Plus de 52 millions de personnes ont vu leurs informations de santé privées exposées en 2022 lors de plus de 700 violations, selon une analyse de Healthcare Dive. Il s'agit d'une augmentation drastique par rapport aux 6 millions de personnes touchées en 2010, première année complète où les données sur les violations de santé étaient disponibles.

Heureusement, il existe des mesures à prendre pour éviter de contribuer aux statistiques de violations de données. Une évaluation des risques HIPAA est une étape cruciale pour toute personne cherchant à devenir conforme à HIPAA et à améliorer la sécurité de ses informations sensibles.

Nous examinons ce qu'implique une évaluation des risques et comment en effectuer une ci-dessous. Passez à notre liste de contrôle d'évaluation des risques HIPAA pour une fiche pratique.

Qu'est-ce qu'une évaluation des risques HIPAA ?

Illustration d'un réseau informatique et d'un stéthoscope avec un texte décrivant la définition d'une évaluation des risques HIPAA

Une évaluation des risques HIPAA est une exigence qui aide les organisations à identifier, prioriser et gérer les potentielles violations de sécurité. Cette évaluation est un audit interne qui examine comment les IPP sont stockées et protégées. Elle aide les entreprises à identifier les faiblesses et à améliorer la sécurité de l'information.

La règle de sécurité HIPAA exige que les entités couvertes et les partenaires commerciaux effectuent des évaluations des risques pour protéger les informations de santé protégées (IPP).

Pourquoi les évaluations des risques HIPAA sont-elles importantes ?

De nombreux patients ont leurs informations de santé stockées électroniquement. Ainsi, le risque de violation de leur IPP, ou informations de santé protégées électroniques, est très réel.

Les organisations doivent régulièrement évaluer leur posture de sécurité pour repérer les faiblesses et garder proactivement les informations des patients en sécurité. Une évaluation des risques est un moyen de le faire, et elle est requise pour la conformité HIPAA.

Le non-respect des réglementations HIPAA peut entraîner des amendes coûteuses, une réputation entachée, et dans certains cas, même des sanctions pénales. Effectuer régulièrement des évaluations des risques peut vous aider à éviter les violations HIPAA et à garder l'information sécurisée.

Comment effectuer une analyse des risques HIPAA en 6 étapes

Illustration des six étapes pour vous aider à mener une évaluation des risques HIPAA

Il est important de noter qu'il n'existe pas de « bonne manière » de réaliser une analyse des risques HIPAA.

HIPAA ne fournit pas d'instructions spécifiques sur la manière de faire une évaluation des risques, car elle reconnaît que chaque entreprise est différente.

Cependant, plusieurs éléments doivent être pris en compte dans chaque évaluation des risques.

1. Définir le périmètre

La portée de votre évaluation des risques tiendra compte de tous les risques potentiels pour les IIP. Réfléchissez non seulement à l'endroit où les IIP sont stockées (électroniquement ou physiquement), mais aussi aux appareils sur lesquels les eIIP sont stockées.

Le Département de la Santé et des Services Sociaux (HHS) propose quelques questions à poser lors de l'étape de définition de la portée :

  • Avez-vous identifié les IIP au sein de votre organisation ?
  • Quelles sont les sources externes d'IIP ? Par exemple, les fournisseurs créent-ils, reçoivent-ils, maintiennent-ils ou transmettent-ils des IIP ?
  • Quelles sont les menaces humaines, naturelles et environnementales pour les systèmes d'information contenant des IIP ?

Lors de la définition de la portée, vous devez également documenter où les IIP sont stockées, reçues, maintenues et transmises.

2. Identifier les faiblesses potentielles

Les organisations doivent également identifier et documenter les vulnérabilités qui pourraient entraîner une violation des IIP.

Cela peut être fait en examinant les projets passés ou en cours, en réalisant des entretiens avec le personnel qui manipule les IIP et en examinant la documentation.

Illustration des quatre types de menaces auxquelles sont confrontées les IIP : actions humaines délibérées, actions humaines involontaires, défaillance du système technique et catastrophe d'origine humaine ou naturelle.

3. Surveiller l'efficacité des mesures de sécurité

Les entreprises doivent également évaluer les mesures de sécurité en place pour protéger les IIP. Toutes les garanties doivent être documentées.

Les pratiques de sécurité actuelles doivent ensuite être mesurées par rapport aux exigences de sécurité décrites dans la Règle de Sécurité HIPAA. Toute lacune ou mesure mal utilisée doit être réévaluée.

4. Déterminer et attribuer des niveaux de risque

Après avoir identifié les risques potentiels, les organisations peuvent prédire la probabilité de survenue de la menace et l'impact estimé.

Les organisations utilisent souvent une échelle de 1 à 5 pour mesurer la probabilité et l'impact, 1 signifiant très improbable et 5 très probable. Pour l'impact, 1 pourrait signifier négligeable et 5 pourrait signifier grave.

5. Prioriser les risques en fonction de la probabilité et de l'impact potentiel

Lorsque toutes les menaces ont été mesurées en termes d'impact et de probabilité, les organisations peuvent prioriser les menaces.

Le niveau de risque est le plus élevé lorsqu'une menace est susceptible de se produire et aura un impact significatif sur l'entreprise. Une fois les risques priorisés, ils doivent être documentés ainsi que toute mesure mise en place pour les atténuer.

6. Examiner et mettre à jour régulièrement votre analyse des risques

Une fois que vous avez complété une évaluation des risques et mis en œuvre toutes les mesures de sécurité qui faisaient défaut ou n'existaient pas, vous pouvez respirer un peu plus facilement.

HHS recommande de revoir et de mettre à jour périodiquement une évaluation des risques selon les besoins.

Bien que l'HIPAA n'ait pas d'exigence sur la fréquence à laquelle vous devez effectuer une évaluation des risques, les experts recommandent qu'elles soient effectuées annuellement ou tous les deux ans.

Liste de contrôle pour l'évaluation des risques HIPAA

Nous avons créé une liste de contrôle pour vous aider à traverser le processus d'évaluation des risques HIPAA. Vous pouvez la télécharger ci-dessous.

Rectangle bleu avec texte : Télécharger la liste de contrôle pour l'évaluation des risques HIPAA

Comment Secureframe peut aider à la conformité HIPAA

Collaborer avec une entreprise comme Secureframe facilite la détermination des IIP que vous gérez et leur circulation au sein de votre organisation, ce qui est un complément crucial à une évaluation des risques.

Nous pouvons également vous aider à évaluer vos mesures de sécurité et à identifier les faiblesses pour dresser un tableau clair de votre posture de sécurité.

Pour plus d'informations sur la manière dont Secureframe peut vous aider à atteindre et à maintenir la conformité HIPAA, demandez une démonstration.

FAQs

Qui est tenu de réaliser une évaluation des risques HIPAA ?

Les entités couvertes et les partenaires commerciaux des entités couvertes sont tenus de réaliser une évaluation des risques HIPAA.

Une entité couverte comprend les fournisseurs de plans de santé, les prestataires de soins de santé et les centres de traitement des soins de santé. Les partenaires commerciaux incluent les entreprises de logiciels ayant accès aux IIP (informations de santé personnelles), les sociétés de transcription médicale, les avocats et les comptables.

À quelle fréquence une évaluation des risques HIPAA est-elle requise ?

La HIPAA ne spécifie pas la fréquence à laquelle les évaluations des risques doivent être réalisées, mais stipule que des analyses “régulières” des mesures de protection doivent être effectuées.

De nombreuses organisations choisissent de procéder à une évaluation annuelle des risques, mais vous pouvez déterminer la meilleure pratique pour votre organisation en fonction des circonstances de votre environnement.

Quelles sont les mesures de protection techniques et non techniques ?

Les mesures de protection techniques font partie du matériel et des logiciels qui assurent la sécurité des IIP. Les exemples incluent les méthodes de chiffrement, l'authentification et la déconnexion automatique.

Les mesures de protection non techniques sont des contrôles de gestion et opérationnels pour aider à former les gens aux meilleures pratiques relatives aux IIP. Ceux-ci incluent des directives, des mesures de responsabilité et des mesures de sécurité physique.