes ont besoin sans impacter l'expérience de l'utilisateur final. Avec Aware, les prestataires de soins de santé peuvent :

    • Identifier de manière proactive et en temps réel les partages non autorisés d'informations sur la santé publique
    • Former les utilisateurs à l'utilisation acceptable en temps réel
    • Tombstone restreint le contenu afin d'éviter une visibilité permanente
    • Automatiser le contrôle de la conformité HIPAA 24 heures sur 24, 7 jours sur 7
    • Identifier plus de cas de PHI avec moins de faux positifs
    • Connectez les informations de Slack avec les flux de travail juridiques, de conformité et de ressources humaines.

    Aware accompagne les entreprises, des organismes de santé aux ONG internationales, en matière de confidentialité des données, de conformité et de cybersécurité dans les outils de collaboration comme Slack.

    39BLOG_1.jpg
    Up Next
    Archive Data Protection |
    Les incontournables de Slack en 2023

    Related Articles

    Archive Data Protection
    Comprendre l'ACPR : protéger les informations personnelles sensibles et maintenir la conformité
    Archive Data Protection
    Zoom Sauvegarde et Archivage : Un guide complet
    Archive Data Protection
    Les 10 meilleures pratiques de sécurité de Slack pour protéger votre collaboration sur le lieu de travail

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page