Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Microsoft 365 est-il conforme à la HIPAA ?

Microsoft 365 est-il conforme à la HIPAA ?

Jul 30, 2020

Microsoft 365 peut soutenir la conformité HIPAA grâce à ses contrôles de sécurité intégrés, son accord d'associé commercial (BAA) et ses outils du Centre de conformité. Les entités couvertes doivent activer des fonctionnalités telles que le chiffrement, les contrôles d'accès, les journaux d'audit et l'authentification à plusieurs facteurs, tout en veillant à ce que le personnel suive des pratiques strictes de manipulation des données. La conformité n'est pas automatique ; la responsabilité ultime incombe à l'organisation de santé utilisant Microsoft 365.

La conformité HIPAA d'Office 365 est une préoccupation croissante pour un nombre croissant d'entreprises de santé. La solution cloud robuste de Microsoft permet aux prestataires de conserver des dossiers et de communiquer facilement — mais est-ce trop facile ? Les informations sensibles peuvent-elles vraiment être protégées si elles sont stockées dans le cloud ?

Le cloud computing s'infiltre dans l'industrie des soins de santé depuis plusieurs années. Il offre de nombreux avantages en tant que stratégie, permettant aux organisations et aux prestataires de soins d'élargir où et comment ils peuvent utiliser la technologie. En facilitant la conservation et la consultation des dossiers des patients par les prestataires, même en déplacement, le cloud computing améliore et simplifie l'expérience des patients.

Contenu connexe sélectionné :

Ce passage au cloud est positif pour le secteur de la santé dans son ensemble, mais il impose des responsabilités supplémentaires aux spécialistes de la conformité et de la sécurité. Heureusement, la tâche de trouver des logiciels cloud conformes à l'HIPAA devient plus facile à mesure que davantage de fournisseurs et de développeurs reconnaissent la demande du marché. De nombreux prestataires de solutions ont désormais adapté leurs offres pour répondre aux besoins HIPAA des organisations de santé.

Microsoft 365, sans doute le service cloud le plus largement utilisé, est un exemple remarquable. Il offre la conformité HIPAA à toutes les organisations de santé qui disposent et utilisent correctement un business associate agreement (BAA). Dans cet article, vous en apprendrez davantage sur ce que Microsoft a fait pour permettre à sa suite 365 de répondre aux exigences de la HIPAA et sur les aspects de la protection des données qui restent de la responsabilité des fournisseurs.

Contenu connexe sélectionné :

HIPAA BAA et Microsoft 365

Le niveau de conformité HIPAA de toute solution cloud dépend de l'ABA de l'organisation utilisatrice. L'une des fonctionnalités les plus pratiques de Microsoft 365 pour le client du secteur de la santé est qu'il fournit un ABA en tant qu'élément standard du service.

Qu'est-ce qu'un BAA ?

Un business associate agreement est un contrat entre une entité couverte par l'HIPAA (comme un cabinet médical ou un hôpital) et une entreprise associée. Dès que des informations de santé protégées (PHI) sont téléchargées sur le cloud, les deux parties sont automatiquement soumises à la réglementation HIPAA. Pour cette raison, vous devez avoir un BAA en place avec un fournisseur de cloud avant de mettre en œuvre toute solution liée aux données des patients.

Comment fonctionne le BAA de Microsoft ?

Par défaut, Microsoft propose son BAA dans le cadre de ses Conditions des Services en Ligne aux utilisateurs qui sont des entités couvertes ou des associés commerciaux tels que définis par HIPAA. Le BAA couvre Dynamics 365, Office 365 et certains autres services cloud.

Si vous envisagez Microsoft comme fournisseur de solutions, examinez le BAA en détail pour vous assurer que les services couverts et les termes du BAA répondent à vos besoins. Microsoft ne modifie pas son BAA à la demande des clients, donc les termes doivent être suffisants tels quels.

Contrôles de sécurité Microsoft 365 et exigences HIPAA

Pour confirmer que ses pratiques de sécurité sont conformes aux recommandations de l'éditeur officiel de l'HIPAA, le Département de la Santé et des Services Humains des États-Unis (HHS), Microsoft a subi des audits de sécurité de l'information sous la norme ISO 27001 . Cette norme évalue de multiples aspects de la sécurité informatique d'une organisation, y compris si elle suit les recommandations du HHS.

Les résultats confirment que Office 365 inclut tous les contrôles de sécurité et de confidentialité HIPAA nécessaires pour la conformité. Vous pouvez accéder à ces contrôles via le Centre de conformité Microsoft 365.

Le Microsoft Compliance Center

Le Microsoft Compliance Center offre aux clients l'accès aux outils et informations nécessaires pour gérer la conformité. Il inclut des fonctionnalités telles que :

  • Votre Compliance Score, une mesure métrique basée sur le risque qui évalue les progrès vers la réduction du risque
  • Une carte d'alertes actives, qui répertorie vos notifications de sécurité et vous oriente vers des informations plus détaillées
  • Une section de Netwrix Data Classification pour vous aider à organiser correctement les données importantes
  • Une section de rapports avec des informations sur les applications tierces, les fichiers partagés et plus encore
  • Une section des permissions qui vous permet de gérer l'accès au sein de votre organisation
  • Une section de solutions avec des informations détaillées sur les stratégies de conformité de votre organisation
  • Un outil de protection contre la perte de données pour vous permettre de suivre les informations sensibles

Le Compliance Center est une ressource robuste. Il est disponible pour tous les clients commerciaux de Microsoft, mais certaines fonctionnalités, telles que la gestion avancée des menaces, les étiquettes de sensibilité pour la data classification, certaines fonctionnalités de DLP, peuvent ne pas être disponibles à moins que vous n'ayez une licence de niveau supérieur.

Fonctionnalités de sécurité de Microsoft 365 pour HIPAA

Microsoft propose de nombreuses fonctionnalités de sécurité pour aider les entreprises à respecter les réglementations spécifiques. Celles particulièrement pertinentes pour HIPAA sont :

  • Accès à privilèges minimaux: Cette fonctionnalité limite le risque et l'impact des violations de données en accordant un accès élevé uniquement à ceux qui en ont besoin.
  • Lecteurs de confidentialité : Microsoft recommande aux clients disposant d'un BAA de désigner des représentants en tant que HIPAA Privacy Readers, ce qui leur donne accès aux notifications du Centre de messages concernant d'éventuelles violations impliquant des informations de santé protégées électroniques (ePHI).
  • Chiffrement de bout en bout : Microsoft chiffre toutes les données lorsqu'elles sont téléversées ou stockées sur les serveurs de l'entreprise. Elles sont également chiffrées lorsqu'elles sont transférées en dehors des installations de Microsoft (chiffrement en transit) ; cependant, certaines informations, y compris les données dans les lignes d'objet et les champs d'adresse des e-mails, ne peuvent pas être chiffrées en raison des protocoles internet standards. Par conséquent, Microsoft recommande que tous les utilisateurs forment le personnel à ne jamais inclure de PHI électronique dans les lignes À, De ou Objet d'un e-mail.
  • Prévention des pertes de données: les ePHI sont protégés contre le partage avec des spectateurs non autorisés.
  • Authentification multi-facteurs : Les utilisateurs doivent fournir des informations envoyées à un autre appareil ou compte avant d'être autorisés à se connecter.
  • Journaux d'audit: Les administrateurs peuvent voir qui a consulté, ouvert, partagé ou mis des documents à la corbeille.
  • Sauvegardes de données : Cette fonctionnalité est requise par la HIPAA afin que des copies exactes des ePHI puissent être restaurées lorsque nécessaire.
  • Configuration de sécurité : Microsoft permet aux clients de modifier leurs paramètres de sécurité sur de nombreux services couverts par l'AAE. Pour la conformité HIPAA, la stratégie la plus sûre peut être de définir les paramètres les plus stricts possibles. Des instructions de configuration détaillées sont disponibles dans le guide de mise en œuvre HIPAA de Microsoft.

Comment Microsoft gère les violations de sécurité

L'Accord de BAA de Microsoft stipule qu'en cas de violation de la sécurité, la société notifiera tous les administrateurs globaux de votre compte et tous les utilisateurs ayant la désignation de Privacy Reader dans un délai de 30 jours.

Microsoft ne notifie pas vos clients en cas de violation. Cette responsabilité vous incombe sous HIPAA, qui exige que toutes les entités couvertes informent les individus affectés si une violation concerne des ePHI non sécurisés. Microsoft ne soumet également aucune notification requise au Secrétaire du HHS ou aux médias.

En cas de violation d'un dépôt potentiel d'ePHI, Microsoft n'est pas responsable de l'analyse des données stockées pour déterminer si des ePHI ont réellement été compromis. Vous recevrez une notification indiquant qu'une violation a eu lieu. Vous devez ensuite évaluer si des ePHI ont été compromis et quel est le degré de l'impact le cas échéant.

Configuration de la conformité HIPAA pour Office 365 : Meilleures pratiques

Microsoft est très clair sur le fait qu'en fin de compte, la responsabilité de la conformité HIPAA incombe au client. Le fournisseur recommande que toutes les entreprises établissent un ensemble de procédures et de politiques pour aider leur personnel à utiliser Office 365 de manière à soutenir la conformité. Voici quelques-unes des étapes les plus importantes à suivre lors du processus de configuration.

1. Vérifiez les détails du service.

  • Assurez-vous que les produits que vous prévoyez d'utiliser sont dans le cadre des Microsoft’s HIPAA Compliance Services.
  • Examinez l'AAE pour vous assurer que les pratiques de sécurité et de confidentialité incluses répondent à vos besoins.

2. Mettez en place des procédures de contrôle d'accès.

  • Dans votre Microsoft 365 Message Center, spécifiez vos Privacy Readers.
  • Activez le suivi d'accès pour vos administrateurs afin de pouvoir voir quand ils accèdent aux comptes utilisateurs.

3. Fournissez une formation sur l'exclusion des PHI.

  • Le personnel administratif ne doit pas saisir de PHI électroniques dans des répertoires, carnets d'adresses ou listes d'adresses globales.
  • Aucun membre du personnel ne doit partager d'ePHI lors de conversations de dépannage ou de support avec Microsoft.
  • Les utilisateurs ne doivent pas mentionner les ePHI dans les noms de fichiers, les en-têtes d'e-mails ou les emplacements SharePoint accessibles au public.
  • Les utilisateurs ne doivent pas envoyer de PHI électroniques par e-mail, sauf aux utilisateurs explicitement autorisés.

4. Établissez des procédures pour la révision des accès.

  • Examinez régulièrement l'accès des utilisateurs à tous les dépôts de stockage d'ePHI.
  • Examinez régulièrement les permissions d'accès des utilisateurs, les changements de mots de passe et les ajouts aux ressources partagées.
  • Créez un protocole pour la mise à jour des droits d'accès en cas de changements de personnel.

Comment Netwrix aide les clients de Microsoft 365

Se conformer à HIPAA n'est pas une mince affaire, et ajouter la conformité liée aux services cloud peut solliciter les ressources même des organisations les plus robustes. Netwrix peut enlever une grande partie de ce fardeau de vos épaules avec sa solution for HIPAA compliance.

Sachez exactement où vous stockez les ePHI

La solution Netwrix peut identifier les dépôts OneDrive for Business spécifiques, les boîtes aux lettres Exchange Online et les sites SharePoint Online dans votre compte qui contiennent des ePHI. C'est la première étape vers la protection de ces ePHI contre les menaces internes et externes.

Réduisez votre surface d'attaque en minimisant les permissions

La solution Netwrix peut également vous aider à vous assurer que vous disposez des privilèges appropriés. Elle peut identifier et supprimer automatiquement les permissions excessives aux données sensibles. Elle simplifie aussi le processus de révision d'accès et d'attestation des privilèges, améliorant ainsi vos chances de réussir les audits de conformité dès la première tentative.

Identifiez et répondez aux menaces

Grâce à une visibilité détaillée inter-systèmes, la solution Netwrix peut repérer des signaux d'alerte qui pourraient indiquer des menaces internes, comme des tentatives d'accès échouées, l'escalade de privilèges et un nombre inhabituellement élevé de lectures, et détecter des signes de rançongiciel en cours. Cela vous permet de plonger facilement dans les activités suspectes afin de pouvoir bloquer les menaces avant qu'elles ne causent des dommages sérieux.

En cas de violation, quelle qu'en soit la source, Netwrix peut vous aider à déterminer la gravité de l'incident, vous permettant ainsi de répondre à toutes les exigences de notification aux autorités et aux utilisateurs affectés.

Contenu connexe sélectionné :

FAQ sur la conformité HIPAA et Microsoft 365

Y a-t-il des préoccupations HIPAA concernant l'utilisation d'Office 365 ?

Tant que vous examinez attentivement le BAA de Microsoft et comprenez la portée de ses protections de sécurité et de conformité, confirmez que ces protections répondent à vos besoins de conformité HIPAA et que vous disposez de tous les contrôles de sécurité nécessaires de votre côté, vous ne devriez avoir que peu ou pas de préoccupations concernant la conformité HIPAA.

Les protections HIPAA d'Office 365 sont robustes, mais en fin de compte, la conformité est de votre responsabilité en tant qu'entité couverte par HIPAA.

Quel plan Microsoft Office 365 est conforme à la HIPAA ?

Microsoft propose son accord BAA de conformité HIPAA aux utilisateurs d'Office 365 Business, Office 365 US Government et Office 365 US Government Defense. Cependant, les licences de niveau inférieur de ces services (Business Basic, Business Standard et Business Premium, par exemple) peuvent ne pas disposer de toutes les fonctionnalités de sécurité avancées que vous souhaiterez utiliser pour maintenir votre conformité.

Microsoft recommande aux utilisateurs recherchant la conformité HIPAA d'activer les protections de sécurité de haut niveau. Certaines de ces protections, y compris les explorateurs de menaces anti-hameçonnage et la prévention des pertes de données, ne sont disponibles que pour les détenteurs de licences Enterprise de niveau supérieur.

Avoir un BAA avec Microsoft garantit-il la conformité avec HIPAA et le HITECH Act ?

Non, un BAA ne garantit pas la conformité. L'objectif du BAA est de clarifier quelles exigences de conformité incombent à l'associé commercial HIPAA. Par exemple, si une violation se produit dans votre compte Microsoft Office 365, Microsoft vous informera qu'elle a eu lieu.

Même sous le BAA le plus robuste, en tant que client de service cloud, vous avez toujours des responsabilités pour maintenir la conformité. Vous devez établir et maintenir un programme de conformité interne qui couvre tout ce qui est requis de vous en tant qu'organisation couverte par HIPAA. Par exemple, vous devez avoir des politiques, procédures et processus internes en place pour garantir que votre personnel agisse d'une manière qui ne viole pas les réglementations HIPAA.

Le BAA de Microsoft vous aide à respecter les principes de l'HIPAA lorsque vous utilisez les services de l'entreprise, mais cela ne fera pas tout pour vous. Vous devez toujours vous assurer que votre équipe utilise Office 365 d'une manière qui soit conforme à chaque règle de l'HIPAA et de l'HITECH Act.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité