Qu’est-ce que l’HIPAA ? Tout ce que vous devez savoir pour vous conformer

La Health Insurance Portability and Accountability Act (ou son acronyme HIPAA) est une loi américaine qui est souvent invoquée, mais que peu de gens connaissent vraiment. Dans la plupart des cas, on y fait référence dans un contexte de cybersécurité, puisque plusieurs des conséquences qui y sont énoncées sont en lien avec ce sujet. En fait, seul un des cinq articles de la loi traite de cybersécurité.

Les articles 1, 3, 4 et 5 sont moins souvent mentionnés puisqu’ils se limitent au domaine médical. Ces articles prévoient des directives et des protections particulières pour les employés qui se voient retirer leur couverture d’assurance maladie après avoir perdu leur emploi, permettent des réformes de l’assurance maladie et introduisent des règles fiscales pour les soins de santé.

Bien que ces éléments soient importants, l’article 2 de cette loi a, à elle seule, créé une onde de choc à l’échelle de la planète et contribué au développement d’un tout nouveau sous-ensemble au sein de l’industrie de la sécurité de l’information. Ironiquement nommé « Simplification administrative », cet article de loi a introduit des directives nationales strictes sur la transmission électronique des données de soins de santé et le respect de la confidentialité de ces informations.

Cette loi attire beaucoup l’attention en raison des pénalités et amendes sévères qui sont imposées aux entreprises reconnues coupables d’une infraction et aux pirates informatiques qui tentent de dérober ce type d’information. Le présent article fait la lumière sur les différentes dispositions de la loi relativement à la cybersécurité et présente des moyens de vous conformer à l’HIPAA.

Quels sont les principaux objectifs de l’HIPAA ?

L’article 2 de l’HIPAA est la seule partie de la loi qui s’applique à la cybersécurité. Il est divisé en cinq paragraphes, qui couvrent chacun un élément de la protection des informations du patient.

Norme nationale d’identification des fournisseurs

Chaque entité qui offre des soins de santé, qu’il s’agisse d’un hôpital ou d’un individu, doit avoir un identifiant à 10 chiffres. Cette disposition permet de faciliter la traçabilité et d’éliminer la confusion lors de l’envoi d’information.

Norme relative aux transactions et aux codes

Ce paragraphe précise les normes de sécurité qui doivent être suivies dans toute communication relative aux soins de santé. Elle n’impose pas de type de communication précise, mais spécifie certains niveaux de cryptage, par exemple.

Règles de confidentialité de l’HIPAA

Comme son nom l’implique, c’est dans ce paragraphe qu’on retrouve les directives concernant la confidentialité des informations des patients.

Règles de sécurité de l’HIPAA

Cet ensemble de règles englobe les exigences spécifiques en matière de sécurité de l’information pour toute transmission électronique de l’information.

Règles pour l’application de l’HIPAA

Cette section précise les amendes et les pénalités, ainsi que les directives d’enquête dans le cas d’une infraction.

Quelles sont les infractions à l’HIPAA les plus fréquentes ?

Bon nombre de fournisseurs technologiques spécialisés dans le traitement des données refusent de travailler avec des clients du secteur de la santé. En effet, le processus de mise en conformité à l’HIPAA est perçu comme étant coûteux, strict et ardu. Les quelques entreprises qui décident de se lancer développent souvent un quasi-monopole dans un domaine spécifique. Elles peuvent se vendre comme étant « La version conforme à l’HIPAA » d’outils populaires, comme Google Drive par exemple.

Cette situation s’explique par le fait que les infractions à l’HIPAA sont accompagnées d’une lourde amende gouvernementale (en 2019, une amende moyenne s’élevait à 1,2 million $) et peuvent même s’accompagner d’un séjour en prison dans des cas de violations graves. Devant cette réalité, la gestion d’une entreprise conforme à l’HIPAA peut s’avérer plutôt stressante.

Voici les infractions à l’HIPAA les plus fréquentes :

1. Dossiers non sécurisés

Ce scénario peut résulter d’une mauvaise gestion des données par les employés ou de mesures de sécurité incorrectes de la part de l’organisation. Tous les documents physiques doivent être conservés dans une armoire verrouillée, et les données numériques doivent toujours être cryptées.

2. Piratage

Il est bien connu que les établissements de santé sont des cibles courantes et privilégiées des cyberattaques. Souvent, l’objectif de ces attaques est de voler des informations médicales puisqu’elles sont très détaillées et peuvent donc être revendues à des prix élevés.

3. Divulgation à des tiers

Bien que la plupart des travailleurs du secteur de la santé prennent soin de ne pas divulguer des informations sensibles, certains fournisseurs de technologies peuvent présenter des failles. Personne n’est à l’abri d’une attaque d’hameçonnage ou d’un piratage. Ces situations soulignent l’importance d’offrir une solide formation en sensibilisation à la cybersécurité aux employés.

Dans la plupart des cas, plus d’un acteur est tenu responsable par les dispositions de cette loi. Par exemple, en cas de piratage informatique, la loi est utilisée pour poursuivre les criminels qui ont mené les attaques, mais également pour sanctionner le fournisseur de soins de santé qui n’a pas mis en place des mesures de sécurité appropriées.

Comment se conformer à l’HIPAA ?

Le processus de mise en conformité à l’HIPAA est long, comprend des directives spécifiques et doit être réalisé par l’entremise d’un évaluateur certifié pour être valide. Toutefois, la plupart des directives de conformité sont simplement des bonnes pratiques en matière de cybersécurité qui devraient déjà être en place dans la plupart des entreprises.

Cryptez vos données

Pour certaines organisations, il suffit de sélectionner le bon fournisseur de technologie et d’activer des protocoles précis pour crypter l’ensemble des données. Ce type de protection est souvent suffisante pour neutraliser complètement les cyberattaques, en rendant l’information complètement inutilisable pour les pirates.

Bien qu’il soit possible de décrypter des données, ce processus est beaucoup trop long et difficile pour la plupart des pirates informatiques, qui abandonnent et passent à la victime suivante.

Sauvegardez vos données

De nos jours, il est essentiel d’avoir une politique complète sur la sauvegarde des données. Pour tenir compte de la plupart des situations, les sauvegardes devraient également être réalisées de plusieurs façons, autant numériques que sur des serveurs externes physiques sous votre contrôle. Les attaques de rançongiciel misent souvent sur l’absence de copies de sauvegarde pour inciter les entreprises à payer. Or si vous avez sauvegardé vos données, vous pouvez utiliser une version antérieure et mettre le réseau infecté en quarantaine jusqu’à ce que le virus soit éliminé.

Élaborez une politique détaillée pour la transmission des données

Que vous travailliez dans le secteur de la santé ou non, la plupart des brèches de données résultent d’une formation inadéquate des employés sur les bonnes pratiques de transmission des données. Des mesures simples, comme les formations sur l’hameçonnage et la détection de la fraude, peuvent améliorer considérablement la cybersécurité.

La conformité à l’HIPAA est un processus

Ce n’est pas pour rien que l’HIPAA est une loi aussi stricte. Un traitement inadéquat des renseignements médicaux peut avoir des conséquences catastrophiques sur la vie d’une personne. Toutefois, lorsqu’on examine cette fameuse loi de plus près, on réalise que les directives ne sont pas si complexes.

Plusieurs entreprises pourraient se conformer rapidement aux exigences de l’HIPAA en passant le test de certification. Bien que ces exigences puissent sembler excessives pour certaines organisations, elles ne seront bientôt que le strict minimum.

Les établissements de santé traitent leurs données de cette façon parce qu’ils comprennent leur nature dangereuse. Mais ces façons de faire devraient devenir la norme pour toutes les organisations.