La proposition du HHS augmenterait la charge de sécurité des prestataires de soins de santé : ©Onephoto -stock.adobe.com

Le ministère de la Santé et des Services sociaux (HHS) propose de nouvelles règles visant à renforcer les protections en matière de cybersécurité dans le système de santé, ce qui impliquerait la conformité de la majorité des prestataires. Cette proposition, élaborée par le Bureau des droits civils, vise à modifier la loi HIPAA pour améliorer la protection des informations de santé protégées (PHI).

Les modifications envisagées exigeraient que les régimes de santé, les organismes de traitement des soins de santé, ainsi que la plupart des prestataires et leurs partenaires commerciaux mettent en place des protections renforcées pour les PHI électroniques. Cela inclurait l’établissement de politiques et de procédures par écrit, leur révision, leur test et leur actualisation régulière, en alignant davantage les normes sur les meilleures pratiques contemporaines en matière de cybersécurité. Voici quelques-unes des propositions et clarifications :

  • Supprimer la distinction entre les spécifications d’implémentation « requises » et « adaptables » et rendre toutes les spécifications « requises » avec des exceptions spécifiques et limitées.
  • Exiger une documentation écrite de toutes les politiques, procédures, plans et analyses relatives à la règle de sécurité.
  • Mettre à jour les définitions et réviser les spécifications d’implémentation afin de refléter les évolutions technologiques et terminologiques.
  • Ajouter des délais spécifiques pour la conformité à de nombreuses exigences existantes.
  • Exiger le développement et la révision d’un inventaire des actifs technologiques et d’une carte réseau décrivant le mouvement des PHI électroniques au sein des systèmes d’information électroniques de l’entité régulée, au moins une fois tous les 12 mois ou en réponse à tout changement dans l’environnement ou les opérations de l’entité régulée pouvant affecter les PHI électroniques.
  • Exiger une plus grande précision dans la réalisation d’une analyse de risque. De nouvelles exigences explicites incluraient une évaluation écrite comprenant, entre autres :
  1. Une revue de l’inventaire des actifs technologiques et de la carte réseau.
  2. L’identification de toutes les menaces raisonnablement anticipées pour la confidentialité, l’intégrité et la disponibilité des PHI électroniques.
  3. L’identification des vulnérabilités potentielles et des conditions prédisposantes liées aux systèmes d’information électroniques pertinents de l’entité régulée.
  4. Une évaluation du niveau de risque associé à chaque menace et vulnérabilité identifiée, en fonction de la probabilité que chaque menace exploitera les vulnérabilités identifiées.
  • Exiger la notification de certaines entités régulées dans les 24 heures lors d’un changement ou d’une suspension de l’accès d’un membre du personnel aux PHI électroniques ou à certains systèmes d’information électroniques.
  • Renforcer les exigences en matière de planification des contongences et de réponse aux incidents de sécurité. Plus précisément, les entités régulées seraient tenues de, par exemple :
  1. Établir des procédures écrites pour restaurer la perte de certains systèmes d’information électroniques et données pertinents dans les 72 heures.
  2. Effectuer une analyse de la criticité relative de leurs systèmes d’information électroniques et actifs technologiques pour déterminer l’ordre de priorité pour leur restauration.
  3. Établir des plans et procédures de réponse aux incidents de sécurité qui documentent comment les membres du personnel doivent signaler les incidents de sécurité suspects ou connus, et comment l’entité régulée réagira à ces incidents.
  4. Mettre en œuvre des procédures écrites pour tester et réviser les plans de réponse aux incidents de sécurité.
  • Exiger des entités régulées de réaliser un audit de conformité au moins une fois tous les 12 mois pour vérifier leur respect des exigences de la règle de sécurité.
  • Exiger que les partenaires commerciaux vérifient au moins une fois tous les 12 mois que les entités couvertes ont déployé les protections techniques requises par la règle de sécurité pour protéger les PHI électroniques par une analyse écrite des systèmes d’information électroniques pertinents effectuée par un expert en la matière, accompagnée d’une certification que l’analyse a été réalisée et est précise.
  • Exiger des entités régulées qu’elles établissent et déploient des contrôles techniques pour configurer les systèmes d’information électroniques pertinents, y compris les postes de travail, de manière uniforme. De nouvelles exigences explicites incluraient :
  1. Le déploiement de protections anti-malware.
  2. La suppression des logiciels superflus des systèmes d’information électroniques pertinents.
  3. La désactivation des ports réseau en fonction de l’analyse de risque de l’entité régulée.
  • Exiger l’utilisation de l’authentification à plusieurs facteurs, avec des exceptions limitées.
  • Exiger des scans de vulnérabilité au moins tous les six mois et des tests d’intrusion au moins une fois par an.
  • Exiger des contrôles techniques distincts pour la sauvegarde et la récupération des PHI électroniques et des systèmes d’information électroniques pertinents.
  • Exiger des entités régulées de revoir et de tester l’efficacité de certaines mesures de sécurité au moins une fois par an, en remplacement de l’exigence générale actuelle de maintien des mesures de sécurité.
  • Exiger des partenaires commerciaux d’informer les entités couvertes (et les sous-traitants d’informer les partenaires commerciaux) lors de l’activation de leurs plans de contingence sans retard injustifié, mais au plus tard 24 heures après cette activation.

Faire face à la menace croissante

La Secrétaire adjointe Andrea Palm a souligné l’urgence de cette initiative, citant la fréquence et la sophistication croissantes des cyberattaques. “Ces attaques mettent en péril les patients en exposant les vulnérabilités de notre système de santé, dégradant la confiance des patients, perturbant les soins aux patients, détournant ces derniers et retardant les procédures médicales”, a déclaré Palm dans un communiqué. “Cette proposition est une étape essentielle pour garantir que les prestataires de soins de santé, les patients et les communautés soient non seulement mieux préparés à faire face à une cyberattaque, mais également plus sécurisés et résilients.”

Les données de l’OCR montrent qu’entre 2018 et 2023, les rapports de violations importantes ont augmenté de 102 %, tandis que le nombre d’individus affectés a explosé de 1002 %. En 2023, plus de 167 millions d’individus ont été impactés par des violations, établissant un nouveau record. Cette tendance est principalement alimentée par le piratage et les ransomwares, qui ont respectivement augmenté de 89 % et 102 % depuis 2019.

Les responsables du HHS ont déclaré que tant que les modifications proposées sont à l’étude, la règle de sécurité actuelle de la HIPAA reste en vigueur, et les entités sont encouragées à maintenir leur conformité.

Les commentaires du public sur la proposition seront acceptés jusqu’au 7 mars via le registre fédéral.

Bon à savoir

  • Une sensibilisation accrue à la cybersécurité peut contribuer à une meilleure conformité des prestataires de soins de santé.
  • Les cyberattaques dans le secteur de la santé ont des répercussions substantielles, non seulement sur la sécurité des informations, mais aussi sur les soins aux patients.
  • Les ajustements réglementaires peuvent encourager une culture de la sécurité au sein des établissements de santé.

Les réflexions autour de la cyber sécurité dans le domaine médical soulèvent des questions cruciales sur l’équilibre entre la protection des données personnelles des patients et l’innovation technologique. Alors que la nécessité de sécuriser les informations sensibles devient de plus en plus pressante, il est intéressant de se demander comment les prestataires de soins peuvent allier sécurité et efficacité dans leurs opérations quotidiennes.



  • Source image(s) : www.medicaleconomics.com
  • Source : https://www.medicaleconomics.com/view/hhs-proposes-rule-to-strengthen-cybersecurity-in-u-s-health-care-sector


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *