Le ministère de la Santé et des Services sociaux (HHS) s’apprête à finaliser, le mois prochain, la première mise à jour majeure de la loi HIPAA depuis plus d’une décennie, imposant aux hôpitaux des mesures de sécurité renforcées.
Cette mise à jour vise à éliminer la distinction entre les spécifications de mise en œuvre « requises » et « adressables ». Actuellement, la HIPAA inclut deux catégories de règles de sécurité pour protéger les informations de santé sensibles : les règles « obligatoires », qui doivent être respectées, et les règles « adressables », auxquelles les prestataires peuvent choisir de ne pas se conformer.
En abrogeant ces deux classifications, le HHS cherche à rendre toutes les règles de cybersécurité obligatoires pour les établissements de santé. Selon la proposition, plusieurs protocoles de cybersécurité seront exigés pour tous les fournisseurs, notamment l’authentification à deux facteurs, le cryptage des données et la segmentation du réseau.
Kumar Sokka, PDG de la plateforme de cybersécurité Acre Security, souligne que l’impact le plus significatif de cette mise à jour de la HIPAA réside dans le fait que les mesures de sécurité physique ne seront plus considérées comme facultatives ou flexibles.
Les fournisseurs devront non seulement documenter leurs politiques, mais également prouver l’implémentation effective d’outils axés sur le contrôle d’accès, la détection des intrusions et la gestion des visiteurs, explique Sokka.
Il exprime ses doutes quant à la capacité des hôpitaux à se conformer aux nouvelles exigences. Beaucoup de fournisseurs continuent de s’appuyer sur des outils de sécurité fragmentés, manquant de l’infrastructure connectée nécessaire pour respecter les normes intégrées plus strictes de la réglementation mise à jour.
« Il existe différentes manières de répondre aux besoins en fonction des divers budgets dont disposent ces hôpitaux. Je considère que l’unification est un objectif important, tout comme le passage au cloud et la modernisation technologique », ajoute-t-il.
Sokka souligne également le lien critique entre la sécurité physique et la cybersécurité dans un hôpital. Une faille de sécurité physique, telle qu’un accès non sécurisé à des salles de serveurs, peut faciliter des cyberattaques. Par exemple, une personne accédant à un serveur et branchant un périphérique USB peut contourner même les protections cybernétiques les plus robustes.
« Il y a toujours un risque que des individus non autorisés accèdent aux réseaux », indique Sokka. « C’est pourquoi un outil de gestion des visiteurs est essentiel. Il permet de vérifier les antécédents et de garantir que les bonnes personnes accèdent à l’hôpital. De nombreux points faibles existent, et l’environnement évolue constamment avec les visiteurs qui accèdent aux installations. »
Avec la mise à jour de la règle HIPAA, de telles vulnérabilités physiques ne seront plus perçues comme des enjeux secondaires, mais devront être abordées comme des exigences de sécurité fondamentales par les fournisseurs.
Cependant, ce changement risque de mettre en lumière le nombre de fournisseurs qui n’ont pas encore préparé un cadre de sécurité plus strict, conclut Sokka.
Photo : MoMo Productions, Getty Images
