Autres conseils en matière de protection
Microsoft Entra ID répond aux pratiques d’identité requises pour l’implémentation des protections HIPAA (Health Insurance Portability and Accountability Act of 1996). Pour être conforme à HIPAA, il incombe aux entreprises de mettre en œuvre les garanties à l’aide de ces conseils ainsi que de toutes les autres configurations ou processus nécessaires. Cet article contient des conseils pour atteindre la conformité HIPAA pour les trois contrôles suivants :
- Protection de l’intégrité
- Protection de l’authentification de personne ou d’entité
- Protection de la sécurité des transmissions
Aide à la protection de l’intégrité
Microsoft Entra ID répond aux pratiques d’identité requises pour l’implémentation de protections HIPAA. Pour être conforme à la loi HIPAA, il convient de mettre en œuvre les mesures de protection à l’aide de ces conseils, ainsi que toute autre configuration ou procédure nécessaire.
Pour la protection contre la modification des données :
Protégez les fichiers et les e-mails sur plusieurs appareils.
Découvrez et classifiez les données sensibles.
Chiffrez les documents et les e-mails qui contiennent des données sensibles ou personnelles.
Le contenu suivant fournit les conseils d’HIPAA suivis d’un tableau contenant les recommandations et les conseils de Microsoft.
HIPAA : intégrité
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Recommandation | Action |
|---|---|
| Activer Protection de l’information (IP) Microsoft Purview | Découvrez, classifiez, protégez et gérez les données sensibles, qu’elles soient stockées ou transmises. Protéger vos données grâce à Protection de l’information Microsoft Purview permet de déterminer le paysage des données, d’examiner le cadre et de prendre des mesures actives pour identifier et protéger vos données. |
| Configurer Conservation inaltérable | Exchange Online fournit plusieurs paramètres pour prendre en charge eDiscovery. Conservation inaltérable utilise des paramètres spécifiques sur les éléments qui doivent être conservés. La matrice de décision peut être basée sur des mots clés, des expéditeurs, des reçus et des dates. Les solutions Microsoft Purview eDiscovery font partie du portail de conformité Microsoft Purview et couvrent toutes les sources de données Microsoft 365. |
| Configurer l’extension de messagerie Internet sécurisée/polyvalente sur Exchange Online | S/MIME est un protocole utilisé pour envoyer des messages signés numériquement et chiffrés. Il est basé sur le couplage de clés asymétriques, une clé publique et privée. Exchange Online assure le chiffrement et la protection du contenu de l’e-mail et des signatures qui vérifient l’identité de l’expéditeur. |
| Activez la surveillance et la journalisation. | La journalisation et la surveillance sont essentielles à la sécurisation d’un environnement. Les informations sont utilisées pour soutenir les enquêtes et aider à détecter les menaces potentielles en identifiant des modèles inhabituels. Activez la journalisation et la surveillance des services pour réduire le risque d’accès non autorisé. L’audit Microsoft Purview fournit une visibilité sur les activités auditées entre les services dans Microsoft 365. Il facilite les investigations en augmentant la rétention des journaux d’audit. |
Conseils sur la protection de l’authentification des personnes ou des entités
Microsoft Entra ID répond aux pratiques d’identité requises pour l’implémentation de protections HIPAA. Pour être conforme à la loi HIPAA, il convient de mettre en œuvre les mesures de protection à l’aide de ces conseils, ainsi que toute autre configuration ou procédure nécessaire.
Pour l’audit et la protection des personnes et des entités :
Vérifiez que la revendication de l’utilisateur final est valide pour l’accès aux données.
Identifiez et atténuez les risques liés aux données stockées.
Le contenu suivant fournit les conseils d’HIPAA suivis d’un tableau contenant les recommandations et les conseils de Microsoft.
HIPAA : authentification de personne ou d’entité
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Assurez-vous que les utilisateurs et les appareils qui accèdent aux données ePHI sont autorisés. Vous devez vous assurer que les appareils sont conformes et que les actions sont auditées pour signaler les risques aux propriétaires de données.
| Recommandation | Action |
|---|---|
| Activer l’authentification multifacteur | L’authentification multifacteur Microsoft Entra protège les identités en ajoutant une couche de sécurité supplémentaire. La couche supplémentaire fournit un moyen efficace d’empêcher l’accès non autorisé. L’authentification multifacteur permet de valider davantage les informations de connexion pendant le processus d’authentification. La configuration de l’application Authenticator offre une vérification en un clic. Vous pouvez aussi définir une Configuration sans mot de passe Microsoft Entra. |
| Activer des stratégies d’accès conditionnel | Les stratégies d’accès conditionnel permettent de restreindre l’accès aux applications approuvées uniquement. Microsoft Entra analyse les signaux provenant de l’utilisateur, de l’appareil ou de l’emplacement pour automatiser les décisions et appliquer des stratégies organisationnelles pour l’accès aux ressources et aux données. |
| Configurer une stratégie d’accès conditionnel basée sur les appareils | L’accès conditionnel avec Microsoft Intune pour la gestion des appareils et les stratégies Microsoft Entra peuvent utiliser l’état d’appareil pour accorder ou refuser l’accès à vos services et données. En déployant des stratégies de conformité des appareils, il détermine s’il répond aux exigences de sécurité pour décider d’autoriser ou de refuser l’accès aux ressources. |
| Utilisation du contrôle d’accès en fonction du rôle (RBAC) | Le contrôle d’accès en fonction du rôle (RBAC) dans Microsoft Entra ID assure la sécurité au niveau de l’entreprise, avec la séparation des tâches. Ajustez et examinez les autorisations pour protéger la confidentialité, la vie privée et la gestion des accès aux ressources et aux données sensibles avec les systèmes. Microsoft Entra ID prend en charge les rôles intégrés, qui sont un ensemble fixe d’autorisations qui ne peut pas être modifié. Vous pouvez également créer vos propres rôles personnalisés pour lesquels vous pouvez ajouter une liste prédéfinie. |
Conseils de protection de la sécurité de transmission
Microsoft Entra ID répond aux pratiques d’identité requises pour l’implémentation de protections HIPAA. Pour être conforme à la loi HIPAA, il convient de mettre en œuvre les mesures de protection à l’aide de ces conseils, ainsi que toute autre configuration ou procédure nécessaire.
Pour le chiffrement :
protégez la confidentialité des données ;
empêchez le vol de données ;
empêchez l’accès non autorisé aux PHI ;
assurez le niveau de chiffrement sur les données.
Pour protéger la transmission de données PHI :
protégez le partage des données PHI ;
protégez l’accès aux données PHI ;
vérifiez que les données transmises sont chiffrées.
Le contenu suivant fournit une liste de conseils de la Protection de la sécurité de l’audit et des transmissions basés sur les conseils HIPAA et recommandations de Microsoft pour vous permettre de répondre aux exigences d’implémentation de protections avec Microsoft Entra ID.
HIPAA : chiffrement
Implement a mechanism to encrypt and decrypt electronic protected health information.
Assurez-vous que les données ePHI sont chiffrées et déchiffrées avec une clé/un processus de chiffrement conforme.
| Recommandation | Action |
|---|---|
| Passer en revue les points de chiffrement Microsoft 365 | Le chiffrement avec Microsoft Purview dans Microsoft 365 est un environnement hautement sécurisé qui offre une protection étendue dans plusieurs couches : le centre de données physique, la sécurité, le réseau, l’accès, l’application et la sécurité des données. Passez en revue la liste de chiffrement et modifiez si davantage de contrôles sont nécessaires. |
| Chiffrement de la base de données SQL | Le chiffrement transparent des données ajoute une couche de sécurité pour protéger les données au repos contre un accès non autorisé ou hors ligne. Il chiffre la base de données à l’aide du chiffrement AES. Masquage dynamique des données sensibles qui limite l’exposition des données sensibles. Il masque les données aux utilisateurs non autorisés. Le masquage inclut des champs désignés, que vous définissez dans un nom de schéma de base de données, un nom de table et un nom de colonne. Les nouvelles bases de données sont chiffrées par défaut et la clé de chiffrement de la base de données est protégée par un certificat de serveur intégré. Nous vous recommandons de vérifier les bases de données pour vous assurer que le chiffrement est activé sur le domaine de données. |
| Passer en revue les points Azure Encryption | La capacité de chiffrement Azure couvre les principaux domaines des données au repos, des modèles de chiffrement et de la gestion des clés à l’aide d’Azure Key Vault. Passez en revue les différents niveaux de chiffrement et la façon dont ils correspondent aux scénarios au sein de votre organisation. |
| Évaluer la gouvernance de la collecte et de la conservation des données | La Gestion de cycle de vie des données Microsoft Purview vous permet d’appliquer des stratégies de rétention. La Gestion des enregistrements Microsoft Purview vous permet d’appliquer des étiquettes de rétention. Cette stratégie vous permet d’obtenir une visibilité sur les ressources sur l’ensemble du patrimoine de données. Cette stratégie vous aide également à protéger et à gérer des données sensibles dans les clouds, les applications et les points de terminaison. Important : comme indiqué dans 45 CFR 164.316 : Délai (obligatoire). Conservez la documentation requise par le paragraphe (b)(1) de cette section pendant six ans à compter de la date de création ou de la date à laquelle elle a été appliquée pour la dernière fois, selon la dernière éventualité. |
HIPAA : protéger la transmission de données PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Établissez des stratégies et des procédures pour protéger l’échange de données contenant des données PHI.
| Recommandation | Action |
|---|---|
| Évaluer l’état des applications locales | L’implémentation du proxy d’application Microsoft Entra publie des applications web locales en externe et de manière sécurisée. Le proxy d’application Microsoft Entra vous permet de publier de façon sécurisée un point de terminaison d’URL externe dans Azure. |
| Activer l’authentification multifacteur | L’authentification multifacteur Microsoft Entra protège les identités en ajoutant une couche de sécurité. L’ajout de couches de sécurité supplémentaires est un moyen efficace d’empêcher tout accès non autorisé. L’authentification multifacteur permet de valider davantage les informations de connexion pendant le processus d’authentification. Vous pouvez configurer l’application Authenticator pour fournir une vérification en un clic ou une authentification sans mot de passe. |
| Activer les stratégies d’accès conditionnel pour l’accès aux applications | Les stratégies d’accès conditionnel permettent de restreindre l’accès aux applications approuvées. Microsoft Entra analyse les signaux provenant de l’utilisateur, de l’appareil ou de l’emplacement pour automatiser les décisions et appliquer des stratégies organisationnelles pour l’accès aux ressources et aux données. |
| Passer en revue les stratégies pour Exchange Online Protection (EOP) | Exchange Online Protection contre le spam et les programmes malveillants offre un filtrage intégré des programmes malveillants et des spams. EOP protège les messages entrants et sortants et est activé par défaut. Les services EOP permettent également de lutter contre l’usurpation d’identité numérique, de mettre les messages en quarantaine et de signaler les messages dans Outlook. Les stratégies peuvent être personnalisées pour s’adapter aux paramètres à l’échelle de l’entreprise, ceux-ci étant prioritaires sur les stratégies par défaut. |
| Configurer les étiquettes de sensibilité | Les étiquettes de confidentialité de Microsoft Purview vous permettent de classifier et de protéger les données de votre organisation. Les étiquettes fournissent des paramètres de protection dans la documentation aux conteneurs. Par exemple, l’outil protège les documents stockés dans les sites Microsoft Teams et SharePoint, pour définir et appliquer les paramètres de confidentialité. Étendez les étiquettes aux fichiers et aux ressources de données, notamment SQL, Azure SQL, Azure Synapse, Azure Cosmos DB et AWS RDS. Au-delà des 200 types d’informations sensibles prêtes à l’emploi, il existe des classifieurs avancés tels que des entités de noms, des classifieurs pouvant être entraînés et EDM pour protéger les types sensibles personnalisés. |
| Évaluer si une connexion privée est nécessaire pour se connecter aux services | Azure ExpressRoute crée des connexions privées entre les centres de données Azure basés dans le cloud et l’infrastructure qui réside localement. Les données ne sont pas transférées sur l’Internet public. Le service utilise la connectivité de couche 3, connecte le routeur de périphérie et fournit une scalabilité dynamique. |
| Évaluer les exigences de VPN | La documentation VPN Gateway connecte un réseau sur site à Azure par le biais d’une connexion VPN site à site, point à site, VNet à VNet et multisite. Le service prend en charge les environnements de travail hybrides en fournissant un transit de données sécurisé. |