Les nouvelles règles HIPAA renforcent la cybersécurité des données de santé, imposant des exigences techniques et opérationnelles face aux cybermenaces croissantes.
Depuis la dernière mise à jour majeure des règles de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) en 2013, le paysage des cybermenaces a connu une évolution significative. Entre 2018 et 2023, les violations de données de grande ampleur ont bondi de 102 %, touchant plus de 167 millions de personnes en 2023, ce qui représente une augmentation spectaculaire de plus de dix fois par rapport à 2018.
Ces chiffres soulignent l’urgence de réviser les réglementations pour protéger les informations de santé électroniques face aux attaques sophistiquées qui ciblent désormais systématiquement les infrastructures de santé. Le Département de la Santé et des Services Sociaux des États-Unis (HHS) a donc pris des mesures audacieuses pour adapter les règles de sécurité HIPAA aux défis actuels.
Quelles sont les nouvelles mesures proposées pour le secteur de la santé aux Etats-Unis?
Face à la sophistication croissante des cyberattaques, les modifications proposées à la règle de sécurité HIPAA intègrent de nouvelles exigences pour renforcer la résilience du secteur de la santé. Ces mesures, lorsqu’elles seront adoptées, offriront une meilleure protection des données des patients, tout en imposant aux entités couvertes de repenser leurs stratégies de sécurité pour répondre aux attentes réglementaires.
Renforcer les dispositifs techniques de protection
Les amendements proposés introduisent plusieurs exigences techniques pour limiter les risques de cyberattaques. Parmi elles :
- Authentification multifacteur (MFA) : Tous les accès aux systèmes contenant des données de santé électroniques devront être protégés par une authentification forte, ajoutant une couche de sécurité essentielle face aux attaques de type phishing.
- Chiffrement des données : Les informations sensibles devront être cryptées selon des normes robustes, garantissant leur protection même en cas de compromission.
- Segmentation des réseaux : Cette pratique vise à isoler les différentes parties des systèmes d’information pour contenir d’éventuelles intrusions.
Des exigences organisationnelles renforcées pour les acteurs de la santé
Au-delà des aspects techniques, les propositions incluent des obligations opérationnelles qui imposeront des efforts accrus aux entités du secteur. Ces mesures incluent :
- Inventaire régulier des actifs technologiques : Chaque entité devra maintenir une liste à jour des équipements, logiciels et systèmes utilisés pour traiter les données de santé.
- Analyses de risques régulières : Un processus structuré permettra de détecter les vulnérabilités et d’évaluer l’impact potentiel de chaque menace identifiée.
- Plans de continuité et de réponse aux incidents : Les organisations seront tenues de disposer de plans écrits et testés régulièrement, permettant de restaurer leurs systèmes et données dans un délai maximum de 72 heures en cas d’incident.
Un impact majeur pour les acteurs de la santé américains
Ces nouvelles obligations s’appliqueront à un large éventail d’acteurs, incluant les prestataires de soins, les assureurs santé et leurs partenaires commerciaux. Une évolution clé des règles consiste à supprimer la distinction entre les exigences « adressables » et « requises ». Toutes les spécifications devront désormais être mises en œuvre, sauf exception justifiée.
Les entités concernées devront également s’engager dans une documentation complète de leurs politiques, procédures et plans, afin de démontrer leur conformité aux nouvelles normes.
Pour en savoir plus
Le HHS propose un renforcement de la réglementation sur la sécurité HIPAA
La Maison Blanche a approuvé la mise à jour de la règle de sécurité HIPAA proposée par le ministère américain de la Santé et des Services sociaux. Une version préliminaire de l’ avis de proposition de réglementation (NMPR) a été publiée vendredi et devrait être ajoutée au Federal Register le 6 janvier 2025.

Mises à jour proposées au mandat de la règle de sécurité HIPAA pour restaurer la perte de certains systèmes d’information et données électroniques pertinents dans un délai de 72 heures
Le HHS OCR a proposé des mises à jour de la règle de sécurité HIPAA pour renforcer la cybersécurité des informations médicales électroniques protégées (ePHI). Le 27 décembre 2024, le bureau de la santé et des services sociaux du ministère américain de la Santé et des Services sociaux (HHS) a proposé des mises à jour de la règle de sécurité HIPAA pour renforcer la cybersécurité des informations médicales électroniques protégées (ePHI).

Les amendements proposés à la loi HIPAA combleront les lacunes en matière de sécurité des soins de santé
Les modifications apportées à la réglementation sur la confidentialité des soins de santé, y compris les contrôles techniques pour la segmentation du réseau, l’authentification multifactorielle et le cryptage, renforceraient les protections de cybersécurité pour les informations de santé électroniques et répondraient aux menaces évolutives contre les entités de soins de santé.

Les nouvelles règles de cybersécurité HIPAA ne font pas dans la dentelle
Les organisations de soins de santé de toutes formes et de toutes tailles seront tenues de respecter des normes de cybersécurité plus strictes à partir de 2025 avec de nouvelles règles proposées, mais toutes n’ont pas le budget pour cela.

(Re)découvrez également:
53 % des organisations de soins de santé ont payé des rançons, selon le Rapport Microsoft
Le rapport de Microsoft met en lumière les risques croissants des attaques par ransomware dans le secteur de la santé, soulignant la nécessité d’une résilience accrue et d’une coopération collective.

92 % des établissements de santé ont subi au moins une cyberattaque au cours des 12 derniers mois
Le rapport 2024 du Ponemon Institute souligne les cybermenaces dans le secteur de la santé, révélant des impacts importants sur la sécurité des patients et des coûts financiers croissants.
