Microsoft 365 HIPAA est-Il conforme ?

La conformité HIPAA d’Office 365 est une préoccupation urgente pour un nombre croissant d’entreprises de soins de santé. La solution cloud robuste de Microsoft permet aux fournisseurs de conserver des enregistrements et de communiquer facilement — mais est-ce trop facile? Les informations sensibles peuvent-elles vraiment être protégées si elles sont stockées dans le cloud?

Le Cloud computing fait des incursions dans l’industrie de la santé depuis plusieurs années. Il offre de nombreux avantages en tant que stratégie, permettant aux organisations et aux fournisseurs de soins de développer où et comment ils peuvent utiliser la technologie. En permettant aux fournisseurs de conserver et de référencer plus facilement les dossiers des patients, même lorsqu’ils sont en déplacement, le cloud computing améliore et simplifie l’expérience du patient.

Ce passage au cloud est positif pour l’ensemble des soins de santé, mais il impose une responsabilité supplémentaire aux spécialistes de la conformité et de la sécurité. Heureusement, la tâche de trouver des logiciels cloud conformes à la norme HIPAA devient de plus en plus facile à mesure que de plus en plus de fournisseurs et de développeurs reconnaissent la demande du marché. De nombreux fournisseurs de solutions ont maintenant adapté leurs offres pour répondre aux besoins HIPAA des organisations de soins de santé.

Microsoft 365, le service cloud le plus utilisé, est un exemple remarquable. Il offre la conformité HIPAA à toutes les organisations de soins de santé qui ont et utilisent correctement un business associate agreement (BAA). Dans cet article, vous découvrirez ce que Microsoft a fait pour permettre à sa suite 365 de répondre aux exigences HIPAA et quels aspects de la protection des données restent de la responsabilité des fournisseurs.

HIPAA BAA et Microsoft 365
Qu’est-ce qu’un BAA ?
Comment fonctionne le BAA de Microsoft ?
Contrôles de sécurité Microsoft 365 et exigences HIPAA
Le Centre de conformité Microsoft
Fonctionnalités de sécurité Microsoft 365 pour HIPAA
Comment Microsoft gère les violations de sécurité
Configuration de conformité HIPAA Office 365: Bonnes pratiques
Vérifiez les détails du service.
Configurez les procédures de contrôle d’accès.
Fournir une formation sur l’exclusion des RPS.
Établir des procédures d’examen de l’accès.
Comment Netwrix Aide les clients Microsoft 365
Savoir exactement où vous stockez ePHI
Réduisez votre surface d’attaque en minimisant les autorisations
Identifier les menaces et y répondre
FAQ sur la conformité Microsoft 365 et HIPAA

HIPAA BAA et Microsoft 365

Le niveau de conformité HIPAA de toute solution cloud dépend du BAA de l’organisation utilisateur. L’une des fonctionnalités les plus pratiques de Microsoft 365 pour le client de soins de santé est qu’il fournit un BAA en tant qu’élément de service standard.

Qu’est-ce qu’un BAA ?

Un contrat d’associé commercial est un contrat entre une entité couverte par la loi HIPAA (comme un cabinet médical ou un hôpital) et une entreprise associée. Dès que des informations de santé protégées (PHI) sont téléchargées sur le cloud, les deux parties sont automatiquement soumises aux réglementations HIPAA. Pour cette raison, vous devez avoir un BAA en place avec un fournisseur de cloud avant de mettre en œuvre une solution liée aux données des patients.

Comment fonctionne le BAA de Microsoft ?

Par défaut, Microsoft offre son BAA dans le cadre de ses Conditions de services en ligne aux utilisateurs qui sont des entités couvertes ou des associés commerciaux tels que définis par HIPAA. Le BAA couvre Dynamics 365, Office 365 et d’autres services cloud.

Si vous envisagez Microsoft en tant que fournisseur de solutions, examinez le BAA en détail pour vous assurer que les services couverts et les conditions du BAA répondent à vos besoins. Microsoft ne modifie pas son BAA à la demande du client, les conditions doivent donc être suffisantes telles qu’elles sont écrites.

Contrôles de sécurité Microsoft 365 et exigences HIPAA

Pour confirmer que ses pratiques de sécurité sont conformes aux recommandations de l’éditeur officiel de la HIPAA, le Département américain de la Santé et des Services sociaux (HHS), Microsoft a fait l’objet d’audits de sécurité de l’information conformément à la norme ISO 27001. Cette norme évalue plusieurs aspects de la sécurité informatique d’une organisation, y compris si elle suit les recommandations du HHS.

Les résultats confirment qu’Office 365 inclut tous les contrôles de sécurité et de confidentialité HIPAA nécessaires à la conformité. Vous pouvez accéder à ces contrôles via le centre de conformité Microsoft 365.

Le Centre de conformité Microsoft

Le Centre de conformité Microsoft donne aux clients accès aux outils et aux informations dont ils ont besoin pour gérer la conformité. Il comprend des fonctionnalités telles que:

Votre score de conformité, une mesure basée sur les risques qui mesure les progrès vers la réduction des risques
Une carte d’alertes actives, qui répertorie vos notifications de sécurité et vous dirige vers des informations plus détaillées
Une section de classification des données pour vous aider à organiser correctement les données importantes
Une section de rapports contenant des informations sur les applications tierces, les fichiers partagés et plus encore
Une section d’autorisations qui vous permet de gérer l’accès au sein de votre organisation
Une section solutions contenant des informations détaillées sur la conformité de votre organisation stratégies
Un outil de protection contre la perte de données pour vous permettre de suivre les informations sensibles

Le Centre de conformité est une ressource robuste. Il est disponible pour tous les clients professionnels Microsoft, mais certaines fonctionnalités, telles que la gestion avancée des menaces, les étiquettes de sensibilité pour la classification des données, certaines fonctionnalités DLP, peuvent ne pas être disponibles à moins que vous ne disposiez d’une licence de niveau supérieur.

Fonctionnalités de sécurité Microsoft 365 pour HIPAA

Microsoft fournit de nombreuses fonctionnalités de sécurité pour aider les entreprises à se conformer à des réglementations spécifiques. Ceux particulièrement pertinents pour HIPAA sont:

Accès à moindre privilège : Cette fonctionnalité limite le risque et l’impact des violations de données en accordant un accès élevé uniquement à ceux qui en ont besoin.
Lecteurs de confidentialité : Microsoft recommande aux clients disposant d’un BAA de désigner des représentants en tant que lecteurs de confidentialité HIPAA, ce qui leur donne accès aux notifications du Centre de messages concernant d’éventuelles violations impliquant des informations électroniques protégées sur les soins de santé (ePHI).
Chiffrement de bout en bout : Microsoft chiffre toutes les données lorsqu’elles sont téléchargées ou stockées sur les serveurs de l’entreprise. Il est également crypté lorsqu’il est transféré en dehors des installations de Microsoft (cryptage en transit); cependant, certaines informations, y compris les données dans les lignes d’objet et les champs d’adresse des e-mails, ne peuvent pas être cryptées en raison des protocoles Internet standard. Par conséquent, Microsoft recommande à tous les utilisateurs de former le personnel à ne jamais inclure ePHI dans les lignes De Destination, De ou Objet d’un e-mail.
Prévention de la perte de données: ePHI est protégé contre le partage avec des téléspectateurs non autorisés.
Authentification multifacteur: Les utilisateurs doivent fournir des informations envoyées à un autre appareil ou compte avant d’être autorisés à se connecter.
Journaux d’audit : Les administrateurs peuvent voir qui a vu, ouvert, partagé ou saccagé des documents.
Sauvegardes de données : Cette fonctionnalité est requise sous HIPAA afin que des copies exactes d’ePHI puissent être restaurées si nécessaire.
Configuration de la sécurité : Microsoft permet aux clients de modifier leurs paramètres de sécurité sur de nombreux services couverts par la BAA. Pour la conformité HIPAA, la stratégie la plus sûre peut être de définir les paramètres les plus stricts possibles. Des instructions de configuration détaillées sont disponibles dans le guide d’implémentation HIPAA de Microsoft.

Comment Microsoft gère les violations de sécurité

Le BAA de Microsoft stipule qu’en cas de violation de sécurité, l’entreprise informera tous les administrateurs mondiaux de votre compte et tous les utilisateurs qui ont la désignation de lecteur de confidentialité dans les 30 jours.

Microsoft n’informe pas vos clients d’une violation. Cette responsabilité vous incombe en vertu de la loi HIPAA, qui exige que toutes les entités couvertes informent les personnes concernées si une violation implique un ePHI non garanti. Microsoft ne soumet pas non plus les notifications requises au Secrétaire du HHS ou aux médias.

En cas de violation d’un dépôt ePHI potentiel, Microsoft n’est pas responsable de l’analyse des données stockées pour déterminer si un ePHI a réellement été compromis. Vous recevrez une notification indiquant qu’une violation s’est produite. Vous devez ensuite évaluer si un ePHI a été compromis et quel est le degré de l’impact, le cas échéant.

Configuration de conformité HIPAA Office 365: Bonnes pratiques

Microsoft est très clair qu’en fin de compte, la responsabilité de la conformité HIPAA incombe au client. Le fournisseur recommande à toutes les entreprises d’établir un ensemble de procédures et de politiques pour aider leur personnel à utiliser Office 365 d’une manière qui favorise la conformité. Voici quelques-unes des étapes les plus importantes à suivre pendant le processus de configuration.

Vérifiez les détails du service.

Assurez-vous que les produits que vous prévoyez d’utiliser relèvent des services de conformité HIPAA de Microsoft.
Passez en revue la BAA pour vous assurer que les pratiques de sécurité et de confidentialité incluses répondent à vos besoins.

Configurez les procédures de contrôle d’accès.

Dans votre Centre de messagerie Microsoft 365, spécifiez vos lecteurs de confidentialité.
Activez le suivi des accès pour vos administrateurs afin que vous puissiez voir quand ils accèdent aux comptes d’utilisateurs.

Fournir une formation sur l’exclusion des RPS.

Le personnel administratif ne doit entrer ePHI dans aucun répertoire, carnet d’adresses ou liste d’adresses globale.
Aucun membre du personnel ne doit partager ePHI dans les conversations de dépannage ou de support avec Microsoft.
Les utilisateurs ne doivent référencer ePHI dans aucun nom de fichier, en-tête d’e-mail ou emplacement SharePoint accessible au public.
Les utilisateurs ne doivent pas envoyer ePHI par e-mail, sauf à des utilisateurs explicitement autorisés.

Établir des procédures d’examen de l’accès.

Examinez régulièrement l’accès des utilisateurs à tous les référentiels de stockage ePHI.
Examinez régulièrement les autorisations d’accès des utilisateurs, les modifications de mot de passe et les ajouts aux ressources partagées.
Créez un protocole de mise à jour des droits d’accès en cas de changement de personnel.

Comment Netwrix Aide les clients Microsoft 365

Se conformer à HIPAA n’est pas une mince tâche, et l’ajout de la conformité liée aux services cloud peut taxer les ressources de l’organisation la plus robuste. Netwrix peut enlever une grande partie de cette charge de vos épaules avec sa solution de conformité HIPAA.

Savoir exactement où vous stockez ePHI

La solution Netwrix peut identifier les référentiels OneDrive for Business spécifiques, les boîtes aux lettres Exchange Online et les sites SharePoint Online de votre compte qui contiennent ePHI. C’est la première étape vers la protection de cet ePHI contre les menaces intérieures et extérieures.

Réduisez votre surface d’attaque en minimisant les autorisations

La solution Netwrix peut également vous aider à vous assurer que vous disposez des droits appropriés. Il peut identifier et supprimer automatiquement les autorisations excessives sur les données sensibles. Il simplifie également le processus d’examen de l’accès et d’attestation des privilèges, améliorant ainsi vos chances de réussir les audits de conformité la première fois.

Identifier les menaces et y répondre

Grâce à une visibilité détaillée entre les systèmes, la solution Netwrix peut repérer les signaux d’alerte qui pourraient indiquer des menaces internes, telles que des tentatives d’accès ratées, une escalade des privilèges et un nombre anormalement élevé de lectures, et détecter les signes de ransomware en cours. Il vous permet d’explorer facilement les activités suspectes afin de bloquer les menaces avant qu’elles ne causent de graves dommages.

En cas de violation, quelle qu’en soit la source, Netwrix peut vous aider à déterminer la gravité de l’incident, vous permettant de répondre à toutes les exigences pour notifier les autorités et les utilisateurs concernés.

FAQ sur la conformité Microsoft 365 et HIPAA

Y a-t-il des problèmes HIPAA avec l’utilisation d’Office 365?

Tant que vous examinez attentivement le BAA de Microsoft et comprenez la portée de ses protections de sécurité et de conformité, confirmez que ces protections répondent à vos besoins de conformité HIPAA et que vous disposez de tous les contrôles de sécurité requis de votre côté, vous ne devriez avoir que peu, voire aucune préoccupation concernant la conformité HIPAA.

Les protections HIPAA d’Office 365 sont robustes, mais en fin de compte, la conformité est de votre responsabilité en tant qu’entité couverte par HIPAA.

Quel forfait Microsoft Office 365 est conforme à la norme HIPAA ?

Microsoft propose son BAA de conformité HIPAA aux utilisateurs d’Office 365 Business, Office 365 US Government et Office 365 US Government Defense. Cependant, les licences de niveau inférieur de ces services (Business Basic, Business Standard et Business Premium, par exemple) peuvent ne pas disposer de toutes les fonctionnalités de sécurité avancées que vous souhaitez utiliser pour maintenir votre conformité.

Microsoft recommande aux utilisateurs qui recherchent la conformité HIPAA d’activer des protections de sécurité de haut niveau. Certaines de ces protections, y compris les explorateurs de menaces anti-hameçonnage et la prévention de la perte de données, ne sont disponibles que pour les détenteurs de licences d’entreprise de niveau supérieur.

Le fait d’avoir un BAA avec Microsoft garantit-il la conformité à HIPAA et à la loi HITECH?

Non, un BAA ne garantit pas la conformité. Le but de la BAA est de clarifier les exigences de conformité qui relèvent de la responsabilité de l’associé commercial HIPAA. Par exemple, en cas de violation de votre compte Microsoft Office 365, Microsoft vous en informera.

Même avec le BAA le plus robuste, vous, en tant que client du service cloud, avez toujours la responsabilité de maintenir la conformité. Vous devez établir et maintenir un programme de conformité interne qui répond à tout ce qui est requis de vous en tant qu’organisation couverte par la HIPAA. Par exemple, vous devez avoir des politiques, des procédures et des processus internes en place pour vous assurer que votre personnel agit d’une manière qui ne viole pas les réglementations HIPAA.

Le BAA de Microsoft vous aide à adhérer aux principes HIPAA lorsque vous utilisez les services de l’entreprise, mais il ne fera pas tout pour vous. Vous devez toujours vous assurer que votre équipe utilise Office 365 d’une manière qui s’aligne sur chaque règle de HIPAA et de la loi HITECH.

Évangéliste de produits chez Netwrix Corporation, rédacteur et présentateur. Ryan se spécialise dans l’évangélisation de la cybersécurité et la promotion de l’importance de la visibilité sur les changements informatiques et l’accès aux données. En tant qu’auteur, Ryan se concentre sur les tendances en matière de sécurité informatique, les enquêtes et les perspectives du secteur.