Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Le rôle des mots de passe dans la conformité à l’HIPAA
La santé est une cible prioritaire pour les pirates compte tenu de la nature des données et de sa mauvaise gestion des questions de sécurité informatique – se classant au 6e plus mauvais rang des performances de sécurité tous secteurs confondus. Les mots de passe sont la première ligne de défense contre les cyberattaques et des mots de passe mal choisis peuvent déboucher sur des accès non autorisés. La loi HIPAA (Health Insurance Portability and Accountability Act) est conçue pour protéger les institutions et organisations de la santé contre les accès non autorisés.
Bien que les règles de confidentialité HIPAA n’imposent pas d’exigences explicites sur les mots de passe des utilisateurs, l’accent est mis sur le stockage et le contrôle d’accès aux informations de santé électroniques protégées (ePHI). Les sections 164.308(a)(5)(i) et 164.308(a)(5)(ii)(D) recommandent que le plan suivant soit mis en place le cas échéant :
– Un programme de sensibilisation et de formation à la sécurité pour tous les membres de son effectif ;
– Des procédures de création, de modification et de sauvegarde des mots de passe.
Les recommandations de la loi HIPAA peuvent être ambigues, mais les organisations de santé devraient se conformer à l’intégralité de ces règles. Il incombe au service informatique de chaque organisation de déterminer comment les mettre en pratique.
HIPAA et mots de passe
Voici nos recommandations sur la façon d’améliorer la sécurité des mots de passe afin de se conformer aux règles de confidentialité HIPAA :
Création de mot de passe
– Bloquer les mots de passe du dictionnaire. Tant que les utilisateurs continuent d’utiliser des mots de passe communs, les attaques par dictionnaire continueront de fonctionner. Il est important de bloquer les mots de passe courants, les mots de passe spécifiques à vos organisations et les mots de passe corrompus connus. Une liste de mots de passe compromis empêche un utilisateur de choisir un mot de passe piraté.
– Activer les phrases secrètes. La longueur du mot de passe est la défense la plus efficace contre une attaque par force brute. Une phrase de passe est une phrase ou une expression, avec ou sans espaces, généralement de plus de 20 caractères. Les mots qui composent les phrases secrètes doivent être dénués de sens une fois réunis afin de les rendre moins sensibles à l’ingénierie sociale.
– Ignorer la complexité du mot de passe. Si vous avez implémenté ce qui précède, vous pouvez assouplir les exigences de complexité.
Changement de mots de passe
– Expiration du mot de passe. Bien que l’HIPAA ne précise rien à propos de l’expiration du mot de passe, le NIST, le NCSC et Microsoft déconseillent désormais de forcer l’expiration régulière du mot de passe – sans raison. Le seul moment où l’expiration du mot de passe peut minimiser les attaques est lorsque les pirates accèdent à votre réseau via des mots de passe compromis. Une réinitialisation du mot de passe peut alors limiter sa réutilisation par un tiers. Si vous appliquez des mots de passe forts et activez l’authentification multifacteurs, vous n’avez que peu à gagner à exiger l’expiration du mot de passe. Si vous n’avez pas mis en place ces filets de sécurité, continuez à utiliser l’expiration du mot de passe comme moyen de vérifier les mots de passe par rapport aux listes de dictionnaires lorsqu’une nouvelle fuite majeure se produit.
– Réinitialisation du mot de passe. Si les employés adoptent des comportements à haut risque tels que le partage de mots de passe, la publication de mots de passe sur des postes de travail ou si vous soupçonnez qu’un mot de passe a été compromis, forcez un changement de mot de passe immédiatement.
Protection des mots de passe
Sensibiliser les usagers et le personnel soignant. Assurez-vous que tous ceux qui entrent en contact avec PHI adoptent une bonne hygiène des mots de passe comme par exemple : changer les mots de passe par défaut immédiatement après avoir reçu une nouvelle application, ne pas partager ses mots de passe avec qui que ce soit, ne pas réutiliser les mots de passe entre différents systèmes et changer les mots de passe chaque fois qu’ils sont compromis.
Comment Specops Password Policy peut-elle faciliter la conformité à l’HIPAA ?
Specops Password Policy aide les organisations à se conformer aux exigences de l’HIPAA en permettant aux services informatiques de créer des politiques de mot de passe riches, qui améliorent la sécurité des mots de passe dans Active Directory et appliquent ces règles au-delà d’Active Directory. Vous pouvez créer n’importe quelle règle de mot de passe tout en utilisant des fonctionnalités importantes comme le blocage des mots de passe compromis ou l’utilisation de phrases secrètes plutôt que de mots de passe.
(Dernière mise à jour le 19/05/2022)