Pourquoi l'HIPAA exige-t-elle le cryptage ?
L'HIPAA exige le cryptage pour diverses raisons. Il s'agit essentiellement d'un moyen de garantir la confidentialité et la sécurité des PHI (Protected Health Information), qui comprennent toute information de santé identifiable individuellement créée, reçue, conservée ou transmise par des prestataires de soins de santé, des plans de santé, des fournisseurs de soins de santé ou l'un de leurs associés commerciaux.
En termes simples, le cryptage convertit les données sensibles dans un format qui ne peut être lu qu'avec la clé de décryptage associée. Ainsi, même si des acteurs malveillants mettent la main sur des informations sensibles relatives aux PHI, les données seront inutilisables, à moins qu'ils ne disposent d'une clé pour les décrypter.
Le chiffrement s'avère également utile en tant que mesure préventive, par exemple lorsqu'il s'agit d'atténuer les conséquences d'une violation de données : en cas de vol de données personnelles chiffrées, le risque de porter atteinte aux personnes est considérablement réduit, puisque les pirates devront également obtenir la clé de déchiffrement.
La mise en œuvre du cryptage est un moyen proactif de réduire le risque associé à l'accès non autorisé aux données et est considérée comme une exigence de conformité par l'HIPAA.
Dans l'ensemble, le fait de ne pas mettre en œuvre des mesures solides en matière de cybersécurité dans le secteur de la santé peut entraîner des pénalités financières et une atteinte à la réputation en cas de violation ou d'accès non autorisé.
Qui doit se conformer à la règle de sécurité de l'HIPAA ?
Selon le ministère américain de la santé et des services sociaux, "la règle de sécurité s'applique aux plans de santé, aux centres d'échange de soins de santé et à tout prestataire de soins de santé qui transmet des informations sur la santé sous forme électronique dans le cadre d'une transaction pour laquelle le secrétaire du ministère de la santé et des services sociaux a adopté des normes en vertu de la loi HIPAA ( "covered entities"), ainsi qu'à leurs partenaires commerciaux".
Les entités couvertes comprennent -
- Fournisseurs de soins de santé - médecins, infirmières, cliniques, hôpitaux, maisons de retraite et autres praticiens ou établissements de soins de santé, qui transmettent ou stockent des PHI sous forme numérique.
- Régimes de soins de santé - Compagnies d'assurance maladie, Health Maintenance Organizations, Medicare, Medicaid et autres programmes d'assurance qui transmettent ou stockent des PHI par voie électronique.
- Centres d'échange d'informations sur les soins de santé - entités publiques ou privées, y compris les services de facturation, les sociétés de refacturation, les systèmes d'information sur la gestion de la santé communautaire ou les systèmes d'information sur la santé communautaire.
Voici quelques exemples d'associés d'affaires -
- Administrateurs tiers
- Sociétés de facturation
- Fournisseurs de services de stockage en nuage
- Services de transcription médicale
- Fournisseurs de technologies de l'information sur la santé
Les responsabilités et obligations de l'associé commercial sont décrites dans un accord, connu sous le nom de BAA - Business Associate Agreement - qui est signé entre l'entité couverte et l'entité associée.
Que protègent les exigences de l'HIPAA en matière de cryptage ?
Les exigences de cryptage de l'HIPAA protègent les PHI électroniques (ePHI) contre toute divulgation au cas où ces données seraient consultées par une partie non autorisée.
Cependant, le cryptage n'est qu'un élément d'une stratégie de cybersécurité solide que les organismes de soins de santé doivent prendre en compte afin de protéger les ePHI. Les acteurs malveillants sont très créatifs et n'abandonnent pas facilement. Des parties non autorisées pourraient faire croire à quiconque se trouve du côté de l'organisme de soins de santé qu'elles sont autorisées et que l'on peut leur faire confiance. Et c'est là que le chiffrement seul ne permet pas de protéger les informations sensibles.
Quelles sont les exigences de l'HIPAA en matière de cryptage ?
La règle de sécurité de l'HIPAA ne fournit pas de détails techniques spécifiques sur la manière dont le cryptage doit être utilisé. Il décrit plutôt les exigences générales et les normes de protection des données à caractère personnel par le biais du cryptage.
Si les organisations doivent envisager d'utiliser le chiffrement pour protéger les données des patients, elles ne sont tenues de le faire que si c'est raisonnable et gérable. Il peut s'agir par exemple est déterminée par une évaluation des risques.
Les principaux aspects des exigences de l'HIPAA en matière de cryptage comprennent des techniques de cryptage fort pour les données au repos et les données en transit, le cryptage des disques virtuels (VDE) et le cryptage des fichiers/dossiers, entre autres.
Le défi des exigences de cryptage de l'HIPAA
Les exigences de l'HIPAA en matière de cryptage représentent un défi de taille pour les équipes informatiques chargées de garantir la confidentialité et la sécurité des soins de santé.
En 1996, la loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act, ou HIPAA) a établi une règle selon laquelle tous les prestataires de soins de santé doivent garantir la confidentialité des informations de santé protégées (PHI). Depuis lors, le courrier électronique est devenu une forme dominante de communication et est fréquemment utilisé pour partager des données protégées sur les patients. Pour les organisations informatiques, se conformer aux exigences de cryptage de l'HIPAA signifie adopter une forme ou une autre de technologie de secure messaging pour les soins de santé.
Le défi pour les équipes informatiques est de s'assurer que tous les courriels répondent aux exigences de cryptage de la HIPAA. Une solution qui permet aux prestataires de soins de santé d'envoyer du courrier électronique crypté HIPAA est une chose ; s'assurer que les patients et leurs soignants en dehors de l'organisation peuvent envoyer des messages en retour qui sont cryptés en est une autre. La plupart des solutions conçues pour répondre aux exigences de cryptage de la HIPAA impliquent des fonctions administratives lourdes ou des logiciels que les personnes doivent télécharger pour recevoir un message crypté.
En tant que fournisseur leader de solutions pour la sécurité, l'archivage et la continuité du courrier électronique, Mimecast propose une solution tout-en-un qui permet aux organismes de soins de santé de se conformer facilement aux exigences de cryptage de la loi HIPAA.
Différents types de cryptage utilisés pour répondre aux exigences de l'HIPAA
Les types de cryptage les plus courants utilisés pour répondre aux exigences de l'HIPAA sont l'Advanced Encryption Standard (AES-256), le Transport Layer Security (TLS), OpenPHP (Pretty Good Privacy) et S/MIME.
Conformez-vous aux exigences de cryptage HIPAA avec Mimecast
Le service d'abonnement de Mimecast, basé sur le cloud, permet aux organismes de santé de réduire le coût et la complexité de la gestion et de la protection du courrier électronique tout en se conformant aux exigences de cryptage de l'HIPAA. En tant que solution SaaS, Mimecast peut être mis en œuvre rapidement et s'adapter facilement à l'évolution des besoins de l'entreprise.
"Les services complets de Mimecast permettent aux organisations de simplifier l'Email Archive, d'assurer l'email continuity même en cas de panne, et de se défendre contre une myriade de menaces de cybersécurité dans le secteur de la santé." En plus de répondre aux exigences de l'HIPAA en matière de courrier électronique, Mimecast offre des défenses contre les ransomwares, le spear-phishing et les attaques par usurpation d'identité qui sont couramment utilisés pour pénétrer les défenses du réseau et voler des informations sur les patients.
Importance de l'utilisation du cryptage pour les communications par courrier électronique contenant des PHI
La protection des données des patients est essentielle. Il peut s'agir d'informations sensibles telles que des radiographies, des images de patients et d'autres dossiers médicaux, qui sont hautement confidentiels.
Les courriers électroniques contenant ce type de données sensibles doivent être cryptés afin de garantir la confidentialité, l'intégrité et la disponibilité des PHI. Le cryptage des courriels est un moyen efficace de protéger les données des patients.
Les avantages d'un chiffrement conforme à la loi HIPAA
Le principal avantage du cryptage conforme à la HIPAA est que les entités couvertes et leurs associés commerciaux sont moins susceptibles d'être victimes d'une violation due à des informations électroniques non sécurisées.
Toute donnée transmise doit être cryptée, de même que toute donnée stockée. Le cryptage conforme à la loi HIPAA garantit la protection des données, même en cas de perte ou de vol d'un appareil.
Solutions Mimecast pour répondre aux exigences de cryptage HIPAA
"Le service de Secure Messaging de Mimecast permet aux organisations de garantir la <a href=\"\">confidentialité et la sécurité des soins de santé et de répondre facilement aux exigences de cryptage de l'HIPAA." Avec Secure Messaging, les utilisateurs peuvent simplement cliquer sur Envoyer sécurisé lorsqu'ils rédigent un message dans leur client de messagerie afin de s'assurer que le message est envoyé en toute sécurité. Après avoir appuyé sur Envoyer, les messages et les pièces jointes sont téléchargés en toute sécurité vers le nuage de Mimecast, analysés pour détecter les malwares et les virus, et stockés dans une archive sécurisée cryptée AES. Les destinataires reçoivent alors une notification indiquant qu'un message est en attente, ainsi que des instructions sur la manière de se connecter au portail sécurisé de Mimecast pour lire, répondre et composer de nouveaux Secure Messaging.
Mimecast Secure Messaging permet également aux organisations d'envoyer automatiquement des messages conformes aux exigences de cryptage HIPAA lorsqu'ils contiennent certains contenus ou sont envoyés à certains destinataires ou domaines.
En savoir plus sur Mimecast et les exigences de cryptage HIPAA.
Conformez-vous aux exigences de cryptage HIPAA avec Mimecast
Le service d'abonnement de Mimecast, basé sur le cloud, permet aux organismes de santé de réduire le coût et la complexité de la gestion et de la protection du courrier électronique tout en se conformant aux exigences de cryptage de l'HIPAA. En tant que solution SaaS, Mimecast peut être mis en œuvre rapidement et s'adapter facilement à l'évolution des besoins de l'entreprise.
"Les services complets de Mimecast permettent aux organisations de simplifier l'Email Archive, d'assurer l'email continuity même en cas de panne, et de se défendre contre une myriade de menaces de <a href=\" \">cybersécurité dans le secteur de la santé. " En plus de répondre aux exigences de l'HIPAA en matière de courrier électronique, Mimecast offre des défenses contre les ransomwares, le spear-phishing et les attaques par usurpation d'identité qui sont couramment utilisés pour pénétrer les défenses du réseau et voler des informations sur les patients.
FAQ : Exigences HIPAA en matière de cryptage
Qu'est-ce que le cryptage HIPAA au repos ?
En termes simples, lorsque les informations électroniques sont "au repos" ou ne sont pas activement transmises, elles doivent toujours être protégées contre les violations potentielles ou l'accès non autorisé. Le cryptage des ePHI au repos ajoute une couche supplémentaire de protection en remodelant les données dans un format qui ne peut être compris et consulté que par les personnes autorisées qui possèdent la clé de décryptage.
Exigences de cryptage HIPAA pour les données au repos
Les exigences de l'HIPAA en matière de cryptage des données au repos s'appliquent à toutes les données électroniques stockées sur un serveur, un fichier de bureau, une clé USB ou un appareil mobile. La meilleure pratique consiste à appliquer le cryptage HIPAA au repos au plus grand nombre possible d'appareils sur lesquels des données sont conservées, afin de minimiser la possibilité qu'un acteur malveillant accède à des appareils non cryptés.
Qu'est-ce que le cryptage HIPAA en transit ?
Le cryptage HIPAA pendant le transit offre un avantage significatif en protégeant les communications électroniques contenant des ePHI lorsqu'elles traversent de multiples routeurs entre l'expéditeur et le destinataire. Tout au long de cet itinéraire, les routeurs conservent temporairement des copies des communications, ce qui rend l'interception possible à tout moment. Le cryptage des données à caractère personnel pendant le transit garantit que même si un acteur malveillant accède à un routeur ou intercepte une communication, les données à caractère personnel qu'il contient restent totalement illisibles, indéchiffrables et inutilisables pour lui.
Exigences de cryptage HIPAA pour les données en transit
Bien que la règle de sécurité de l'HIPAA ne fournisse pas d'instructions techniques spécifiques pour les méthodes de cryptage, elle souligne l'importance de la protection des informations de santé protégées électroniquement (ePHI) pendant la transmission, ou "données en transit".
Quelles sont les exigences de l'HIPAA en matière de cryptage du courrier électronique ?
La loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act - HIPAA) établit des règles relatives à la confidentialité et à la sécurité des informations de santé protégées (PHI). La règle de sécurité HIPAA exige des organisations qu'elles limitent l'accès aux PHI, qu'elles les protègent contre tout accès non autorisé, qu'elles garantissent l'intégrité des PHI au repos et qu'elles assurent la responsabilité des messages (100% ). Bien que la règle ne définisse pas d'exigences spécifiques en matière de cryptage HIPAA, elle recommande aux entités couvertes et aux associés commerciaux d'utiliser le cryptage de bout en bout lorsque cela est possible, mais elle permet également aux organisations d'adopter des solutions autres que le cryptage qui permettent d'obtenir les mêmes résultats.
Comment répondre aux exigences de l'HIPAA en matière de cryptage du courrier électronique ?
Les deux technologies les plus efficaces pour se conformer à la règle de sécurité HIPAA sont le cryptage et le secure messaging. Les technologies de cryptage chiffrent les messages avant qu'ils ne soient envoyés, rendant impossible leur lecture par des personnes non autorisées en cas d'interception ou de fuite par inadvertance. Les solutions de Secure messaging fournissent une plateforme sur laquelle les utilisateurs peuvent se connecter pour envoyer et recevoir des messages cryptés, ajoutant ainsi une couche supplémentaire de contrôle d'accès pour satisfaire aux exigences de cryptage de la HIPAA.
Qu'est-ce qu'une violation des exigences de cryptage de l'HIPAA ?
La violation la plus courante des exigences de l'HIPAA en matière de cryptage est l'absence de protection adéquate de bout en bout pour les PHI. Une autre violation fréquente est l'envoi par courrier électronique d'informations médicales protégées d'un établissement de santé vers un compte de courrier électronique personnel, ce qui se produit lorsque les employés s'envoient des fichiers à eux-mêmes pour travailler chez eux. La perte ou le vol d'appareils contenant des informations personnelles non cryptées est une autre infraction courante, tout comme la divulgation d'informations personnelles à des tiers qui n'ont pas mis en place des protections adéquates en matière de cryptage.
Gmail répond-il aux exigences de cryptage de la loi HIPAA ?
Gmail n'est pas une plateforme conforme aux normes HIPAA. Les organisations qui souhaitent utiliser Gmail dans le cadre d'une solution conforme à la loi HIPAA peuvent utiliser GSuite de Google, qui permet à Google de signer un accord d'association commerciale avec la loi HIPAA. Cependant, comme Google ne fournit pas de cryptage, les organisations devront passer un contrat avec un fournisseur tiers pour satisfaire aux exigences de cryptage de la HIPAA.
Outlook répond-il aux exigences de cryptage de la loi HIPAA ?
Microsoft propose plusieurs versions d'Outlook, chacune ayant des capacités différentes pour se conformer aux exigences de cryptage de la HIPAA. Outlook.com, la version gratuite d'Outlook, n'est pas conforme à la HIPAA et ne peut satisfaire aux exigences de cryptage de la HIPAA. Outlook dans Microsoft Office 365 ou Outlook installé sur un ordinateur de bureau ou un ordinateur portable peut être rendu conforme à la HIPAA avec une configuration appropriée, avec un accord HIPAA Business Associate Agreement avec Microsoft, et en utilisant un fournisseur tiers pour le cryptage.