mar. Juin 16th, 2026
Dossiers

Nouveautés en Cybersécurité Sanitaire : Bilan 2024 et Perspectives 2025

BySandrine Bertrand

Jan 17, 2025

Alors que les cyberattaques ciblant le secteur de la santé ont connu une recrudescence au cours de l’année passée, notamment des attaques par ransomware ayant entraîné des violations majeures de données au sein des organisations de santé, la protection des données de santé est devenue une priorité pour les régulateurs. Cela a également conduit à des efforts législatifs bipartisans visant à renforcer les exigences en matière de cybersécurité dans ce domaine.

Rapport de l’OIG sur le programme d’audit HIPAA de l’OCR

Conformément au Health Information Technology for Economic and Clinical Health Act (HITECH), le Bureau des droits civils du HHS (OCR) est tenu de réaliser des audits périodiques des entités concernées et des associés commerciaux (collectivement dénommés Entités Réglementées) pour évaluer leur conformité aux règles de confidentialité, de sécurité et de notification des violations du Health Insurance Portability and Accountability Act (HIPAA) (collectivement, les “Règles HIPAA”).

Le mois dernier, le Bureau de l’inspecteur général du HHS (OIG) a publié un nouveau rapport évaluant le programme d’audit HIPAA de l’OCR, exprimant des inquiétudes concernant l’efficacité de la supervision actuelle et la nécessité de mesures renforcées face aux risques croissants de cybersécurité dans ce secteur. Dans son évaluation, l’OIG a examiné les rapports d’audit HIPAA finaux de l’OCR concernant les Entités Réglementées, ainsi que les conseils et les actions d’application allant de janvier 2016 à décembre 2020.

Bien que l’OIG ait constaté que l’OCR avait respecté ses obligations en vertu du HITECH pour mener des audits périodiques, le rapport a également mis en évidence plusieurs problèmes critiques. Premièrement, les audits HIPAA de l’OCR étaient jugés trop limités, n’évaluant qu’une petite fraction des exigences prévues par les Règles HIPAA. Sur les 180 exigences des Règles HIPAA, seuls huit ont été évaluées – deux dispositions des sauvegardes administratives de la règle de sécurité (Analyse des Risques et Gestion des Risques), trois dispositions de la règle de confidentialité (Avis de Pratiques de Confidentialité et Exigences de Contenu, Fourniture de l’Avis et Droit d’Accès), trois dispositions de la règle de notification des violations (Délai de Notification, Contenu de la Notification, et Notification par un Associé Commercial), et aucune exigence de sauvegarde physique ou technique.

Deuxièmement, l’OIG a constaté que le programme d’audit HIPAA de l’OCR ne traitait pas efficacement les problèmes de conformité identifiés lors de ces audits limités. Par exemple, l’OIG a souligné l’absence d’exigences d’action corrective suite à des audits ayant soulevé des inquiétudes sur la capacité du programme à induire des améliorations en matière de protection des données de santé.

En réponse à ces constatations, l’OIG a formulé plusieurs recommandations à l’OCR, notamment :

  • Élargir le champ des audits HIPAA pour évaluer la conformité des Entités Réglementées aux exigences de sauvegarde physique et technique de la règle de sécurité ;
  • Mettre en place des normes et des conseils pour garantir que les déficiences identifiées lors des audits HIPAA sont corrigées rapidement ;
  • Établir des critères pour déterminer quand les problèmes découverts lors des audits devraient entraîner le début d’une revue de conformité ; et
  • Définir des indicateurs pour évaluer l’efficacité du programme d’audit HIPAA de l’OCR dans l’amélioration de la protection des PHI électroniques des Entités auditées.

Efforts réglementaires et législatifs récents pour renforcer la cybersécurité dans la santé

Le rapport de l’OIG arrive à un moment opportun, dans le cadre d’efforts réglementaires et législatifs bipartisans plus larges visant à renforcer les protections en matière de cybersécurité dans le secteur de la santé, notamment :

  • Mises à jour réglementaires proposées de la règle de sécurité HIPAA, publiées par l’OCR le 6 janvier 2025. Cette réglementation vise à renforcer les exigences existantes sous les normes de sécurité HIPAA pour la Protection des Informations de Santé Électroniques (la “Règle Proposée”), en abordant les déficiences observées par l’OCR lors des investigations sur les Entités Réglementées. Parmi d’autres mises à jour, la Règle Proposée élimine la distinction entre les spécifications “obligatoires” et “adressables” et élargit les exigences de documentation existantes. Le délai pour commenter this rule se termine le 7 mars 2025.
  • Loi sur la Sécurité et la Responsabilité des Infrastructures de Santé de 2024 (5218) (HISAA), un projet de loi bipartite introduit par les sénateurs Ron Wyden et Mark Warner. Pour plus d’informations sur ce projet, consultez notre article de blog récent qui résume les principales dispositions de la HISAA.
  • Loi sur la Cybersécurité et la Résilience des Soins de Santé de 2024 (5390), également un projet de loi bipartite, introduit par les sénateurs Bill Cassidy, Mark Warner, John Cornyn et Maggie Hassan. Cette législation vise à moderniser le HIPAA pour mieux aborder les menaces de cybersécurité auxquelles font face les entités de santé, notamment par le développement d’un plan de réponse aux incidents de cybersécurité par le HHS et la création de programmes de formation pour les travailleurs de la santé en collaboration avec l’Agence de cybersécurité et de sécurité des infrastructures (CISA).
  • Loi sur l’Amélioration de la Cybersécurité dans le Secteur de la Santé (R.10455), introduite par la représentante Robin Kelly. Si elle est adoptée, cette loi exigerait que les hôpitaux établissent des normes de cybersécurité de base comme condition de participation au Medicare. Elle prévoirait également l’allocation de 100 millions de dollars en subventions pour les hôpitaux de petite et moyenne taille afin d’améliorer les mesures de cybersécurité et créer une protection en matière de responsabilité pour les systèmes de santé plus grands fournissant aux petites entités d’accès à des ressources de cybersécurité.

À retenir

Les constatations de l’OIG, ainsi que les efforts réglementaires et législatifs bipartisans, montrent que les Entités Concernées et les Associés Commerciaux seront soumis à un contrôle accru de leurs pratiques de cybersécurité. En particulier, le programme d’audit HIPAA de l’OCR pourrait s’élargir en réponse au rapport de l’OIG, avec une attention accrue portée sur l’évaluation des sauvegardes techniques et physiques. De plus, de nouvelles mesures législatives, si elles sont adoptées, imposeront des exigences de cybersécurité plus strictes à l’ensemble du secteur de la santé.

Alors que les organisations se préparent à une éventuelle augmentation de la supervision et des obligations réglementaires, il est essentiel, comme nous l’avons souligné dans notre article précédent, de rappeler le refuge offert par le HITECH qui exige du Secrétaire du HHS qu’il prenne en compte l’adoption de “pratiques de cybersécurité reconnues” par une Entité Réglementée lors de déterminations liées aux amendes, aux audits et aux remèdes de mitigation. Plus que jamais, il est crucial pour les organisations de santé de s’assurer qu’elles ont établi et mis en œuvre un cadre de cybersécurité reconnu. Celles qui n’ont pas encore évalué et documenté efficacement leurs pratiques actuelles, particulièrement en ce qui concerne les sauvegardes techniques et physiques, devraient envisager de le faire.

Bon à savoir

  • La cybersécurité dans le secteur de la santé est devenue une priorité en raison de l’augmentation des cybermenaces.
  • Les audits HIPAA sont essentiels pour évaluer et améliorer la sécurité des données de santé.
  • Les réformes apportées à la réglementation pourraient transformer les exigences de conformité pour les établissements de santé.
  • Un cadre de cybersécurité reconnu est fondamental pour la protection des données de santé.

En somme, alors que le secteur de la santé est confronté à des défis de cybersécurité croissants, il est impératif de réfléchir à la façon dont chaque acteur peut collaborer pour renforcer la sécurité des données, protéger les patients et assurer l’intégrité des systèmes de santé. Quels moyens supplémentaires pourraient être envisagés pour promouvoir une meilleure cybersécurité dans ce secteur critique?


Partager : X Facebook WhatsApp LinkedIn Reddit

By Sandrine Bertrand

Articles de la même catégorie

Dossiers

Le plus audacieux des expérimentations cinématographiques affiche un score métacritique parfait.

Fév 12, 2025
Dossiers

Anne Churchland récompensée par l’Académie nationale des sciences pour ses recherches en neurosciences

Fév 12, 2025
Dossiers

Les écoles de Marietta vont installer un système de détection d’armes par intelligence artificielle !

Fév 12, 2025
One thought on “Nouveautés en Cybersécurité Sanitaire : Bilan 2024 et Perspectives 2025”

  1. La cybersécurité dans la santé est cruciale. Il est essentiel que les organisations adoptent des pratiques solides pour protéger les données des patients et assurer la sécurité des systèmes.

    Reply

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


Ne ratez pas

Streaming

Pirates – Athletics : suivez le match en direct — chaînes TV et options de streaming pour le 16 juin

16 juin 2026
Coupe Du Monde

Étrangers munis de billets pour la Coupe du Monde : pas de caution pour entrer aux États-Unis | N+ Univision États-Unis

16 juin 2026
Tech

Découvrez dès maintenant l’open beta de Mistfall Hunter sur PS5, Xbox et PC !

16 juin 2026
Mobiles

Plin en panne aujourd’hui 15 juin : Les utilisateurs d’Interbank rencontrent des difficultés pour envoyer de l’argent et réaliser des paiements !

16 juin 2026
Des questions ?

Vous pouvez contacter la rédaction à tout moment, pour nous proposer un bon plan ou soumettre une idée, c’est par ici ⬇️

Contactez l’équipe !

Suivez nous sur Google Actualités

Google Actualités
Soutenez Nous en mettant en Favoris

LesNews | 2025 - Tous droits réservés.