Recommandations de configuration de Microsoft Entra pour les contrôles HITRUST
Cet article vous aide à parcourir les détails et fournit des recommandations de services et de fonctionnalités dans Microsoft Entra ID pour prendre en charge l’alignement avec les contrôles HITRUST. Utilisez ces informations pour vous aider à comprendre l’infrastructure HITRUST (Health Information Trust Alliance) et à garantir que votre organisation est conforme à la loi américaine HIPAA (Health Insurance Portability and Accountability Act) de 1996. Les évaluations impliquent l’utilisation d’évaluateurs HITRUST certifiés qui connaissent l’infrastructure et sont nécessaires pour vous guider tout au long du processus et pour comprendre les exigences.
Acronymes
Le tableau ci-dessous répertorie les acronymes et leur signification dans cet article.
| Acronyme | Spelling |
|---|---|
| CE | Entité couverte |
| CSF | Common Security Framework |
| HIPAA | Health Insurance Portability and Accountability Act (loi de 1996) |
| HSR | Règle de sécurité HIPAA |
| HITRUST | Health Information Trust Alliance |
| IAM | Gestion des identités et des accès |
| Fournisseur d'identité | Fournisseur d’identité |
| ISO | Organisation internationale de normalisation |
| ISMS | Système de gestion de la sécurité des informations |
| JEA | Accès juste suffisant |
| JML | Joiner, Mover, Leaver |
| MFA | Authentification multi-facteur Microsoft Entra |
| NIST | National Institute of Standards and Technology, ministère américain du Commerce |
| PHI | Informations médicales protégées |
| PIM | Privileged Identity Management |
| SSO | Authentification unique |
| TAP | Passe d’accès temporaire |
Health Information Trust Alliance
L’organisation HITRUST a établi l’infrastructure CSF (Common Security Framework) pour normaliser et rationaliser les exigences en matière de sécurité et de confidentialité pour les organisations du secteur de la santé. L’infrastructure HITRUST CSF a été fondée en 2007 pour répondre à l’environnement réglementaire et aux problèmes de sécurité et de confidentialité complexes auxquels les organisations doivent faire face lors de la gestion des données personnelles et des informations médicales protégées (PHI). L’infrastructure CSF est constituée de 14 catégories de contrôle comprenant 49 objectifs de contrôle et 156 caractéristiques spécifiques de contrôle. Elle repose sur les principes fondamentaux des normes ISO 27001 et ISO 27002 de l’Organisation internationale de normalisation (ISO).
L’outil HITRUST MyCSF est disponible dans la Place de marché Azure. Utilisez-le pour gérer les risques de sécurité de l’information et la gouvernance des données, ainsi que pour respecter les réglementations en matière de protection des informations, les normes nationales et internationales et les meilleures pratiques.
Remarque
La norme ISO 27001 est une norme de management qui spécifie les exigences relatives à un système de management de la sécurité de l’information (ISMS). La norme ISO 27002 est un ensemble de meilleures pratiques qui permettent de sélectionner et d’implémenter des contrôles de sécurité dans l’infrastructure ISO 27001.
Règle de sécurité HIPAA
La règle de sécurité HIPAA (HSR) établit des normes visant à protéger les informations de santé personnelles électroniques des individus qui sont créées, reçues, utilisées ou conservées par une entité couverte (CE), à savoir un plan de santé, une chambre de compensation de soins de santé ou un prestataire de soins de santé. La valeur par défaut Le ministère américain de la Santé et des Services sociaux (HHS) gère la règle HSR. HHS exige des protections administratives, physiques et techniques pour garantir la confidentialité, l’intégrité et la sécurité des informations médicales protégées (PHI) électroniques.
HITRUST et HIPAA
HITRUST a développé l’infrastructure CSF, qui comprend des normes de sécurité et de confidentialité pour soutenir les réglementations en matière de soins de santé. Les contrôles et les meilleures pratiques CSF simplifient la tâche de consolidation des sources afin de garantir la conformité avec la législation fédérale, la sécurité HIPAA et les règles de confidentialité. HISTRUST CSF est une infrastructure de sécurité et de confidentialité certifiable qui dispose de contrôles et d’exigences pour démontrer la conformité HIPAA. Les organisations de santé ont largement adopté cette infrastructure. Utilisez le tableau ci-dessous pour en savoir plus sur les contrôles.
| Catégorie de contrôle | Nom de la catégorie de contrôle |
|---|---|
| 0 | Programme de management de la sécurité de l’information |
| 1 | Contrôle d’accès |
| 2 | Sécurité des ressources humaines |
| 3 | Gestion des risques |
| 4 | Stratégie de sécurité |
| 5 | Organisation de la sécurité des informations |
| 6 | Conformité |
| 7 | Gestion des actifs |
| 8 | Sécurité physique et environnementale |
| 9 | Gestion des communications et des opérations |
| 10 | Acquisition, développement et maintenance de systèmes d’information |
| 11 | Gestion des incidents de sécurité informatique |
| 12 | Gestion de la continuité des opérations |
| 13 | Pratiques de confidentialité |
Pour en savoir plus, consultez l’article sur la certification HITRUST CSF de la plateforme Microsoft Azure, qui inclut la gestion des identités et des accès :
- Microsoft Entra ID, anciennement Azure Active Directory
- Gestion des droits avec Microsoft Purview
- Authentification multifacteur (MFA) Microsoft Entra
Catégories de contrôle d’accès et recommandations
Le tableau ci-dessous contient la catégorie de contrôle d’accès pour la gestion des identités et des accès (IAM), ainsi que les recommandations Microsoft Entra pour répondre aux exigences de catégorie de contrôle. Les détails proviennent de l’outil HITRUST MyCSF v11, qui fait référence à la règle de sécurité HIPAA ajoutée au contrôle correspondant.
| Contrôle HITRUST, objectif et HSR | Aide et recommandations Microsoft Entra |
|---|---|
| Contrôle CSF V11 01.b Inscription des utilisateurs Catégorie de contrôle Contrôle d’accès – Inscription et désinscription des utilisateurs Spécification de contrôle L’organisation utilise un processus formel d’inscription et de désinscription des utilisateurs pour permettre l’attribution des droits d’accès. Nom d’objectif Accès autorisé aux systèmes d’information Règle de sécurité HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID est une plateforme d’identité destinée à la vérification, l’authentification et la gestion des informations d’identification lorsqu’une identité se connecte à son appareil, à son application ou à son serveur. Il s’agit d’un service cloud de gestion des identités et des accès qui comprend l’authentification unique (SSO), l’authentification multifacteur (MFA) et l’accès conditionnel pour assurer la protection contre les attaques de sécurité. L’authentification garantit que seules les identités autorisées accèdent aux ressources et aux données. Les workflows de cycle de vie fournissent la gouvernance des identités pour automatiser le cycle de vie JML (Joiner, Mover, Leaver). Elle centralise le processus de workflow à l’aide des modèles intégrés ou vous créez des workflows personnalisés. Cette pratique permet de réduire ou potentiellement de supprimer des tâches manuelles pour les exigences de stratégie JML de l’organisation. Dans le portail Azure, accédez à Identity Governance dans le menu Microsoft Entra ID pour examiner ou configurer des tâches pour les exigences de votre organisation. Microsoft Entra Connect intègre des annuaires sur site avec Microsoft Entra ID, prenant en charge l'utilisation d'identités uniques pour accéder aux applications sur site et aux services cloud tels que Microsoft 365. Il orchestre la synchronisation entre Active Directory (AD) et Microsoft Entra ID. Pour commencer à utiliser Microsoft Entra Connect, passez en revue les prérequis. Notez les exigences du serveur et comment préparer votre locataire Microsoft Entra pour la gestion. Microsoft Entra Connect Sync est un agent d’approvisionnement géré sur le cloud qui prend en charge la synchronisation avec Microsoft Entra ID à partir d’un environnement AD déconnecté à plusieurs forêts. Utilisez les agents légers avec Microsoft Entra Connect. Nous vous recommandons d’utiliser la synchronisation du hachage de mot de passe pour réduire le nombre de mots de passe et assurer la protection contre la détection des informations d’identification divulguées. |
| Contrôle CSF V11 01.c Gestion des privilèges Catégorie de contrôle Contrôle d’accès – Comptes privilégiés Spécification de contrôle L’organisation garantit que les comptes d’utilisateur autorisés sont inscrits, suivis et validés régulièrement pour empêcher l’accès non autorisé aux systèmes d’information Nom d’objectif Accès autorisé aux systèmes d’information Règle de sécurité HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) est un service Microsoft Entra ID qui permet de gérer, contrôler et surveiller l’accès aux ressources importantes d’une organisation. Il réduit le nombre de personnes pouvant accéder à des informations sécurisées pour empêcher les acteurs malveillants d’y accéder. PIM dispose d’un accès à durée définie et basé sur l’approbation pour atténuer les risques liés aux autorisations d’accès excessives, inutiles ou utilisées à mauvais escient. Il permet d’identifier et d’analyser les comptes privilégiés pour vous assurer de fournir un accès juste suffisant (JEA) permettant à un utilisateur d’effectuer son rôle. La surveillance et la génération d’alertes empêchent les activités suspectes et répertorient les utilisateurs et les rôles qui déclenchent l’alerte, tout en réduisant le risque d’accès non autorisé. Personnalisez les alertes en fonction de la stratégie de sécurité de votre organisation. Les révisions d’accès permettent aux organisations de gérer efficacement les attributions de rôles et l’appartenance aux groupes. Maintenez la sécurité et la conformité en déterminant les comptes disposant d’un accès et veillez à ce que l’accès soit révoqué si nécessaire, ce qui réduit les risques liés à des autorisations excessives ou obsolètes. |
| Contrôle CSF V11 0.1d Gestion des mots de passe utilisateur Catégorie de contrôle Contrôle d’accès – Procédures Spécification de contrôle Garantir que les comptes d’utilisateur autorisés sont inscrits, suivis et validés régulièrement pour empêcher l’accès non autorisé aux systèmes d’information. Nom d’objectif Accès autorisé aux systèmes d’information Règle de sécurité HIPAA §164.308(a)(5)(ii)(D) |
La gestion des mots de passe est un aspect essentiel de l’infrastructure de sécurité. Conformément aux meilleures pratiques pour créer une posture de sécurité robuste, Microsoft Entra ID bénéficie d’une prise en charge complète des stratégies. Ainsi, l’authentification unique (SSO), l’authentification multifacteur (MFA) et l’authentification sans mot de passe, comme les clés de sécurité FIDO2 et Windows Hello Entreprise (WHfB), atténuent les risques des utilisateurs et simplifient l’expérience d’authentification des utilisateurs. La protection par mot de passe Microsoft Entra détecte et bloque les mots de passe faibles connus. Elle intègre des stratégies de mot de passe et permet de définir une liste de mots de passe personnalisée et de créer une stratégie de gestion des mots de passe pour protéger l’utilisation des mots de passe. Les exigences HITRUST en matière de longueur et de puissance des mots de passe sont conformes à la norme NIST 800-63B du National Institute of Standards and Technology, qui comprend un minimum de huit caractères pour un mot de passe ou 15 caractères pour les comptes disposant de l’accès le plus privilégié. Les mesures de complexité incluent au moins un chiffre et/ou un caractère spécial et au moins une lettre majuscule et une lettre minuscule pour les comptes privilégiés. |
| Contrôle CSF V11 01.p Procédures de connexion sécurisée Catégorie de contrôle Contrôle d’accès – Connexion sécurisée Spécification de contrôle L’organisation contrôle l’accès aux ressources d’informations à l’aide d’une procédure de connexion sécurisée. Nom d’objectif Contrôle d’accès du système d’exploitation Règle de sécurité HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
La connexion sécurisée est le processus d’authentification sécurisée d’une identité lorsqu’elle tente d’accéder à un système. Le contrôle se concentre sur le système d’exploitation, tandis que les services Microsoft Entra aident à renforcer la connexion sécurisée. Les stratégies d’accès conditionnel permettent aux organisations de restreindre l’accès aux applications et ressources approuvées, et veillent à ce que les appareils soient sécurisés. Microsoft Entra ID analyse les signaux provenant des stratégies d’accès conditionnel à partir de l’identité, de l’emplacement ou de l’appareil pour automatiser la décision et appliquer des stratégies organisationnelles qui permettent d’accéder aux ressources et aux données. Le contrôle d’accès en fonction du rôle (RBAC) vous aide à gérer l’accès et les ressources managées dans votre organisation. RBAC permet d’implémenter le principe du privilège minimum, qui garantit aux utilisateurs les autorisations dont ils ont besoin pour effectuer leurs tâches. Cette action réduit le risque de configuration incorrecte accidentelle ou intentionnelle. Comme indiqué pour le contrôle 0.1d Gestion des mots de passe utilisateur, l’authentification sans mot de passe utilise les données biométriques, car elles sont difficiles à falsifier, fournissant ainsi une authentification plus sécurisée. |
| Contrôle CSF V11 01.q Identification et authentification des utilisateurs Catégorie de contrôle S/O Spécification de contrôle Tous les utilisateurs doivent avoir un identificateur unique (ID d’utilisateur) pour leur utilisation personnelle uniquement, et une technique d’authentification doit être implémentée pour justifier l’identité revendiquée d’un utilisateur. Nom d’objectif S/O Règle de sécurité HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Utilisez l’approvisionnement de compte dans Microsoft Entra ID pour créer, mettre à jour et gérer des comptes d’utilisateur. Chaque utilisateur et objet se voient attribuer un identificateur unique (UID) appelé « ID d’objet ». L’UID est un identificateur global unique généré automatiquement lorsqu’un utilisateur ou un objet est créé. Microsoft Entra ID prend en charge l’attribution automatisée d’utilisateurs pour les systèmes et les applications. L’attribution automatisée crée des comptes dans les systèmes appropriés lorsque des personnes rejoignent une équipe dans une organisation. Le déprovisionnement automatisé désactive les comptes lorsque les personnes quittent l’organisation. |
| Contrôle CSF V11 01.u Limitation de la durée de connexion Catégorie de contrôle Contrôle d’accès – Connexion sécurisée Spécification de contrôle L’organisation contrôle l’accès aux ressources d’informations à l’aide d’une procédure de connexion sécurisée. Nom d’objectif Contrôle d’accès du système d’exploitation Règle de sécurité HIPAA § 164.312(a)(2)(iii) |
Le contrôle se concentre sur le système d’exploitation, tandis que les services Microsoft Entra aident à renforcer la connexion sécurisée. La connexion sécurisée est le processus d’authentification sécurisée d’une identité lorsqu’elle tente d’accéder à un système. Microsoft Entra authentifie les utilisateurs et dispose de fonctionnalités de sécurité qui fournissent des informations sur l’utilisateur et la ressource. Ces informations incluent le jeton d’accès, le jeton d’actualisation et le jeton d’ID. Configurez-les conformément aux exigences de votre organisation en matière d’accès aux applications. Utilisez cette aide principalement pour les clients mobiles et de bureau. Les stratégies d’accès conditionnel prennent en charge les paramètres de configuration pour la restriction des sessions authentifiées des navigateurs web. Microsoft Entra ID dispose d’intégrations dans les systèmes d’exploitation pour proposer une meilleure expérience utilisateur et une meilleure prise en charge des méthodes d’authentification sans mot de passe répertoriées : L’authentification unique sur la plateforme pour macOS étend les fonctionnalités d’authentification unique (SSO) pour macOS. Les utilisateurs se connectent à un Mac à l’aide d’informations d’identification sans mot de passe ou de la gestion des mots de passe validée par Microsoft Entra ID. L’expérience sans mot de passe Windows promeut une expérience d’authentification sans mot de passe sur les appareils joints à Microsoft Entra. L’utilisation de l’authentification sans mot de passe réduit les vulnérabilités et les risques associés à l’authentification par mot de passe traditionnelle, tels que les attaques par hameçonnage, la réutilisation des mots de passe et l’interception de mots de passe par un enregistreur de frappes. La connexion web pour Windows est un fournisseur d’informations d’identification qui étend les fonctionnalités de la connexion web dans Windows 11, couvrant Windows Hello Entreprise, le passe d’accès temporaire (TAP) et les identités fédérées. Azure Virtual Desktop prend en charge l’authentification unique (SSO) et l’authentification sans mot de passe. Avec SSO, vous pouvez utiliser l’authentification sans mot de passe et des fournisseurs d’identité (IdP) tiers fédérés avec Microsoft Entra ID pour vous connecter à vos ressources Azure Virtual Desktop. Il propose une expérience d’authentification unique lors de l’authentification auprès de l’hôte de session. Il configure la session pour fournir l’authentification unique aux ressources Microsoft Entra dans la session. |
Étapes suivantes
Configurer les protections de contrôle d’accès HIPAA de Microsoft Entra