Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Comment réaliser une évaluation des risques HIPAA

Comment réaliser une évaluation des risques HIPAA

Jan 27, 2022

Le département de la Santé et des Services sociaux des États-Unis (HHS) exige que les entités de soins de santé suivent la loi sur la portabilité et la responsabilité de l'assurance maladie de 1996 (HIPAA). Cette loi oblige les entités de soins de santé à mettre en œuvre des politiques et des procédures pour protéger la confidentialité et la sécurité des informations de santé protégées (PHI) des patients.

Une exigence fondamentale est de réaliser des évaluations des risques. Cet article explique les exigences de l'évaluation des risques HIPAA et offre des conseils sur les étapes à suivre.

Qu'est-ce qu'une évaluation des risques HIPAA ?

HIPAA a deux composants clés :

  • Règle de sécurité HIPAA (45 CFR Partie 160 et Sous-parties A et C de la Partie 164) — Exige des entités couvertes qu'elles protègent les ePHI en utilisant les garanties administratives, physiques et techniques appropriées.
  • Règle de confidentialité (45 CFR Partie 160 et Sous-parties A et E de la Partie 164) — Réglemente qui peut accéder aux informations de santé protégées (PHI), comment elles peuvent être utilisées et quand elles peuvent être divulguées.

Une évaluation des risques de sécurité HIPAA est essentielle pour se conformer à ces deux règlements. Elle vous aide à identifier les risques potentiels et les vulnérabilités pour la confidentialité, la disponibilité et l'intégrité de tous les PHI que votre organisation génère, reçoit, conserve ou transmet, et à mettre en place les contrôles appropriés pour atténuer ces risques.

Téléchargez le guide gratuit :

Mon organisation est-elle obligée de réaliser une évaluation des risques HIPAA ?

Les évaluations des risques HIPAA sont requises pour toute entité couverte qui génère, reçoit, stocke ou transmet des PHI, telles que les centres médicaux et les régimes de santé. Les associés commerciaux, les sous-traitants et les fournisseurs qui interagissent avec des ePHI doivent également réaliser des évaluations des risques HIPAA.

Vous devriez réaliser des évaluations de sécurité HIPAA au moins une fois par an, ainsi que chaque fois que de nouvelles méthodes de travail, technologies ou mises à niveau importantes des systèmes informatiques existants sont introduites.

Les organisations concernées doivent prendre au sérieux l'exigence d'évaluation des risques HIPAA. L'Office for Civil Rights (OCR) peut infliger des amendes de 100 $ à 50 000 $ par violation ou par dossier, jusqu'à un maximum de 1,5 million de dollars par an, pour chaque violation.

Regardez le webinaire :

Quelles sont les étapes d'une évaluation des risques HIPAA ?

HIPAA does not prescribe a specific risk analysis methodology. Instead, organizations routinely refer to standards like NIST 800-30 for guidelines in order to achieve and maintain HIPAA complianceNIST SP 800-30 defines standard risk assessment methodologies for evaluating the efficacy of security controls in information systems.

En général, la réalisation d'une évaluation des risques HIPAA implique les neuf étapes suivantes :

Étape 1 : Déterminez la portée de votre analyse des risques.

Tout d'abord, vous devez déterminer l'étendue de votre analyse des risques. Une analyse des risques HIPAA doit inclure l'ePHI de votre organisation, quelle que soit sa source, son emplacement ou le support électronique utilisé pour le créer, le recevoir, le maintenir ou le transmettre.

De plus, l'analyse doit couvrir tous les risques et vulnérabilités « raisonnables » pour la confidentialité, l'intégrité et la disponibilité de ces ePHI. Par « raisonnables », on entend toutes les menaces pour la HIPAA compliance qui sont prévisibles, y compris les acteurs malveillants externes, les initiés malintentionnés et les erreurs humaines dues à un manque de connaissances ou de formation.

Étape 2 : Collectez des données.

Ensuite, rassemblez des informations complètes et précises sur l'utilisation et la divulgation des ePHI. Vous pouvez faire cela en :

  • Analyse de l'inventaire des projets passés et actuels
  • Réalisation d'entretiens
  • Révision de la documentation
  • En utilisant d'autres techniques de collecte de données selon les besoins

Étape 3 : Identifier les menaces et vulnérabilités potentielles.

Analysez ensuite les menaces et les vulnérabilités pour chaque élément de données réglementées. Incluez toutes les menaces raisonnablement anticipées.

Les menaces identifiées devraient inclure des facteurs uniques à votre environnement de sécurité. Par exemple, si vous utilisez Amazon Web Services (AWS) comme solution cloud, vous devriez identifier les risques de sécurité associés à AWS.

Étape 4 : Évaluez vos mesures de sécurité actuelles.

Documentez les sauvegardes et les mesures que vous avez déjà mises en place pour atténuer les risques pour votre ePHI. Assurez-vous d'inclure les mesures suivantes :

  • Mesures techniques comme le contrôle d'accès, l'authentification, le chiffrement, la déconnexion automatique, l'audit et d'autres contrôles matériels et logiciels.
  • Mesures non techniques, qui sont des contrôles opérationnels et de gestion tels que des politiques, des procédures et des mesures de sécurité physiques ou environnementales.

Analysez la configuration et l'utilisation de chaque mesure de sécurité pour déterminer sa pertinence et son efficacité. Cela vous aidera à réduire les risques associés à chaque mesure de sécurité.

Étape 5 : Déterminez la probabilité d'occurrence de la menace.

Évaluez la probabilité qu'une menace déclenche ou exploite une vulnérabilité spécifique, et évaluez chaque combinaison de menace et de vulnérabilité potentielle. Les stratégies courantes pour exprimer la probabilité d'occurrence incluent l'utilisation de catégories telles que Élevée, Moyenne et Faible, ou l'attribution d'un poids numérique spécifique.

Étape 6 : Déterminez l'impact potentiel de chaque occurrence de menace.

Détaillez les issues possibles de chaque menace de données, telles que :

  • Accès ou divulgation non autorisés
  • Perte permanente ou corruption
  • Perte temporaire ou indisponibilité
  • Perte de flux de trésorerie financier
  • Perte d'actifs physiques

Évaluez et documentez l'impact de chaque résultat. Les mesures peuvent être qualitatives ou quantitatives.

Étape 7 : Identifiez le niveau de risque.

Analysez les valeurs attribuées à la probabilité et à l'impact de chaque menace. Ensuite, attribuez un niveau de risque en fonction de la probabilité et du niveau d'impact assignés.

Étape 8 : Déterminez les mesures de sécurité appropriées et finalisez la documentation.

Identifiez les mesures de sécurité potentielles que vous pourriez utiliser pour réduire chaque risque à un niveau raisonnable. Considérez l'efficacité de la mesure, les exigences réglementaires concernant la mise en œuvre, ainsi que les politiques et procédures organisationnelles. N'oubliez pas de documenter toutes les découvertes.

Étape 9 : Révisez et mettez à jour périodiquement l'évaluation des risques.

Enfin, élaborez une politique décrivant la fréquence à laquelle effectuer des évaluations des risques. Vous devriez en réaliser une au moins annuellement. De plus, vous devriez mettre à jour l'évaluation lorsque quelque chose change, comme les systèmes de sécurité de votre organisation, les niveaux d'autorité et de risque, ou les politiques. Suivez chaque changement dans l'historique des révisions à la fin de l'évaluation.

Conseils pour réussir votre évaluation des risques HIPAA

Les évaluations des risques HIPAA peuvent être difficiles à réaliser, surtout si vous avez une petite équipe et des ressources limitées. Gardez ces conseils en tête lors de la mise en œuvre des évaluations des risques HIPAA :

  • Choisissez une personne de référence pour être responsable de l'évaluation.
  • Comprenez que vous pouvez soit réaliser l'évaluation en interne, soit la sous-traiter à un expert HIPAA. Externaliser l'évaluation peut permettre de terminer plus rapidement les tâches d'analyse et de planification.
  • N'oubliez pas l'objectif de l'évaluation des risques HIPAA. Ce n'est pas un audit — son but est plutôt de vous aider à identifier, prioriser et atténuer les risques.
  • Assurez-vous que votre documentation respecte les normes HIPAA. Enregistrez toutes les procédures et politiques, assurez-vous de leur exactitude et rendez-les disponibles de manière centralisée.
  • N'oubliez pas que vous devez répéter le processus d'évaluation au moins annuellement.
  • Gardez à l'esprit les exigences de notification HIPAA, telles que la règle de notification de violation. Cette règle oblige les organisations à notifier le secrétaire du HHS si une violation affecte 500 personnes ou plus.
  • Fournissez à tous les membres du personnel une formation sur les pratiques de conformité HIPAA et les exigences de notification.

Comment Netwrix peut-il aider ?

Netwrix’s HIPAA compliance software helps you achieve and prove HIPAA compliance. In particular, it enables you to conduct the risk assessments required by HIPAA to protect against cybersecurity threats. For example, HIPAA requires organizations to assess the risks to their information systems and act on the findings, and the Netwrix solution empowers you to examine the configuration of your information systems and identify risks in account management, data governance and security permissions.

Mieux encore, la fonctionnalité HIPAA de la solution Netwrix va bien au-delà des évaluations des risques. De manière cruciale, elle vous permet de détecter les menaces actives à temps pour prévenir les incidents de sécurité, les violations et les perturbations commerciales. De plus, contrairement à de nombreux autres outils d'audit, la solution Netwrix comprend des rapports de conformité préconstruits adaptés aux exigences de HIPAA et d'autres mandats courants, économisant un temps et un effort considérables lors de la préparation à la conformité.

FAQ

Quelle est la différence entre une analyse des risques de sécurité HIPAA et une évaluation de la conformité HIPAA ?

L'évaluation régulière des risques est une exigence du mandat HIPAA. Une évaluation de la conformité HIPAA évalue votre adhésion à toutes les exigences HIPAA.

Quand une évaluation des risques HIPAA est-elle nécessaire ?

Les évaluations des risques HIPAA sont requises pour toute entité qui crée, reçoit, transmet ou stocke des informations de santé protégées (PHI), telles que les régimes de santé et les centres médicaux.

À quelle fréquence devez-vous réviser les évaluations des risques HIPAA ?

Bien que l'HIPAA ne précise pas la fréquence à laquelle vous devez réaliser des évaluations des risques HIPAA, vous devriez effectuer des évaluations HIPAA au moins une fois par an, ainsi que chaque fois que vous introduisez de nouvelles méthodes de travail, mettez à niveau des systèmes informatiques existants ou ajoutez de nouvelles technologies.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Craig Riddell

Field CISO NAM

Craig est un leader primé en sécurité de l'information spécialisé dans la gestion des identités et des accès. Dans son rôle de Field CISO NAM chez Netwrix, il met à profit sa vaste expertise dans la modernisation des solutions d'identité, y compris son expérience avec Privileged Access Management, le privilège zéro permanent et le modèle de sécurité Zero Trust. Avant de rejoindre Netwrix, Craig a occupé des postes de direction chez HP et Trend Micro. Il détient les certifications CISSP et Certified Ethical Hacker.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité