Publiée initialement en mars 2005 et révisée pour la première fois en octobre 2008, la publication spéciale (SP) 800-66 du National Institute of Standards and Technology (NIST) américain a de nouveau été modifiée afin de mettre à jour ses recommandations en matière de cybersécurité pour le secteur de la santé.
La norme SP 800-66 a été élaborée afin d'aider les organismes de prestation de soins de santé (HDO) à comprendre la règle de sécurité de la loi HIPAA (Health Insurance Portability and Accountability Act) et de fournir un cadre pour soutenir sa mise en œuvre. La règle de sécurité HIPAA s'applique à toute organisation gérant des informations de santé protégées électroniques (ePHI), qu'il s'agisse d'une entité couverte ou d'un partenaire commercial (par exemple, un fournisseur tiers, un prestataire ou un partenaire). La règle impose aux organisations :
- Garantir la confidentialité, l'intégrité et la disponibilité de toutes les informations médicales électroniques protégées (ePHI) qu'ils créent, reçoivent, conservent ou transmettent.
- Identifier et protéger contre les menaces raisonnablement prévisibles pour la sécurité ou l'intégrité des informations.
- Se protéger contre les utilisations ou divulgations non autorisées des ePHI qui sont raisonnablement prévisibles.
- Veiller au respect des règles par leur personnel
Cet article examine la portée des évaluations des risques prévues par la règle de sécurité HIPAA pour les partenaires commerciaux tiers, aligne les recommandations SP 800-66 sur la règle de sécurité et identifie les fonctionnalités de la plateforme Prevalent Third-Party Risk Management Platform qui permettent de répondre à ces exigences.
Dispositions relatives aux partenaires commerciaux dans le cadre de la règle de sécurité HIPAA
La règle de sécurité HIPAA comprend des dispositions qui exigent des entités concernées qu'elles procèdent à des évaluations des risques, notamment :
- Analyse des risques (R) – 164.308(a)(1)(ii)(A) : Réaliser une évaluation précise et approfondie des risques potentiels et des vulnérabilités liés à la confidentialité, à l'intégrité et à la disponibilité des informations de santé électroniques protégées détenues par l'entité couverte ou le partenaire commercial.
- Gestion des risques (R) – 163.308(a)(1)(ii)(B) : Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié afin de se conformer à la section 164.306(a).
La règle de sécurité recommande ensuite sept étapes à inclure dans un processus complet d'évaluation des risques.
1. Préparez-vous à l'évaluation
Objectifs : Comprendre où les ePHI sont créées, reçues, conservées, traitées ou transmises. Définir la portée de l'évaluation.
Comment Prevalent vous aide : Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) basé sur des pratiques éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques, et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, depuis l'approvisionnement et la diligence raisonnable jusqu'à la résiliation et au départ.
Prevalent peut identifier les relations de sous-traitance de quatrième et n-ième partie en réalisant une évaluation basée sur un questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue afin de détecter les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que les sanctions/contrôles PEP.
Une fois les tiers et les quatrièmes parties identifiés, vous pouvez utiliser les plus de 750 modèles d'évaluation prédéfinis disponibles dans la plateforme Prevalent pour évaluer les partenaires commerciaux tiers par rapport aux exigences NIST, HIPAA ou autres.
Mise en correspondance des capacités courantes avec les exigences de la règle de sécurité HIPAA NIST SP 800-66r2
La norme NIST SP 800-66r2 présente les mesures de sécurité applicables à chaque norme de la règle de sécurité HIPAA. Nous identifions ici les mesures spécifiques aux partenaires commerciaux et répertorions les fonctionnalités Prevalent qui permettent de satisfaire à ces exigences.
REMARQUE : Ces informations sont fournies à titre indicatif uniquement. Les organisations doivent examiner elles-mêmes l'intégralité des exigences de la norme NIST 800-66r2 et de la règle de sécurité HIPAA, en consultation avec leurs auditeurs.
5.1.9 Contrats avec des partenaires commerciaux et autres accords (§ 164.308(b)(1))
1. Identifier les entités qui sont des partenaires commerciaux au sens de la règle de sécurité HIPAA
Prevalent identifie les relations avec les quatrièmes parties grâce à une évaluation native de l'identification ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte représente les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement. Remarque : cette fonctionnalité peut également être utilisée pour traiter les points suivants : 5.4.1 Contrats avec des partenaires commerciaux ou autres accords (§ 164.314(a)) – 4. Autres accords ; et 5. Contrats avec des partenaires commerciaux comportant des sous-contrats.
Prevalent propose une évaluation préalable à la signature du contrat, avec une notation claire basée sur huit critères permettant de saisir, suivre et quantifier les risques inhérents à tous les tiers et partenaires commerciaux lors de leur intégration. À partir de cette évaluation des risques inhérents, votre équipe peut gérer de manière centralisée tous les partenaires commerciaux, classer automatiquement les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.
2. Mettre en place un processus permettant de mesurer la performance du contrat et de le résilier si les exigences en matière de sécurité ne sont pas respectées.
Prevalent aide à mesurer de manière centralisée les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances.
Lorsqu'un tiers est jugé non conforme au contrat, la plateforme automatise les évaluations contractuelles et les procédures de résiliation afin de réduire le risque d'exposition post-contractuelle de votre organisation.
3. Contrat écrit ou autre accord
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Il offre également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la résiliation.
Grâce à ces fonctionnalités, vous pouvez vous assurer que les clauses appropriées (telles que les mesures de sécurité relatives aux informations médicales protégées électroniques et la formation) figurent dans le contrat, qu'elles sont applicables et communiquées efficacement à toutes les parties prenantes.
Remarque : cette fonctionnalité peut également être utilisée pour traiter les contrats ou autres accords avec les partenaires commerciaux 5.4.1 (§ 164.314(a)) – 1. Le contrat doit stipuler que les partenaires commerciaux se conformeront aux exigences applicables de la règle de sécurité ; et 2. Le contrat doit stipuler que les partenaires commerciaux concluront des contrats avec des sous-traitants afin de garantir la protection des ePHI.
5.4.1 Contrats avec des partenaires commerciaux ou autres accords (§ 164.314(a))
3. Le contrat doit stipuler que les partenaires commerciaux signaleront les incidents de sécurité.
Outre la gestion du cycle de vie des contrats, Prevalent propose un service de réponse aux incidents tiers qui permet aux équipes d'identifier et d'atténuer rapidement l'impact des violations commises par des tiers en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés et en accédant à des conseils de remédiation.
Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde. La base de données comprend les types et les quantités de données volées, les problèmes de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Associée à une surveillance cybernétique continue, elle offre aux organisations une vue d'ensemble des risques externes liés à la sécurité de l'information qui peuvent avoir un impact sur leurs opérations.
Prochaines étapes pour la conformité à la règle de sécurité HIPAA à l'aide de la norme NIST 800-66
Prevalent peut aider les organisations à appliquer les principes de la norme NIST SP 800-66r2 afin de répondre aux exigences de sécurité HIPAA pour les partenaires commerciaux. La plateforme Prevalent de gestion des risques liés aux tiers:
- Fournit des évaluations complètes de diligence raisonnable préalables à la conclusion d'un contrat afin de calculer le risque inhérent que les partenaires commerciaux font peser sur une relation.
- Simplifie les processus contractuels afin de garantir que tous les indicateurs clés de performance (KPI) des partenaires commerciaux et les dispositions relatives aux ePHI sont en place et font l'objet d'un suivi.
- Profils et niveaux de tous les tiers, ajustement continu de la diligence raisonnable en fonction de la criticité
- Cartographie les quatrièmes parties pour comprendre les risques parmi les sous-traitants
- Ajoute un flux de travail pour automatiser le processus d'évaluation, de notation des risques et de remédiation.
- Surveille en permanence les partenaires commerciaux afin d'identifier les risques cybernétiques, commerciaux, financiers et liés à la réputation, et met en corrélation les risques avec les résultats des évaluations et valide les conclusions.
- Automatise les processus de réponse aux incidents, accélérant ainsi le délai de résolution.
- Comprend les rapports de conformité et de risque par cadre ou réglementation.
Pour obtenir des conseils spécifiques sur la manière dont Prevalent peut vous aider à répondre aux exigences de la norme NIST SP 800-66r2 et à mettre en œuvre la règle de sécurité HIPAA, téléchargez la liste de contrôle complète de conformité ou demandez une démonstration dès aujourd'hui.
2. Identifier les menaces réalistes
Objectifs : Identifier les événements et les sources de menace potentiels qui s'appliquent à l'entité réglementée et à son environnement opérationnel.
Comment Prevalent peut vous aider : Prevalent suit et analyse en permanence les menaces externes pesant sur les tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Toutes les données de surveillance sont corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui rationalise les initiatives d'examen, de reporting et de réponse aux risques.
3. Identifier les vulnérabilités potentielles et les conditions prédisposantes
Objectifs : Utiliser des sources internes et externes pour identifier les vulnérabilités potentielles. Les sources internes peuvent inclure les évaluations de risques précédentes, les résultats des analyses de vulnérabilité et des tests de sécurité des systèmes (par exemple, les tests de pénétration) et les rapports d'audit. Les sources externes peuvent inclure les recherches sur Internet, les informations des fournisseurs, les données d'assurance et les bases de données sur les vulnérabilités.
Comment Prevalent vous aide : Prevalent normalise, corrèle et analyse les informations issues d'évaluations des risques internes et externes. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la correction des risques. Il valide également la présence et l'efficacité des contrôles internes grâce à une surveillance externe.
4.-6. Déterminer la probabilité (et l'impact) d'une menace exploitant une vulnérabilité ; déterminer le niveau de risque
Objectifs : Déterminer la probabilité (très faible à très élevée) qu'une menace exploite avec succès une vulnérabilité ; déterminer l'impact (opérationnel, individuel, sur les actifs, etc.) qui pourrait survenir sur les ePHI si une menace exploitait une vulnérabilité ; évaluer le niveau de risque (faible, moyen, élevé) pour les ePHI, en tenant compte des informations recueillies et des conclusions tirées lors des étapes précédentes.
Comment Prevalent vous aide : la plateforme Prevalent vous permet de définir des seuils de risque, puis de classer et d'évaluer les risques en fonction de leur probabilité et de leur impact. La carte thermique qui en résulte permet aux équipes de se concentrer sur les risques les plus importants.
7. Consigner les résultats de l'évaluation des risques
Objectifs : Documenter les résultats de l'évaluation des risques.
Comment Prevalent peut vous aider : avec Prevalent, vous pouvez générer des registres des risques une fois l'enquête terminée, en intégrant des informations en temps réel sur la cybersécurité, les activités commerciales, la réputation et les finances afin d'automatiser l'examen des risques, la création de rapports et les mesures à prendre. À partir du registre des risques, vous pouvez créer des tâches liées aux risques ou à d'autres éléments, vérifier l'état d'avancement des tâches via des règles de messagerie électronique liées à la plateforme et tirer parti des recommandations et conseils de correction intégrés.
La solution automatise l'audit de conformité en matière de gestion des risques liés aux tiers en collectant des informations sur les risques liés aux fournisseurs, en quantifiant ces risques et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels, notamment NIST, HIPAA et bien d'autres encore.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
