Autres conseils de protection
Microsoft Entra ID répond aux exigences de pratique liées à l’identité pour l’implémentation des garanties de portabilité et de responsabilité de l’assurance maladie de 1996 (HIPAA). Pour être conforme à HIPAA, il incombe aux entreprises d’implémenter les garanties à l’aide de ces conseils, ainsi que d’autres configurations ou processus nécessaires. Cet article contient des conseils pour atteindre la conformité HIPAA pour les trois contrôles suivants :
- Protection de l’intégrité
- Protection de l'authentification des personnes ou des entités
- Protection de la sécurité des transmissions
Conseils de protection de l’intégrité
Microsoft Entra ID répond aux exigences de pratique liées à l’identité pour l’implémentation de protections HIPAA. Pour être conforme à HIPAA, implémentez les protections à l’aide de ces conseils, ainsi que d’autres configurations ou processus nécessaires.
Pour la protection contre la modification des données :
Protégez les fichiers et les e-mails sur tous les appareils.
Découvrez et classifiez les données sensibles.
Chiffrez les documents et les e-mails qui contiennent des données sensibles ou personnelles.
Le contenu suivant fournit les conseils de HIPAA suivis d’un tableau avec les recommandations et conseils de Microsoft.
HIPAA : intégrité
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Recommandation | Action |
|---|---|
| Activer Microsoft Purview Information Protection (IP) | Découvrez, classifiez, protégez et régissez les données sensibles, couvrant le stockage et les données transmises. Protéger vos données via IP Microsoft Purview permet de déterminer le paysage des données, de passer en revue l’infrastructure et de prendre des mesures actives pour identifier et protéger vos données. |
| Configurer la conservation inaltérable Exchange | Exchange Online fournit plusieurs paramètres pour prendre en charge eDiscovery. conservation sur place utilise des paramètres spécifiques sur les éléments à conserver. La matrice de décision peut être basée sur des mots clés, des expéditeurs, des reçus et des dates. solutions Microsoft Purview eDiscovery fait partie du portail de conformité Microsoft Purview et couvre toutes les sources de données Microsoft 365. |
| Configurer l’extension de messagerie Internet sécurisée/multi-usage sur Exchange Online | S/MIME est un protocole utilisé pour l’envoi de messages signés numériquement et chiffrés. Elle est basée sur le jumelage de clés asymétriques, une clé publique et privée. exchange Online fournit le chiffrement et la protection du contenu de l’e-mail et des signatures qui vérifient l’identité de l’expéditeur. |
| Activer la surveillance et la journalisation. | L'enregistrement et la surveillance sont essentiels pour sécuriser un environnement. Les informations sont utilisées pour prendre en charge les enquêtes et aider à détecter les menaces potentielles en identifiant des modèles inhabituels. Activez la journalisation et la surveillance des services pour réduire le risque d’accès non autorisé. l’audit Microsoft Purview fournit une visibilité sur les activités auditées dans les services de Microsoft 365. Il aide les enquêtes en augmentant la rétention des journaux d’audit. |
Conseils de protection de la personne ou de l’authentification d’entité
Microsoft Entra ID répond aux exigences de pratique liées à l’identité pour l’implémentation de protections HIPAA. Pour être conforme à HIPAA, implémentez les protections à l’aide de ces conseils, ainsi que d’autres configurations ou processus nécessaires.
Pour l’audit et la protection des personnes et des entités :
Vérifiez que la revendication de l’utilisateur final est valide pour l’accès aux données.
Identifiez et réduisez les risques liés aux données stockées.
Le contenu suivant fournit les conseils de HIPAA suivis d’un tableau avec les recommandations et conseils de Microsoft.
HIPAA - authentification de personne ou d'entité
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Vérifiez que les utilisateurs et les appareils qui accèdent aux données ePHI sont autorisés. Vous devez vous assurer que les appareils sont conformes et que les actions sont auditées pour signaler les risques aux propriétaires de données.
| Recommandation | Action |
|---|---|
| Activer l’authentification multifacteur | l’authentification multifacteur Microsoft Entra protège les identités en ajoutant une couche de sécurité supplémentaire. La couche supplémentaire offre un moyen efficace d’empêcher l’accès non autorisé. L’authentification multifacteur permet de valider davantage les informations de connexion pendant le processus d’authentification. La configuration de l’application Authenticator offre une vérification en un clic. Vous pouvez aussi définir une Configuration sans mot de passe Microsoft Entra. |
| Activer les stratégies d’accès conditionnel | stratégies d’accès conditionnel permettent de restreindre l’accès aux applications approuvées uniquement. Microsoft Entra analyse les signaux de l’utilisateur, de l’appareil ou de l’emplacement pour automatiser les décisions et appliquer des stratégies d’organisation pour l’accès aux ressources et aux données. |
| Configurer la stratégie d’accès conditionnel basée sur les appareils | L’accès conditionnel avec Microsoft Intune pour la gestion des appareils et les stratégies Microsoft Entra peuvent utiliser l’état d’appareil pour accorder ou refuser l’accès à vos services et données. En déployant des stratégies de conformité des appareils, il détermine s’il répond aux exigences de sécurité pour prendre des décisions pour autoriser l’accès aux ressources ou les refuser. |
| Utiliser le contrôle d’accès en fonction du rôle (RBAC) | RBAC dans Microsoft Entra ID assure la sécurité au niveau de l’entreprise, avec séparation des tâches. Ajustez et examinez les autorisations pour protéger la confidentialité, la vie privée et la gestion des accès aux ressources et aux données sensibles avec les systèmes. Microsoft Entra ID prend en charge les rôles intégrés, qui sont un ensemble fixe d’autorisations qui ne peut pas être modifié. Vous pouvez également créer vos propres rôles personnalisés où vous pouvez ajouter une liste prédéfinie. |
Conseils en matière de protection de la sécurité des transmissions
Microsoft Entra ID répond aux exigences de pratique liées à l’identité pour l’implémentation de protections HIPAA. Pour être conforme à HIPAA, implémentez les protections à l’aide de ces conseils, ainsi que d’autres configurations ou processus nécessaires.
Pour le chiffrement :
Protégez la confidentialité des données.
Empêcher le vol de données.
Empêcher l’accès non autorisé à PHI.
Vérifiez le niveau de chiffrement sur les données.
Pour protéger la transmission des données PHI :
Protégez le partage des données PHI.
Protégez l’accès aux données PHI.
Vérifiez que les données transmises sont chiffrées.
Le contenu suivant fournit une liste des conseils de protection de la sécurité de l’audit et de la sécurité de transmission à partir des recommandations HIPAA et des recommandations de Microsoft pour vous permettre de répondre aux exigences de mise en œuvre de la protection avec Microsoft Entra ID.
HIPAA - chiffrement
Implement a mechanism to encrypt and decrypt electronic protected health information.
Vérifiez que les données ePHI sont chiffrées et déchiffrées avec la clé/processus de chiffrement conforme.
| Recommandation | Action |
|---|---|
| Passer en revue les points de chiffrement Microsoft 365 | Encryption avec Microsoft Purview dans Microsoft 365 est un environnement hautement sécurisé qui offre une protection étendue dans plusieurs couches : le centre de données physique, la sécurité, le réseau, l’accès, l’application et la sécurité des données. Passez en revue la liste de chiffrement et modifiez si davantage de contrôle est nécessaire. |
| Passer en revue le chiffrement de base de données | chiffrement transparent des données ajoute une couche de sécurité pour protéger les données au repos contre l’accès non autorisé ou hors connexion. Il chiffre la base de données à l’aide du chiffrement AES. masquage dynamique des données pour les données sensibles, ce qui limite l’exposition des données sensibles. Il masque les données aux utilisateurs non autorisés. Le masquage inclut des champs désignés, que vous définissez dans un nom de schéma de base de données, un nom de table et un nom de colonne. Nouvelles bases de données sont chiffrées par défaut et la clé de chiffrement de base de données est protégée par un certificat de serveur intégré. Nous vous recommandons de passer en revue les bases de données pour vous assurer que le chiffrement est défini sur le patrimoine de données. |
| Réviser les points d'encryption d'Azure | fonctionnalité de chiffrement Azure couvre les principaux domaines des données au repos, des modèles de chiffrement et de la gestion des clés à l’aide d’Azure Key Vault. Passez en revue les différents niveaux de chiffrement et comment ils correspondent aux scénarios au sein de votre organisation. |
| Évaluer la gouvernance de la collecte et de la rétention des données | La Gestion du cycle de vie des données Microsoft Purview vous permet d’appliquer des stratégies de rétention. Microsoft Purview Records Management vous permet d’appliquer des étiquettes de rétention. Cette stratégie vous permet d’obtenir une visibilité des ressources dans l’ensemble du patrimoine de données. Cette stratégie vous permet également de protéger et de gérer les données sensibles entre les clouds, les applications et les points de terminaison. Important : Comme indiqué dans 45 CFR 164.316: limite de temps (obligatoire). Conservez la documentation requise par le paragraphe (b)(1) de cette section pendant six ans à compter de la date de création ou de la date à laquelle elle était en vigueur, selon la date la plus récente. |
HIPAA : protéger la transmission des données PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Établissez des stratégies et des procédures pour protéger l’échange de données qui contient des données PHI.
| Recommandation | Action |
|---|---|
| Évaluer l’état des applications locales | La mise en œuvre du proxy d’application Microsoft Entra publie des applications web locales en externe et de manière sécurisée. Le proxy d’application Microsoft Entra vous permet de publier en toute sécurité un point de terminaison d’URL externe dans Azure. |
| Activer l’authentification multifacteur | L’authentification multifacteur Microsoft Entra protège les identités en ajoutant une couche de sécurité. L’ajout de couches de sécurité supplémentaires est un moyen efficace d’empêcher l’accès non autorisé. L’authentification multifacteur permet d'exiger une validation supplémentaire des informations d’identification lors du processus d'authentification. Vous pouvez configurer l’application Authenticator pour fournir une vérification en un clic ou une authentification sans mot de passe. |
| Activer les stratégies d’accès conditionnel pour l’accès aux applications | Les stratégies d’accès conditionnel permettent de restreindre l’accès aux applications approuvées. Microsoft Entra analyse les signaux de l’utilisateur, de l’appareil ou de l’emplacement pour automatiser les décisions et appliquer des stratégies d’organisation pour l’accès aux ressources et aux données. |
| Passer en revue les stratégies EOP (Exchange Online Protection) | protection contre le courrier indésirable et les programmes malveillants Exchange Online fournit des programmes malveillants intégrés et un filtrage du courrier indésirable. EOP protège les messages entrants et sortants et est activé par défaut. Les services EOP fournissent également des messages anti-usurpation, des quarantaines et la possibilité de signaler des messages dans Outlook. Les stratégies peuvent être personnalisées pour s’adapter aux paramètres à l’échelle de l’entreprise, celles-ci sont prioritaires sur les stratégies par défaut. |
| Configurer des étiquettes de sensibilité | étiquettes de confidentialité de Microsoft Purview vous permettent de classifier et de protéger les données de vos organisations. Les étiquettes fournissent aux conteneurs des paramètres de protection dans la documentation. Par exemple, l’outil protège les documents stockés dans les sites Microsoft Teams et SharePoint, pour définir et appliquer les paramètres de confidentialité. Étendez les étiquettes aux fichiers et aux ressources de données telles que SQL, Azure SQL, Azure Synapse, Azure Cosmos DB et AWS RDS. Au-delà des 200 types d’informations sensibles prêtes à l’emploi, il existe des classifieurs avancés tels que des entités de noms, des classifieurs pouvant être formés et EDM pour protéger les types sensibles personnalisés. |
| Évaluer si une connexion privée est requise pour se connecter aux services | Azure ExpressRoute crée des connexions privées entre les centres de données Azure basés sur le cloud et l’infrastructure qui résident localement. Les données ne sont pas transférées sur l’Internet public. Le service utilise la connectivité de couche 3, connecte le routeur de périphérie et fournit une scalabilité dynamique. |
| Évaluer les besoins VPN | La documentation sur la passerelle VPN explique comment connecter un réseau local à Azure via une connexion VPN de site à site, de point à site, de réseau virtuel à réseau virtuel et de connexion multisite VPN. Le service prend en charge les environnements de travail hybrides en fournissant un transit sécurisé des données. |