Exigences de mots de passe HIPAA : Meilleures pratiques pour la conformité

La transformation numérique des soins de santé a apporté de nombreux avantages, mais elle a également introduit de nouveaux défis dans la protection des informations des patients. La Health Insurance Portability and Accountability Act (HIPAA) joue un rôle critique pour s’assurer que les données médicales restent sécurisées. L’un des aspects les plus fondamentaux de cette sécurité concerne les exigences de mots de passe HIPAA et la gestion des mots de passe. Si vous cherchez un aperçu plus général de HIPAA, consultez notre guide pour naviguer dans les exigences de cybersécurité HIPAA ici.

Ce blog se concentrera sur les mots de passe ; l’une des voies d’attaque les plus facilement exploitées privilégiées par les cybercriminels. Nous passerons en revue les meilleures pratiques pour créer et maintenir des mots de passe robustes, les avantages de l’authentification multifacteur, et comment s’assurer que vos politiques de mots de passe sont entièrement conformes aux réglementations HIPAA.

Que vous soyez un prestataire de soins de santé, un associé commercial, ou simplement curieux de la cybersécurité dans le domaine de la santé, ce guide vous fournira les connaissances essentielles pour protéger les données sensibles des patients.

Règles et directives HIPAA sur les mots de passe

Les mesures de protection administratives et techniques de HIPAA décrivent les meilleures pratiques, processus et procédures pour s’assurer que les données d’informations de santé personnelles électroniques ePHI sont sécurisées. Elles abordent également explicitement les identifiants et la sécurité des mots de passe dans le cadre des recommandations.

Mesures de protection administratives

Dans les mesures de protection administratives, il y a plusieurs sections qui traitent directement des mots de passe : Sensibilisation et formation à la sécurité (Surveillance des connexions et Gestion des mots de passe), et Procédures d’incidents de sécurité (Réponse et signalement) :

• Dans le cadre de la Surveillance des connexions, les organisations de santé devraient capturer les tentatives de connexion infructueuses. L’application de verrouillages, ou inciter l’utilisateur final à réinitialiser son mot de passe après plusieurs tentatives échouées, peut sensibiliser le personnel aux tentatives de connexion inappropriées
• La Gestion des mots de passe permet aux utilisateurs de prendre les précautions appropriées pour sécuriser les mots de passe. Cela peut inclure une formation sur la création de mots de passe sécurisés et comment les mémoriser avec succès
• La Réponse et signalement décrit les incidents de sécurité courants et recommande les politiques et procédures nécessaires pour les traiter. Les mots de passe volés sont listés comme un incident de sécurité possible.

Mesures de protection techniques

Les mesures de protection techniques HIPAA décrivent des recommandations supplémentaires sur les mots de passe dans les sections suivantes : Contrôle d’accès (Déconnexion automatique) et Authentification de personne ou d’entité.

• Pour prévenir l’accès non autorisé, appliquez la Déconnexion automatique en exigeant un mot de passe après une période d’inactivité du système
• La norme Authentification de personne ou d’entité n’a pas de spécification d’implémentation. Elle exige simplement l’utilisation d’un secret connu seulement de l’utilisateur (un mot de passe), et encourage des méthodes d’authentification supplémentaires telles que l’authentification à deux facteurs pour une sécurité renforcée
• Il existe également certaines normes de chiffrement des soins de santé que les organisations sont encouragées à suivre

Comment puis-je savoir si mon organisation respecte les normes de sécurité des mots de passe HIPAA ?

Les directives ci-dessus exigent que les administrateurs système aient une visibilité et des contrôles techniques pour la sécurité des mots de passe dans l’environnement. De nombreuses organisations de santé utilisent Microsoft Active Directory pour la gestion des identités et des accès. Active Directory est une plateforme robuste. Cependant, elle a des capacités intégrées limitées en termes de sécurité des mots de passe.

Alors, comment les administrateurs système peuvent-ils avoir une visibilité sur les mots de passe faibles, dangereux et même compromis dans leur environnement Active Directory ? La chose la plus simple à faire est d’effectuer un audit de votre Active Directory. Specops Password Auditor est un outil en lecture seule qui scanne votre Active Directory et génère un rapport interactif. Le rapport détaillera toutes les vulnérabilités liées aux mots de passe trouvées et vous indiquera même si votre politique est conforme à HIPAA. Téléchargez gratuitement ici.

Scannez votre Active Directory pour 1 milliard de mots de passe compromis connus

Conseils pratiques pour la conformité des mots de passe HIPAA

Bien que HIPAA ne liste pas de spécificités concernant les exigences de mots de passe, les organisations peuvent utiliser les meilleures pratiques de cybersécurité standard publiées par d’autres entités fédérales telles que le National Institute of Standards and Technology (NIST). NIST fournit un cadre de meilleures pratiques de cybersécurité, incluant des recommandations concernant les exigences de mots de passe NIST. Nous passerons en revue quelques contrôles de bon sens à mettre en place dans cette section.

Création de mots de passe

• Bloquez les mots de passe faibles. Si les utilisateurs finaux sont autorisés à choisir des mots de passe faibles et facilement devinables, ils seront vulnérables aux techniques de force brute et aux attaques par dictionnaire. Il est également important de bloquer les mots de passe spécifiques à votre propre organisation et à l’industrie de la santé en créant un dictionnaire personnalisé de mots de passe bloqués.
• Encouragez les phrases de passe. La longueur du mot de passe est la défense la plus efficace contre une attaque par force brute. Une phrase de passe est généralement composée de trois mots aléatoires, créant typiquement une phrase de 20 caractères ou plus. Ces phrases sont beaucoup plus faciles à retenir pour les utilisateurs finaux qu’une chaîne de caractères aléatoires. Vous pouvez trouver un guide complet sur le déploiement de phrases de passe à vos utilisateurs ici.

Changement de mots de passe

• Expiration des mots de passe. Bien que HIPAA ne spécifie pas l’expiration des mots de passe, NIST, NCSC et Microsoft conseillent maintenant de ne pas forcer l’expiration régulière des mots de passe sans raison. Le seul moment où l’expiration des mots de passe peut minimiser les attaques est lorsque les pirates accèdent à votre réseau par des mots de passe compromis. Donc, bien que l’expiration puisse aider à réinitialiser un mot de passe compromis, il est plus important de pouvoir vérifier continuellement votre Active Directory pour les mots de passe compromis.
• Réinitialisations de mots de passe. Si vous permettez aux utilisateurs finaux de réinitialiser leurs propres mots de passe, il est important d’avoir une solution en place qui les vérifie par authentification multifacteur.

Protection des mots de passe

• Éduquez les utilisateurs et le personnel de santé. Assurez-vous que tous ceux qui entrent en contact avec les ePHI apprennent une bonne hygiène des mots de passe comme changer les mots de passe par défaut immédiatement après avoir été assigné une nouvelle application, ne pas réutiliser les mots de passe entre différents systèmes, et ne pas partager les mots de passe avec quiconque. Vous pouvez trouver un guide complet sur comment prévenir le partage de mots de passe dans un environnement de santé ici.

Que dit HIPAA sur les gestionnaires de mots de passe d’entreprise ?

Pour simplifier la gestion des mots de passe pour les utilisateurs et améliorer la sécurité des mots de passe, les entreprises se tournent de plus en plus vers les gestionnaires de mots de passe d’entreprise. Mais les gestionnaires de mots de passe sont-ils conformes à HIPAA ? Bien que les gestionnaires de mots de passe puissent protéger les connexions pour les systèmes qui stockent des ePHI, ils ne stockent pas eux-mêmes d’ePHI. Cela signifie qu’ils ne peuvent pas être classés comme conformes à HIPAA, bien que beaucoup puissent trouver leur utilisation comme une protection de bon sens pour les comptes ayant accès aux ePHI.

Les gestionnaires de mots de passe aident à s’assurer que les utilisateurs finaux choisissent et utilisent des mots de passe plus forts pour tous les services tiers qui peuvent faire partie de l’entreprise. Mais ils ne suffisent pas nécessairement à satisfaire les exigences HIPAA et renforcer la sécurité. En plus de sécuriser la configuration du gestionnaire de mots de passe avec l’authentification à deux facteurs et des mots de passe maîtres forts, d’autres pratiques, politiques et outils doivent être utilisés pour appliquer des mots de passe forts dans tous les domaines.

Obtenez la conformité HIPAA avec la politique de mots de passe Specops

Specops Password Policy vous permet de réduire considérablement la surface d’attaque de votre organisation grâce à une interface simple qui s’intègre facilement avec Active Directory. Les administrateurs peuvent empêcher les utilisateurs finaux de créer des mots de passe faibles et scanner continuellement les mots de passe qui ont été compromis par des violations de données ou la réutilisation de mots de passe. Essayez Specops Password Policy gratuitement.

Bloquez continuellement plus de 4 milliards de mots de passe compromis dans votre Active Directory

Découvrez comment