Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Exigences de mot de passe HIPAA

Exigences de mot de passe HIPAA

Feb 1, 2022

Le secteur de la santé est confronté à une multitude de risques de cybersécurité graves. En effet, l'année 2021 a connu un nombre record de violations majeures de données de santé aux États-Unis — le portail de notification de violation du Département de la Santé et des Services Humains des États-Unis répertorie au moins 713 incidents affectant 45,7 millions d'individus.

La loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) est conçue pour aider les organisations de santé à réduire les risques pour la sécurité et la confidentialité des informations de santé personnelles électroniques (ePHI). En particulier, la règle de sécurité HIPAA comprend des exigences de mot de passe pour aider les organisations à minimiser le risque de data breaches. Cet article explique ces exigences de mot de passe et fournit les meilleures pratiques pour leur mise en œuvre.

Contenu connexe sélectionné :

Qui doit se conformer à la HIPAA ?

HIPAA s'applique aux deux types d'organisations suivants :

  • Entités couvertes — Ce groupe comprend les prestataires de soins de santé, les régimes de santé, les centres de traitement des données de santé et les employeurs qui ont accès aux informations de santé à des fins d'assurance
  • Associés commerciaux — Ce groupe comprend les organisations qui gèrent ou stockent des dossiers de patients physiques ou des ePHI, par exemple, les compagnies d'assurance médicale et de facturation, les cabinets d'avocats qui traitent des cas médicaux, les fabricants de dispositifs médicaux et les coursiers médicaux. Il inclut également les fournisseurs de logiciels et de services cloud qui traitent des ePHI.

Identifier si votre organisation est soumise à HIPAA est très important car les pénalités pour non-conformité à la réglementation peuvent varier de 100 $ à 50 000 $ par violation ou dossier, jusqu'à une pénalité maximale de 1,5 million de dollars par an pour chaque violation. De plus, les infractions intentionnelles aux exigences réglementaires de HIPAA peuvent conduire jusqu'à 10 ans de prison.

Pourquoi l'HIPAA inclut-elle des exigences de mot de passe ?

HIPAA inclut des exigences concernant les mots de passe pour une bonne raison : les mots de passe sont les clés de votre ePHI, et une politique de password policy conforme à HIPAA peut vous aider à prévenir les connexions et l'accès aux données non autorisés. En fait, les attaquants ont développé une grande variété de techniques pour voler ou craquer les mots de passe, y compris :

  • Attaques par force brute— Les pirates utilisent des programmes qui testent différentes combinaisons potentielles d'identifiant/mot de passe jusqu'à ce qu'ils trouvent la bonne.
  • Attaques par dictionnaire— Il s'agit d'une forme d'attaque par force brute qui utilise des mots trouvés dans un dictionnaire comme mots de passe potentiels.
  • Attaques par pulvérisation de mots de passe — Il s'agit d'un autre type d'attaque par force brute qui cible un seul compte, en testant plusieurs mots de passe pour essayer d'obtenir l'accès.
  • Attaques par remplissage d'identifiants — Ces attaques ciblent les personnes qui utilisent les mêmes mots de passe sur différents systèmes et sites Web.
  • Spidering — Les pirates rassemblent des informations sur une personne puis tentent des mots de passe créés à partir de ces données.

Contenu connexe sélectionné :

Quelles sont les exigences de mot de passe HIPAA ?

Les mots de passe sont couverts par les mesures de sauvegarde administratives de la règle de sécurité HIPAA. Plus précisément, §164.308(5D) indique que les organisations doivent mettre en œuvre des « procédures de création, de modification et de protection des mots de passe ». Une mesure de sauvegarde technique connexe (§164.312(d)) stipule que les entités couvertes doivent avoir des processus en place pour vérifier l'identité d'une personne cherchant à accéder aux informations de santé électroniques.

Cette imprécision concernant les exigences de mot de passe est intentionnelle — HIPAA est conçu pour être neutre sur le plan technologique et pour reconnaître que les meilleures pratiques de sécurité évoluent avec le temps pour améliorer la résilience face aux techniques d'attaque connues.

Alors, comment mon organisation peut-elle être conforme ?

La meilleure façon de garantir la conformité des mots de passe HIPAA est de construire votre politique et vos procédures de mot de passe en utilisant un cadre approprié et respecté. Une excellente option est la Special Publication 800-63B de l'Institut national des normes et de la technologie (NIST). Les directives qu'elle fournit sont utiles pour toute entreprise cherchant à améliorer la cybersécurité — y compris les entités couvertes par HIPAA et les associés commerciaux.

Les directives NIST de base pour les mots de passe couvrent ce qui suit :

  • Longueur — Les mots de passe doivent être entre 8 et 64 caractères.
  • Construction — Il est conseillé d'utiliser de longues phrases secrètes, mais elles ne doivent pas correspondre à des mots du dictionnaire.
  • Types de caractères — Les organisations peuvent autoriser les lettres majuscules et minuscules, les chiffres, les symboles uniques et même les émoticônes, mais ne devraient PAS exiger un mélange de différents types de caractères.
  • Authentification multifactorielle — L'accès aux informations personnelles telles que les ePHI devrait nécessiter une authentification multifactorielle, comme un mot de passe accompagné d'une empreinte digitale ou d'un code PIN provenant d'un appareil externe.
  • Réinitialisation — Un mot de passe ne devrait être réinitialisé que s'il a été compromis ou oublié.

Quelles sont les meilleures pratiques pour sécuriser les mots de passe ?

Voici cinq stratégies qui peuvent faire une différence mesurable dans la sécurité de vos mots de passe :

  • Augmentez la longueur de vos mots de passe. Les mots de passe courts sont extrêmement faciles à pirater, mais les mots de passe très longs sont difficiles à retenir. Le juste milieu, selon le NIST, est entre 8 et 64 caractères.
  • Permettez aux utilisateurs de copier et coller leurs mots de passe à partir de services de gestion de mots de passe chiffrés. Ainsi, ils peuvent choisir des mots de passe longs et plus complexes sans la contrainte de les saisir manuellement ou la crainte de les oublier. Cette meilleure pratique aide également à prévenir les failles de sécurité causées par les employés qui réutilisent des mots de passe ou les notent à des endroits où d'autres pourraient les voir.
  • Ne permettez pas d'indices de mot de passe. Les indices rendent souvent remarquablement facile de deviner le mot de passe de l'utilisateur — dans certains cas, les employés utiliseront même le mot de passe lui-même comme indice !
  • Autorisez les mots de passe à contenir des espaces, d'autres caractères spéciaux et même des emojis. Cela ajoute une couche supplémentaire de complexité qui aide à contrer les attaques de mots de passe courantes.
  • Filtrez les mots de passe proposés en utilisant des listes de mots de passe communs et précédemment compromis. Vous pouvez externaliser cette tâche à la sécurité

Comment Netwrix peut-il aider ?

Netwrix propose plusieurs solutions spécialement conçues pour rationaliser et renforcer la gestion des mots de passe :

  • Netwrix Password Policy Enforcer facilite la création de politiques de mot de passe fortes mais flexibles qui renforcent la sécurité sans nuire à la productivité des utilisateurs ou surcharger les équipes d'assistance et informatiques.
  • Netwrix Password Reset permet aux utilisateurs de déverrouiller leurs comptes et de réinitialiser ou changer leurs propres mots de passe en toute sécurité, directement depuis leur navigateur web. Cette fonctionnalité en libre-service réduit considérablement la frustration des utilisateurs et les pertes de productivité tout en diminuant fortement le volume d'appels au service d'assistance.

Netwrix offre également des solutions plus complètes pour la conformité HIPAA. Ils vous permettent de :

  • Effectuez régulièrement des évaluations des risques informatiques pour réduire votre surface d'attaque.
  • Comprenez exactement où se trouvent vos données sensibles afin de pouvoir prioriser vos efforts de protection.
  • Auditez l'activité sur vos systèmes locaux et basés sur le cloud, et détectez et enquêtez sur les menaces à temps pour prévenir la violation de donnéeses.
  • Réduisez le temps et l'effort nécessaires pour vous préparer aux contrôles de conformité HIPAA et répondez facilement aux questions des auditeurs sur-le-champ.

FAQ

Quelles sont les exigences minimales de mot de passe HIPAA ?

Les HIPAA password requirements stipulent que les organisations concernées doivent mettre en œuvre des « procédures pour créer, modifier et protéger les mots de passe ». Il n’existe aucune exigence spécifique concernant la longueur, la complexité ou le chiffrement des mots de passe. Pour garantir la conformité, envisagez d’établir une politique de mots de passe robustes en utilisant un cadre de sécurité reconnu comme le NIST.

Quelles sont les meilleures recommandations pour les mots de passe HIPAA ?

Les meilleures pratiques actuelles pour les mots de passe sont détaillées dans NIST Special Publication 800-63B. Cette publication gratuite comprend des directives sur la longueur des mots de passe, leur composition, les types de caractères, les exigences de réinitialisation et l'authentification multifactorielle.

À quelle fréquence l'HIPAA exige-t-il que les mots de passe soient changés ?

Il n'y a pas d'exigences spécifiques de changement de mot de passe HIPAA. Les directives du NIST recommandent d'exiger le changement de mots de passe uniquement s'ils sont compromis. Aujourd'hui, les experts reconnaissent que l'exigence de changements fréquents de mots de passe augmente souvent en réalité les problèmes de sécurité car les utilisateurs ont recours à des stratégies telles que noter leurs mots de passe ou simplement ajouter un chiffre à la fin du mot de passe, laissant leur compte vulnérable aux cyberattaques.

HIPAA exige-t-elle l'authentification multifacteur (MFA) ?

HIPAA ne fournit pas ce niveau de détail. Cependant, les cadres de meilleures pratiques tels que NIST recommandent l'authentification multifactorielle pour protéger les données sensibles et réglementées dans les e-mails, les bases de données et d'autres systèmes. La mise en œuvre de l'MFA comme décrit par NIST peut considérablement réduire le risque d'amendes pour une organisation en cas de non-conformité avec HIPAA.

Y a-t-il des exigences de verrouillage de compte dans HIPAA ?

HIPAA ne fournit pas ce niveau de détail. Cependant, une politique de mot de passe conforme à HIPAA impliquerait un verrouillage après un certain nombre de tentatives de connexion échouées pour contrer les attaques par devinettes de mots de passe. Permettre aux utilisateurs de déverrouiller leurs propres comptes en utilisant une solution sécurisée de self-service password management solution peut vous permettre de définir un seuil bas pour les tentatives de connexion échouées afin de renforcer la sécurité sans augmenter le volume d'appels au service d'assistance.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité