Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Services de stockage cloud conformes à HIPAA les plus populaires

Services de stockage cloud conformes à HIPAA les plus populaires

Aug 13, 2020

Les organisations de santé doivent s'assurer que les services de stockage cloud sont conformes à l'HIPAA en sécurisant les informations de santé protégées électroniques (ePHI) par le biais du chiffrement, du contrôle d'accès, de la surveillance des activités et de la data classification. Des fournisseurs comme Microsoft OneDrive, Google Drive, Dropbox Business et Box proposent des versions compatibles avec l'HIPAA avec des accords d'associé commercial, mais la conformité dépend d'une configuration appropriée, d'évaluations des risques et d'une surveillance continue par l'entité couverte.

L'informatique en nuage offre des avantages indéniables pour le stockage et l'accès aux dossiers de santé électroniques. Les fichiers stockés dans le nuage sont accessibles à tout moment et partout depuis n'importe quel appareil, ce qui facilite le partage d'informations médicales critiques entre les travailleurs de la santé. Mais le stockage en nuage est-il suffisamment sécurisé pour stocker, accéder et transférer des informations personnelles et médicales sensibles ?

Pour les cliniques, les hôpitaux et autres organisations de santé, garantir la confidentialité des informations médicales des patients n'est pas seulement une question éthique, c'est aussi une obligation légale. La Health Insurance Portability and Accountability Act (HIPAA) fournit des règles claires concernant le stockage et le partage des données médicales. Toute organisation qui gère des dossiers de santé doit se conformer à cette réglementation.

Par conséquent, avant de transférer des données de santé vers un stockage en nuage, les organisations de soins de santé doivent s'assurer que le logiciel qu'elles prévoient d'utiliser est HIPAA compliant.

L'article traite des stockages conformes à la HIPAA et explique votre responsabilité dans la mise en conformité de votre stockage cloud :

Qu'est-ce que le HIPAA ?

HIPAA est un ensemble de règles qui établissent les utilisations et divulgations autorisées des informations de santé et médicales. Il impose des restrictions sur les personnes pouvant accéder aux informations de santé et quand, et établit également des normes pour protéger les données de santé contre les individus qui n'ont pas le droit de les consulter.

Contenu connexe sélectionné :

Les dispositions clés de HIPAA comprennent :

  • Règles de confidentialité HIPAA — Réglementent la manière dont les informations de santé d'un individu peuvent être divulguées ou utilisées
  • Règles de sécurité HIPAA — Définissent des normes pour la sauvegarde et la protection des informations de santé créées, traitées, consultées ou stockées électroniquement
  • La règle de notification de violation HIPAA — Exige que les organisations informent les individus dont les informations personnelles sur la santé ont été exposées et réglemente le processus de notification
  • La règle Omnibus HIPAA — Clarifie les définitions, procédures et politiques ; fournit une liste de contrôle pour les associés commerciaux ; et met en œuvre les exigences de la loi Health Education Technology for Economic and Clinical Health (HITECH)
  • La règle d'application de la HIPAA — Régit les enquêtes après une violation de données et indique les sanctions imposées à la partie responsable

Les entités de santé doivent développer des mesures de protection, des procédures et des politiques spécifiques pour se conformer à ces règles.

Types d'informations protégées

HIPAA exige la protection des « informations de santé individuellement identifiables, » qui sont définies comme des informations concernant :

  • La santé physique ou mentale passée, présente ou future d'une personne
  • La fourniture de soins de santé à l'individu
  • Paiement passé, présent ou futur pour la prestation de soins de santé à l'individu
  • L'identité de l'individu, ou les données qui pourraient raisonnablement être utilisées pour identifier l'individu

Types de mesures de sécurité

La règle de sécurité HIPAA couvre trois types de garanties pour les informations de santé protégées :

  • Mesures de protection physiques — HIPAA exige l'élaboration de politiques pour l'utilisation et le positionnement des postes de travail et les procédures d'utilisation des appareils mobiles, ainsi que la mise en œuvre de contrôles d'accès aux installations, si applicable.
  • Mesures de sécurité techniques — HIPAA exige la mise en œuvre de journaux d'activité et de contrôles, ainsi qu'un moyen de contrôle d'accès. La conformité peut nécessiter des mécanismes d'authentification de l'information et des outils de chiffrement.
  • Mesures administratives — HIPAA exige la réalisation d'évaluations des risques, la mise en œuvre de politiques de gestion des risques, l'élaboration d'un plan de contingence et la restriction de l'accès à l'information par des tiers.

Contenu connexe sélectionné :

Termes clés de l'HIPAA

Voici les termes les plus importants utilisés dans HIPAA :

  • PHI: Informations de santé protégées
  • ePHI: Informations de santé protégées qui sont stockées ou transmises électroniquement
  • Entité couverte — Un fournisseur de soins de santé, un fournisseur de plan de santé (tel qu'un assureur ou un employeur) ou un centre de traitement des données de santé
  • Associé commercial — Une personne ou une entreprise qui fournit un service ou exécute une fonction ou une activité particulière pour une entité couverte
  • Accord d'Associé Commercial — Un contrat légal précisant quelles informations de santé protégées (PHI) l'associé commercial peut accéder, comment les PHI doivent être utilisées, et les exigences pour restituer ou détruire les PHI une fois que la tâche pour laquelle elles sont nécessaires est complète. Une entité couverte doit obtenir un Accord d'Associé Commercial avant de permettre à un associé commercial d'accéder

Conformité HIPAA et stockage dans le cloud

Aucun serveur cloud n'est conforme à la HIPAA dès le départ, mais il existe des méthodes que les experts en informatique peuvent appliquer pour rendre le cloud conforme aux besoins des entités couvertes.

Les organisations doivent garder à l’esprit qu’il n’existe aucune certification officielle HIPAA ou HITECH, et qu’aucun organisme gouvernemental ou industriel ne certifie HIPAA compliance pour les services cloud. Cela signifie qu’il incombe à l’entité couverte et au fournisseur de services cloud de veiller au respect des exigences de la loi. Le service cloud doit examiner les réglementations HIPAA et, si nécessaire, mettre à jour ses produits, politiques et procédures afin de soutenir les objectifs de conformité HIPAA de l’entité couverte.

Comment le HIPAA s'applique-t-il au stockage dans le cloud ?

Lorsqu'une entité couverte stocke des informations de santé protégées (PHI) dans le cloud, le service de stockage cloud est considéré par la loi comme un associé d'affaires de l'entité couverte. Pour être conforme à la HIPAA, par conséquent, un accord d'associé d'affaires doit être établi. Cet accord doit stipuler que le fournisseur de services cloud doit :

  • Sécurisez les données transmises au cloud
  • Stockez les données de manière sécurisée
  • Fournir un système qui permet un contrôle minutieux de l'accès aux données
  • Enregistrez les journaux de toutes les activités, y compris les tentatives d'accès réussies et échouées

Un stockage cloud conforme à la HIPAA intègre tous les contrôles nécessaires pour garantir la confidentialité, l'intégrité et la disponibilité des ePHI. L'entité couverte est responsable de l'élaboration de politiques et de procédures couvrant l'utilisation d'un stockage cloud sécurisé HIPAA pour ces informations.

Quels services cloud ne sont pas considérés comme conformes à la HIPAA ?

Certains services cloud ne peuvent pas être conformes à la HIPAA pour diverses raisons. Apple et iCloud, par exemple, ne peuvent pas être conformes à la HIPAA car ils n'offrent pas d'AAE pour les entités couvertes.

D'autres services ne parviennent pas à fournir des capacités de sécurité intégrées essentielles, telles que la classification des données, et ne peuvent donc pas être utilisés pour stocker des ePHI.

Pourquoi la classification des données est-elle essentielle ?

La classification des données est nécessaire pour inventorier les ePHI et les regrouper selon leur niveau de sensibilité, afin que l'organisation puisse garantir leur confidentialité, intégrité et disponibilité comme l'exige la règle de sécurité HIPAA. En distinguant les données réglementées des données non réglementées, la classification permet aux organisations de :

  • Priorisez les contrôles de sécurité
  • Protégez les actifs critiques
  • Améliorez la gestion des risques en aidant à évaluer la valeur des données et l'impact de la perte, de l'abus ou du compromis des données
  • Rationalisez la découverte juridique
  • Améliorez la productivité des utilisateurs

Les données protégées par HIPAA suivent généralement un schéma de classification des données à trois niveaux :

  • Données restreintes ou confidentielles— Informations qui pourraient causer des dommages importants si elles sont divulguées, altérées ou détruites. Ces données nécessitent le plus haut niveau de sécurité avec un accès contrôlé conformément au principe du moindre privilège.
  • Données internes — Informations dont la divulgation, la modification ou la destruction peut causer des dommages de niveau modéré ou faible. Ces données ne sont pas divulguées au public et nécessitent des contrôles de sécurité raisonnables.
  • Données publiques — Les données publiques n'ont pas besoin de protection contre l'accès non autorisé, mais nécessitent toujours une protection contre la modification ou la destruction non autorisée.

Comment la règle de confidentialité HIPAA affecte-t-elle les services cloud ?

La règle de confidentialité HIPAA exige que les entités couvertes et les associés commerciaux établissent l'intégrité des ePHI et les protègent contre la destruction ou l'altération non autorisées. Les organisations doivent identifier où les ePHI sont stockées, reçues, maintenues et transmises. Cette tâche nécessite une attention particulière dans le cas des services de stockage en nuage.

Le choix le plus sûr lors de l'utilisation d'un stockage cloud pour les ePHI est d'utiliser un service reconnu compatible avec les exigences HIPAA et HITECH.

Les services de stockage cloud les plus populaires qui prennent en charge HIPAA et HITECH

Il existe un certain nombre de services de stockage en nuage populaires qui prennent en charge HIPAA et le HITECH Act.

Gardez à l'esprit que toutes les versions de ces services ne seront pas conformes — généralement, seule une version particulière ou une licence prend en charge l'utilisation conforme à HIPAA. Toutes les plateformes suivantes, cependant, disposent d'au moins une version avec les capacités de sécurité appropriées pour être rendues conformes, et toutes sont disposées à signer un accord d'associé commercial.

1. Dropbox Business

Dropbox Business offre un BAA pour les entités couvertes et peut être configuré pour offrir un stockage cloud conforme à la HIPAA. Le service propose une variété de contrôles administratifs, y compris la révision de l'accès des utilisateurs et les rapports d'activité des utilisateurs. Il permet également la révision et la suppression des appareils liés et active l'authentification en deux étapes pour une sécurité supplémentaire.

2. G Suite et Google Drive

Google offre un BAA en tant qu’avenant au contrat standard de G Suite. Bien que tous les produits G Suite ne puissent pas être rendus conformes à la norme HIPAA, plusieurs applications Google utiles respectent les exigences légales relatives au stockage et au partage des ePHI.

Google Drive et des applications associées telles que Docs, Sheets, Slide et Forms peuvent tous être configurés pour la conformité HIPAA, tout comme des services tels que Gmail et Calendar. Cependant, Google Contacts, ainsi que des sites Google non essentiels comme YouTube et Blogger, ne peuvent pas être rendus conformes à la HIPAA et par conséquent ne peuvent pas être inclus dans un BAA.

3. Microsoft OneDrive et E5

Les conditions de service en ligne de Microsoft fournissent automatiquement un accord d'associé commercial. L'accord est disponible pour OneDrive for Business, Azure, Azure Government, Cloud App Security et Office 365, entre autres. Les services couverts incluent les courriels, le stockage de fichiers et les calendriers. Microsoft fournit également des outils de data loss prevention.

La licence Enterprise E5 de Microsoft offre les fonctionnalités de sécurité les plus robustes disponibles chez l'entreprise. Le forfait comprend également une gestion de sécurité avancée pour l'évaluation des risques.

4. Box Enterprise et Elite

Box Les comptes Enterprise et Elite incluent la surveillance de l'accès, la génération de rapports et les pistes d'audit pour les utilisateurs et le contenu. Le service offre également des autorisations ou des permissions granulaires. Box peut partager des données de manière sécurisée via un protocole de messagerie directe et permet une visualisation sécurisée des fichiers DICOM, y compris les radiographies, les scanners et les échographies.

Fonctionnalités de sécurité essentielles pour la conformité HIPAA

HIPAA exige un certain nombre de fonctionnalités de sécurité de la part des services qui travaillent avec les entités couvertes. Les services de stockage en nuage mentionnés permettent tous une combinaison des configurations de sécurité suivantes :

  • Un stockage cloud conforme à la HIPAA doit offrir une authentification en deux étapes ou une authentification unique et le chiffrement des ePHI transférées.
  • Tous les appareils utilisés pour accéder ou envoyer des ePHI doivent être capables de encrypt les messages à envoyer à l'extérieur du pare-feu et de decrypt les messages reçus. Tous les chiffrements doivent répondre aux normes NIST.
  • La configuration des autorisations de partage de fichiers permet aux entités couvertes de mettre en place un système basé sur les permissions qui limite l'accès des utilisateurs non autorisés. Les contrôles doivent être configurés correctement pour être efficaces, y compris l'authentification en deux étapes, des mots de passe sécurisés et des procédures de partage de fichiers sécurisées afin de protéger les données contre l'accès non autorisé.
  • La surveillance de l'activité des comptes exige que vous examiniez régulièrement les journaux d'accès pour vous assurer de pouvoir détecter rapidement toute activité inappropriée. Des solutions comme Netwrix Auditor vous aident à gagner en visibilité sur les activités commerciales dans le cloud. Netwrix Auditor rapporte à la fois sur les événements d'accès et les modifications, y compris les modifications de contenu, des paramètres de sécurité et des paramètres de boîte aux lettres.
  • La classification des données est essentielle pour regrouper et protéger les informations en fonction de leur niveau de sensibilité. Netwrix Data Classification fournit des taxonomies prédéfinies faciles à personnaliser, classe les données avec précision et automatise les flux de travail critiques pour améliorer la sécurité des données.
  • Un lecteur cloud ne peut pas être conforme à la HIPAA à moins que vous ne configuriez correctement les contrôles de sécurité et surveilliez l'activité autour des données stockées dans le système. Pour garantir que le service de stockage cloud de votre organisation reste conforme, assurez-vous de réaliser des évaluations des risques et d'élaborer des politiques et procédures de cybersécurité strictes.

Points clés

L'utilisation d'un fournisseur de cloud de confiance est cruciale mais ne garantit pas un stockage cloud conforme. Même lorsqu'un service cloud signe un accord d'associé commercial et propose des contrôles de sécurité administratifs, le chiffrement et d'autres outils de sécurité, cela ne rend pas automatiquement votre organisation conforme à la HIPAA.

Pour vous assurer que vos services de stockage cloud sont conformes à la HIPAA, assurez-vous de :

  • Configurez correctement les paramètres
  • Vérifiez l'accès des applications tierces au cloud
  • Utilisez des outils spécialisés pour les audits de journaux afin de garantir la sécurité et la confidentialité des fichiers

Les organisations de santé et les patients comptent tous deux sur des protocoles de cybersécurité robustes pour protéger les informations de santé protégées (ePHI) contre les dommages, la destruction, l'altération et l'accès non autorisé. L'utilisation de l'un de ces services peut aider à sécuriser vos données et à assurer la conformité de votre organisation de soins de santé avec la loi.

FAQ

Quelles fonctionnalités de sécurité rendent le stockage dans le cloud conforme à la HIPAA ?

Les services de stockage cloud conformes à la HIPAA offrent tous :

  • Netwrix Data Classification
  • Restrictions de permission pour l'accès et le partage de fichiers
  • Chiffrement et déchiffrement des données
  • Authentification en deux étapes ou authentification unique
  • Journaux d'activité et contrôles d'audit pour enregistrer les tentatives d'accès et consigner ce qui est fait avec les données une fois qu'elles sont consultées

Quel est le but d'un accord d'associé commercial (BAA) ?

Avant qu'une entité couverte puisse utiliser un service de stockage cloud, elle doit signer un accord BAA avec le service. Cet accord :

  • Spécifie quel PHI l'associé commercial peut accéder
  • Indique comment le PHI peut être utilisé
  • Établit comment les informations de santé protégées seront restituées ou détruites une fois que la tâche pour laquelle elles étaient nécessaires est terminée

Avoir un BAA garantit-il la conformité de mon organisation avec HIPAA et le HITECH Act ?

Non. C'est à vous, l'entité de santé, d'établir les configurations appropriées, de créer les politiques nécessaires et d'effectuer la diligence raisonnable pour atteindre et maintenir la conformité HIPAA.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité