La règle de sécurité HIPAA exige que les organismes de santé effectuent régulièrement des évaluations relatives aux risques de sécurité afin de protéger les e-PHI. Les tests d’intrusion peuvent aider les organisations à répondre à cette exigence.

Évaluation des risques HIPAA

La loi HIPAA (Health Insurance Portability and Accountability Act) définit le cadre de la protection des données de santé. La règle de sécurité de l’HIPAA – qui protège un sous-ensemble d’informations couvertes par la règle de confidentialité – a trait aux politiques de sécurité que les entités médicales doivent mettre en place afin de garantir la confidentialité des informations électroniques protégées relatives à la santé (e-PHI). Bien que la règle de sécurité n’exige pas explicitement le recours à des tests intrusion annuels, elle oblige néanmoins les organisations à effectuer des évaluations régulières des risques de sécurité afin de déterminer si leurs protocoles protègent les e-PHI de façon appropriée.

La règle de sécurité ne s’applique pas seulement aux organismes de santé ; les assureurs médicaux, les associés commerciaux et tout autre service impliquant le traitement, la transmission et l’utilisation d’e-PHI sont également concernés.

Évaluation des risques HIPAA

La règle de sécurité décrit les mesures de protection administratives, techniques et physiques raisonnables et appropriées pour protéger les e-PHI. Cela inclut l’analyse et la gestion des risques.

La première étape vers la conformité – une évaluation des risques HIPAA – peut vous aider à mesurer l’efficacité de vos mesures de sécurité et à identifier les vulnérabilités potentielles qui pourraient conduire à l’exposition des e-PHI. L’HIPAA insiste sur le fait que l’analyse des risques doit être un processus continu, en particulier lorsque de nouveaux systèmes et processus sont introduits.

Il existe de nombreuses façons de satisfaire à cette exigence. Une solution de gestion de la vulnérabilité et/ou un test d’intrusion sont les plus courants. Dans cet article, nous nous concentrerons sur l’option test d’intrusion – bien qu’il faille noter que nous proposons également une solution pouvant aider à la gestion de la vulnérabilité.

Test d’intrusion HIPAA

Un test d’intrusion permet d’évaluer vos réseaux, systèmes et applications web afin de déterminer où se trouvent vos failles de sécurité et quelle est la probabilité que ces dernières soient exploitées. En clair, un pirate éthique tentera par de multiples façons d’obtenir un accès non autorisé à vos systèmes afin de montrer comment un acteur menaçant pourrait être en mesure d’exploiter les paramètres de sécurité de votre organisation.

Dans le cadre d’un test d’intrusion classique (généralement effectué une fois par an), il est essentiel de bien définir la portée du test. C’est là que vous devrez préciser les obligations HIPAA ainsi que vos objectifs de test. Dans le cadre du processus de préparation, vous devrez également rassembler et fournir des informations pertinentes telles que les types d’e-PHI détenus par votre organisation, leurs emplacements et la manière dont ils sont actuellement protégés. Vous pouvez profiter de cette occasion pour intégrer d’autres exigences HIPAA dans le champ d’application du test. Par exemple, la section HIPAA Physical Safeguards des Security Rules peut également être pertinente et examinée avec les bons services de tests d’intrusion (red teaming).

En plus du test d’intrusion classique, il existe également le pen testing as a service (PTaaS),  c’est-à-dire un test d’intrusion automatisé réalisé à l’aide d’un modèle de livraison SaaS. Cette solution est particulièrement utile pour les organismes de santé agiles qui gèrent des applications web et qui ont besoin de contrôles de vulnérabilité continus et en temps réel. La solution d’Outpost24 de pen testing as a service dans les applications web combine un scan automatisé avec des tests manuels de haute qualité afin d’identifier les vulnérabilités logicielles courantes et les erreurs logiques – le tout en temps réel pour une remédiation plus rapide. Cette solution permet de s’assurer que les données de votre organisation ne peuvent pas être exploitées par des acteurs malveillants.

Comment puis-je m’assurer que mon organisation est bien conforme à la loi HIPAA ?

Alors que les organisations deviennent de plus en plus dépendantes de la technologie, l’importance de la protection des e-PHI s’accroît. Les données de santé sont extrêmement précieuses et les nouveaux systèmes, applications et processus, peuvent être représenter des vecteurs d’attaque et des vulnérabilités supplémentaires. Il est inquiétant de constater que notre analyse des principaux prestataires de santé américains a révélé que 90 % des applications web utilisées par ces organisations étaient susceptibles d’être attaquées ou exposées à des vulnérabilités.

Les tests d’intrusion devraient être une partie essentielle de votre arsenal d’outils pour optimiser la résilience numérique de votre organisation et pour maintenir sa conformité aux règles de l’HIPAA.

Outpost24 peut aider votre organisation à se conformer à la règle de sécurité de l’HIPAA grâce à ses services de tests d’intrusion, classiques comme PTaaS.