PG Software - Votre distributeur IT

Blog

ad360 blog dec 2021

Depuis le début de la pandémie, on constate une augmentation du volume des données sensibles des patients stockées et traitées par les établissements de santé. Les antécédents médicaux d'un patient, y compris l'ensemble des traitements, procédures, prescriptions, tests de laboratoire et rapports de scanner, sont stockés sous la forme de dossiers de santé électroniques (DSE). Même si les DSE réduisent le nombre d'erreurs dans les rapports des patients et aident les médecins à suivre les données de santé des patients, leur manipulation peut avoir des conséquences désastreuses. Il incombe donc à l'administrateur informatique de sécuriser les données et la vie privée des patients.

Pour garantir l'intégrité des informations de santé protégées (PHI), l'intégration de ces trois stratégies assurera la conformité aux réglementations relatives à la confidentialité et à la sécurité des informations médicales, notamment HIPAA et HITRUST.

1) Surveiller l'accès aux serveurs de fichiers contenant des PHI

Les DSE contiennent des renseignements médicaux personnels, ce qui en fait une cible lucrative pour les cybercriminels. Les serveurs contenant les DSE doivent être surveillés de près pour repérer les accès, les modifications et les mouvements de fichiers non autorisés afin de préserver l'intégrité des données. Les établissements de santé doivent veiller à ce que les informations sensibles de ce type ne soient accessibles qu'au personnel médical autorisé et aux patients eux-mêmes.

2) Administrer des stratégies de mot de passe détaillées et implémenter la MFA

Comme la plupart des établissements de santé s'appuient fortement sur les mots de passe pour sécuriser l'accès à leurs ePHI, les pirates n'ont besoin que d'une seule identité compromise pour pénétrer dans le réseau d'une entreprise. Le défi consiste à s'assurer que les médecins et les autres membres du personnel médical utilisent des mots de passe forts pour sécuriser leurs comptes. Appliquez l'authentification multifacteur (MFA) pour différents utilisateurs, tels que les infirmières, les résidents, les médecins, le personnel d'accueil et autres, en fonction du domaine, de l'OU et de l'appartenance à un groupe, tout en garantissant une expérience de connexion transparente.

3) Atténuer l'abus de privilèges et les menaces internes

Les utilisateurs privilégiés qui contrôlent votre environnement Active Directory (AD), les GPO et les serveurs présentent des risques d'abus de privilèges et de menaces internes. Pour une sécurité efficace, un environnement ZeroTrust doit être mis en place afin de tenir à distance les menaces internes. Attribuez uniquement le niveau d'accès requis aux informations de santé d'un patient aux médecins, aux infirmières, aux responsables de l'assurance maladie et aux autres personnes qui sont directement responsables de ce patient.

Pour mettre en œuvre ces trois stratégies, vous avez besoin d'une solution complète de gestion des identités et des accès (IAM), comme ManageEngine AD360. AD360 est une suite IAM intégrée qui peut gérer et protéger vos environnements Windows AD, Exchange Server et Microsoft 365 et prendre en charge vos exigences de conformité.

Avec AD360, vous pouvez :

  • Suivre en temps réel qui a modifié quel fichier ou dossier, à quel moment et à partir de quel endroit, sur les systèmes de fichiers Windows, NetApp, EMC, Synology, Huawei et Hitachi qui contiennent des PHI.
  • Détecter les périphériques USB branchés sur les systèmes, recevoir des alertes lorsque des fichiers y sont copiés, et déjouer l'exfiltration de PHI.
  • Appliquer des stratégies de mot de passe affinées et une MFA pour les utilisateurs privilégiés qui ont accès aux PHI.
  • Combattre les menaces internes en tirant parti de l'analyse du comportement des utilisateurs, qui signale les écarts par rapport au comportement normal d'un utilisateur. Réagissez instantanément à ces écarts en configurant des actions automatiques à exécuter, telles que l'exécution de scripts ou de fichiers batch.
  • Identifier et recevoir des alertes sur les signes révélateurs d'abus de privilèges, tels que des volumes anormalement élevés de modifications de fichiers et de tentatives d'accès à des fichiers critiques.
  • Prouver la conformité HIPAA avec plus de 200 rapports préconfigurés pour visualiser les modifications apportées au système, suivre les actions des utilisateurs, accéder aux logs de données et modifier les données.

Badri Narayanan
Product Consultant