Un mot de passe est compromis lorsqu'il est divulgué lors d'une violation de données et mis à disposition sur le dark Web, ce qui permet à
La loi américaine HIPAA (Health Insurance Portability and Accountability Act) a été créée pour établir des normes nationales de confidentialité et de sécurité. Elle vise à protéger la confidentialité des informations sur la santé des patients et à prévenir les violations de données. Toutes les entreprises liées à la santé, notamment les compagnies d’assurance maladie et les associés commerciaux, sont soumises à la réglementation HIPAA et doivent donc se conformer à ses exigences.
La section de l’HIPAA portant sur la sensibilisation et la formation à la sécurité précise que les entreprises sont tenues de disposer de « procédures pour créer, modifier et sécuriser les mots de passe ». Un gestionnaire de mots de passe permet de garantir que votre entreprise est conforme à la loi HIPAA en générant des mots de passe forts et en les stockant de manière sécurisée dans un coffre-fort chiffré.
Lisez la suite pour découvrir les exigences de l’HIPAA en matière de mots de passe et comment un gestionnaire de mots de passe peut vous permettre d’y répondre.
Exigences de l’HIPAA en matière de mots de passe
L’HIPAA n’impose pas d’utiliser un gestionnaire de mots de passe, mais elle exige que la gestion des mots de passe soit incluse dans votre plan de mise en conformité avec la loi. Voici les pratiques de sécurité des identifiants qui s’alignent sur les directives du NIST (National Institute of Standards and Technology) relatives aux exigences de l’HIPAA en matière de mots de passe.
- Complexité des mots de passe : l’HIPAA n’a pas d’exigences spécifiques en ce qui concerne la complexité des mots de passe. Toutefois, le NIST préconise que les employés comprennent comment créer des mots de passe forts et uniques et comment les sécuriser.
- Rotation des mots de passe : L’HIPPA n’exige actuellement pas de changement des mots de passe, et le NIST déconseille aux employés de changer régulièrement leurs mots de passe. Le NIST recommande toutefois de modifier immédiatement les mots de passe s’ils ont été compromis.
- Authentification multifacteur (MFA) : le NIST recommande d’activer la MFA chaque fois qu’elle est disponible.
- Partage de mots de passe : l’HIPAA ne traite pas spécifiquement du partage de mots de passe, mais le NIST recommande vivement d’interdire aux utilisateurs de partager les mots de passe des systèmes et des données qui contiennent des informations de santé protégées (ePHI) stockées électroniquement.
- Surveillance et journalisation : les administrateurs informatiques doivent surveiller l’activité de connexion des utilisateurs pour s’assurer qu’ils ne tentent pas d’accéder à des dossiers ou à des systèmes qui ne sont pas liés à leurs fonctions.
- Départ : les entreprises doivent mettre en place des procédures de départ pour pouvoir désactiver immédiatement les mots de passe et l’accès des utilisateurs aux renseignements personnels sur la santé lorsque ceux-ci quittent l’entreprise ou changent de poste. Le NIST recommande de mettre en place des procédures différentes pour les employés qui partent volontairement et pour ceux qui sont licenciés.
Les avantages d’utiliser un gestionnaire de mots de passe pour se conformer à l’HIPAA
Il existe quelques avantages à utiliser un gestionnaire de mots de passe pour se conformer à l’HIPAA.
Créer des mots de passe forts
De nombreuses personnes ont des difficultés à créer des mots de passe forts pour différents comptes. Ce problème conduit souvent les gens à utiliser des mots de passe faibles, que les cybercriminels peuvent facilement deviner. Ou alors, les utilisateurs réutilisent leurs mots de passe pour plusieurs comptes. Ainsi, si un seul compte est victime d’une violation, plusieurs comptes risquent d’être compromis. Les gestionnaires de mots de passe permettent de créer facilement des mots de passe forts. Les utilisateurs n’auront donc plus à s’inquiéter de devoir le faire eux-mêmes. De plus, les entreprises peuvent s’assurer que chacun de leurs employés utilise des mots de passe robustes pour protéger leurs comptes et les données sensibles.
Authentification multifacteur
Il peut être difficile de s’assurer que les utilisateurs activent la MFA pour chaque compte où elle est disponible. Et bien qu’elle soit requise pour assurer la conformité à la loi HIPAA, de nombreux utilisateurs ne l’activent toujours pas. Un gestionnaire de mots de passe permet aux administrateurs informatiques d’imposer l’utilisation de la MFA pour chaque compte. Certains gestionnaires de mots de passe comme Keeper® peuvent également stocker les codes MFA dans leur coffre-fort numérique sécurisé, ce qui simplifie le processus de connexion aux sites et aux systèmes qui ont activé la MFA.
Contrôles d’accès basés sur les rôles (RBAC)
Certains des meilleurs gestionnaires de mots de passe permettent aux administrateurs informatiques de mettre en place et d’appliquer des contrôles d’accès basés sur les rôles. Le RBAC permet aux administrateurs informatiques d’ajuster facilement les niveaux d’accès et de désactiver les comptes si les utilisateurs quittent l’entreprise ou changent de poste. Le RBAC permet de renforcer la sécurité, de répondre aux exigences de conformité de l’HIPAA, et de réduire les coûts et les frais administratifs.
Stockage sécurisé
Les meilleurs gestionnaires de mots de passe peuvent stocker bien plus que des mots de passe, notamment des clés d’accès, des fichiers et des documents. Tout ce qui est stocké dans un gestionnaire de mots de passe Zero-Knowledge est chiffré au repos et en transit pour garantir que seuls les utilisateurs autorisés peuvent y accéder. Cela permet d’éviter que les données ne tombent entre les mains de cybercriminels et de répondre aux exigences de conformité de l’HIPAA, qui consiste à n’accorder un accès qu’aux personnes disposant des droits appropriés.
Que rechercher dans un gestionnaire de mots de passe
Tous les gestionnaires de mot de passe ne sont pas égaux. Votre entreprise doit rechercher les fonctionnalités suivantes dans un gestionnaire de mots de passe conforme à la loi HIPAA.
Chiffrement fort
La puissance d’un gestionnaire de mots de passe dépend du chiffrement qu’il propose. Le gestionnaire de mots de passe que vous choisissez pour protéger votre entreprise doit être à la fois Zero Trust et Zero Knowledge. Il doit garantir que seules les personnes autorisées ont les moyens d’accéder au coffre-fort du gestionnaire de mots de passe et que le chiffrement et le déchiffrement s’effectuent toujours en local, sur l’appareil de l’utilisateur. Le gestionnaire de mots de passe doit également protéger les données grâce au chiffrement AES 256 bits et à la cryptographie à courbe elliptique (ECC), qui est considérée comme le chiffrement le plus robuste dans le secteur de la cybersécurité.
Prise en charge de la 2FA
Le gestionnaire de mots de passe que vous choisissez doit également prendre en charge l’authentification à deux facteurs (2FA). Activer la 2FA sur le compte de votre gestionnaire de mots de passe garantit qu’il est protégé par une couche de sécurité supplémentaire pour empêcher tout accès non autorisé. Le gestionnaire de mots de passe doit proposer les options 2FA suivantes :
- Authentification SSO
- Clés de sécurité matérielles FIDO2 WebAuthn
- Clés d’accès
- Authentification biométrique (par exemple, FaceID, Touch ID, Windows Hello)
L’approvisionnement automatique des e-mails
Grâce au provisionnement automatique des e-mails, il est possible de fournir des coffres-forts de mots de passe à des milliers d’utilisateurs en faisant correspondre le domaine aux adresses e-mail. Les grandes entreprises peuvent ainsi facilement déployer le gestionnaire de mots de passe pour leurs employés.
Choisissez Keeper comme gestionnaire de mots de passe conforme à la loi HIPAA
Avec un gestionnaire de mots de passe comme Keeper, votre entreprise peut respecter les exigences de l’HIPAA en matière de mots de passe. Il permet en effet de générer des mots de passe robustes, d’appliquer et d’activer la MFA, de mettre en œuvre des contrôles d’accès basés sur les rôles et de fournir un stockage sécurisé. Keeper n’ayant jamais accès aux données des utilisateurs, il n’est pas nécessaire de conclure un accord d’association commerciale (BAA) pour se conformer à la loi HIPAA.
Envie de protéger votre entreprise de santé contre les violations de données liées aux mots de passe et de garantir la conformité à l’HIPAA ? Commencez dès aujourd’hui un essai professionnel gratuit de 14 jours de Keeper.