Guide sur la conformité HIPAA pour les containers et le cloud
Il n’est pas nécessaire d’être un expert en conformité ou en sécurité du cloud pour avoir entendu parler de l’HIPAA, la principale réglementation américaine en matière de confidentialité des soins de santé. Quasiment toute personne ayant reçu des soins de santé aux États-Unis a entendu parler de l’HIPAA et a une compréhension générale de sa fonction.
Pourtant, la mise en conformité avec la loi HIPAA dans les environnements modernes, dans le cloud ou en containers, reste un défi, même pour les développeurs et les équipes informatiques expérimentés. Malgré – ou peut-être à cause de – le fait que l’HIPAA a plus de vingt ans, elle offre peu de directives spécifiques sur la manière dont les organisations doivent garantir la confidentialité des données relatives aux soins de santé qu’elles gèrent dans le cloud ou via des containers. Mais elle impose une série de mandats de sécurité et de conformité de haut niveau que les entreprises doivent respecter si elles utilisent des containers ou le cloud.
Pour aider les équipes à naviguer dans le paysage complexe de l’HIPAA dans le contexte de l’informatique moderne et native du cloud, cet article explique ce qu’est l’HIPAA et quelles sont les meilleures pratiques à suivre pour assurer la conformité à l’HIPAA dans le cloud et dans les environnements en containers.
Comme nous allons le voir, bien que l’ambiguïté des exigences techniques de l’HIPAA signifie qu’il n’existe pas de règles strictes sur la manière exacte de concevoir et de configurer des environnements cloud et en containers, il est assez facile de concevoir des stratégies de conformité qui appliquent les normes de sécurité et de confidentialité de l’HIPAA dans la plupart des environnements cloud natifs modernes.
Qu’est-ce que l’HIPAA ?
La loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act, ou HIPAA) est une loi fédérale américaine conçue pour protéger la confidentialité des données sensibles relatives aux soins de santé. Elle oblige les entreprises à protéger la confidentialité des données personnelles associées aux soins de santé.
L’HIPAA est entrée en vigueur en 1996, mais elle a été prolongée à plusieurs reprises depuis lors par l’introduction de « règles » supplémentaires qui définissent des mandats non inclus dans la loi HIPAA initiale. Pour les équipes informatiques et les développeurs, la règle HIPAA la plus importante est la règle relative à la confidentialité, qui est entrée en vigueur en 2003. La règle de confidentialité définit des types spécifiques d’« informations de santé personnelles », ou PHI, que les organisations doivent protéger afin de répondre aux exigences de confidentialité des données de l’HIPAA.
Les PHI (et les PHI électroniques, ou ePHI, terme le plus souvent utilisé pour désigner les PHI stockés sous forme numérique) comprennent des données telles que les noms et adresses physiques des patients, les adresses IP, les numéros de compte et (surtout) « tout autre numéro, caractéristique ou code d’identification unique ». Cette dernière terminologie implique que les protections de la vie privée de l’HIPAA s’étendent largement pour inclure tout type de données numériques – comme les chaînes d’agent utilisateur, les données de l’historique de navigation ou les entrées de journal – qui pourraient potentiellement être liées à des utilisateurs individuels.
À qui s’applique l’HIPAA ?
Déterminer à quelles organisations s’applique l’HIPAA est une question complexe. L’HIPAA a fait l’objet de certaines critiques en raison de l’absence d’une définition précise des entités qu’elle couvre, et des types de supports (électroniques, oraux ou papier) qui sont soumis à la réglementation HIPAA s’ils impliquent des PHI. L’évaluation de l’applicabilité de l’HIPAA est encore plus compliquée dans les situations où des organisations partenaires ou des fournisseurs peuvent avoir accès à des données sur les soins de santé qui ont été recueillies par une autre organisation.
En raison notamment de cette ambiguïté, la meilleure pratique consiste à interpréter l’HIPAA comme ayant des implications très larges. Si votre entreprise stocke ou traite tout type de données qui pourraient raisonnablement être interprétées comme constituant des PHI, il est préférable de partir du principe que l’HIPAA s’applique à votre cas. Même si votre entreprise ne fait pas partie du secteur des soins de santé ou si les données que vous collectez ou gérez n’ont pas un objectif explicitement lié aux soins de santé, il vaut mieux se mettre en conformité avec l’HIPAA que d’ignorer l’HIPAA pour découvrir plus tard que les autorités réglementaires considèrent que vous êtes soumis à l’HIPAA et vous infligent une amende en raison de votre non-conformité.
Notez également que, bien que l’HIPAA soit une loi américaine et qu’elle ne s’applique techniquement pas aux organisations basées en dehors des États-Unis, le gouvernement fédéral déclare que les réglementations de l’HIPAA restent en vigueur dans les situations où les organisations stockent des données en dehors des États-Unis si ces organisations sont basées aux États-Unis.
Quels sont les coûts de la non-conformité à l’HIPAA ?
Les amendes prévues par l’HIPAA en cas de non-conformité sont très variables, allant de 100 dollars à 50 000 dollars par anomalie. L’amende annuelle maximale est de 1,5 million de dollars, mais les régulateurs peuvent imposer des amendes pour plusieurs années.
Les exemples de mesures d’application de l’HIPAA qui ont coûté de grosses sommes d’argent aux contrevenants ne manquent pas. À ce jour, la plus importante a été une amende de 16 millions de dollars, qui a été infligée contre Anthem en 2018.
Meilleures pratiques de conformité HIPAA pour le cloud
Là encore, l’HIPAA a été introduite dans les années 1990, et la plupart des principales extensions du dispositif législatif datent du début des années 2000. L’HIPAA a donc été rédigée avant que l’informatique dans le cloud ne se répande, et elle n’offre pratiquement aucune orientation technique spécifique pour assurer la conformité dans les environnements basés sur le cloud. Le gouvernement fédéral propose quelques directives de haut niveau pour assurer la conformité HIPAA dans le cloud, mais elles se concentrent principalement sur la manière d’interpréter le rôle d’un fournisseur de cloud dans la gestion des PHI HIPAA plutôt que d’expliquer exactement comment configurer et sécuriser les services de cloud pour la conformité HIPAA.
Néanmoins, diverses bonnes pratiques ont vu le jour pour aider les entreprises à se conformer aux exigences de l’HIPAA. Les points suivants sont les plus importants à prendre en compte pour les environnements cloud modernes.
Utiliser un cloud conforme à l’HIPAA
Avant toute chose, les organisations doivent s’assurer de faire appel à un fournisseur de cloud public conforme à la loi HIPAA. Tous les principaux clouds publics actuels sont généralement conformes à l’HIPAA, mais vous devez vous assurer que les services cloud spécifiques que vous utilisez sont conformes à l’HIPAA.
Attendez-vous à ce que les services cloud les plus courants, comme les VMs et le stockage, soient conformes à la loi HIPAA. Mais les services plus obscurs, ou ceux qui impliquent des architectures hybrides complexes, peuvent ne pas être assortis d’une garantie de conformité totale à la loi HIPAA (surtout si la plupart des responsabilités en matière de sécurité incombent aux clients, ce qui est notamment le cas des environnements de cloud hybride).
Cependant, quel que soit le degré de conformité de votre fournisseur de cloud avec la loi HIPAA, n’oubliez pas que les modèles de responsabilité partagée du cloud dictent aux clients la responsabilité de garantir la conformité de toutes les données ou applications qu’ils déploient dans le cloud. Dans la plupart des cas, les fournisseurs de services cloud certifient uniquement que leur infrastructure sous-jacente est conforme à la loi HIPAA ; ils ne garantissent pas (ou ne laissent même pas entendre) que les workloads que vous choisissez d’exécuter dans leurs clouds seront automatiquement conformes à la loi HIPAA.
Choisir la bonne région cloud
Bien que l’HIPAA n’interdise pas le stockage de PHI sur des serveurs cloud situés en dehors des États-Unis, le gouvernement fédéral a émis des directives suggérant que si les entreprises choisissent de stocker des données dans des lieux géographiques où il y a « une augmentation documentée des tentatives de piratage ou d’autres attaques de logiciels malveillants », elles doivent prendre des mesures pour faire face à ces risques.
L’orientation n’est pas spécifique quant aux lieux qui sont soumis à ces risques. Pourtant, l’approche la plus simple du point de vue de la conformité HIPAA consiste simplement à stocker les données dans des régions cloud basées aux États-Unis.
Utiliser des contrôles d’accès au cloud
Une bonne pratique essentielle pour sécuriser les renseignements médicaux personnels (PHI) dans le cloud consiste à utiliser des frameworks de contrôle d’accès au cloud, tels que les outils IAM de votre fournisseur cloud, pour limiter les utilisateurs et les applications qui peuvent accéder aux données.
Anonymiser les PHI du cloud
L’anonymisation des données est une autre technique utile pour atténuer les risques liés à la confidentialité de l’HIPAA. L’anonymisation n’élimine pas complètement les risques pour la vie privée, car les données au départ anonymes peuvent souvent être désanonymisées. Néanmoins, l’anonymisation des données dans le cloud atténue certains risques du point de vue de l’HIPAA.
Utiliser la gestion du cycle de vie des données dans le cloud et l’archivage des versions
La plupart des fournisseurs de services cloud offrent des outils de gestion du cycle de vie des données qui peuvent supprimer automatiquement les données en fonction des règles que vous fournissez. Envisagez d’utiliser la gestion du cycle de vie pour supprimer les données après une période spécifique afin de limiter la quantité de PHI que vous stockez dans le cloud.
Vous pouvez également configurer l’archivage des versions des données sur certains services de stockage dans le cloud. Cela est utile du point de vue de la conformité, car il est facile de revenir à des versions antérieures des données au cas où les renseignements médicaux personnels (PHI) seraient corrompus pour une raison quelconque.
Conformité des containers à l’HIPAA
Si vous utilisez des containers pour déployer des applications, vous pouvez envisager d’autres bonnes pratiques pour assurer la conformité HIPAA.
Analyser les images des containers
L’analyse des images de containers vous aide à détecter les logiciels malveillants et les vulnérabilités à l’intérieur des images de containers, que les attaquants pourraient utiliser pour obtenir un accès non autorisé aux données PHI qui peuvent exister dans un environnement en containers.
Utiliser les outils RBAC des containers
Les outils IAM du cloud peuvent restreindre les contrôles d’accès aux services de containers du cloud en général, mais ils ne sont pas aussi granulaires ou extensibles que les outils RBAC spécifiques aux containers, tels que Kubernetes RBAC et les contextes de sécurité. Utilisez ces derniers types de ressources si elles sont disponibles pour appliquer des protections de sécurité supplémentaires à vos environnements en containers.
Journalisation des audits
Dans les environnements Kubernetes, la journalisation des audits peut vous alerter en cas de violation. Les journaux d’audit vous aident également à démontrer la conformité aux mandats de sécurité, ce qui peut être utile à certaines fins de conformité à l’HIPAA. Collectez et analysez les données des journaux d’audit régulièrement – ou, mieux encore, en permanence.
Sécuriser les données de containers
Dans certains cas, les PHI dans les environnements en containers peuvent exister à plusieurs endroits. Elles peuvent provenir des containers qui les collectent ou les traitent, mais se déplacer ensuite vers les volumes de stockage ou les systèmes de fichiers hôtes. Il est également possible que des données définies comme des données PHI se retrouvent dans des journaux, qui peuvent également provenir de containers mais être ensuite déplacés vers un emplacement externe par un agrégateur de journaux.
Cela signifie que, dans les environnements en containers en particulier, vous devez comprendre les complexités de votre architecture de stockage et vous assurer que les renseignements médicaux personnels (PHI) sont cryptés et protégés par des contrôles d’accès, quel que soit l’endroit où ils sont stockés. Vous ne voulez pas sécuriser les PHI à l’intérieur des containers mais oubliez de protéger vos volumes de données, ou vice versa.
Conclusion
La conformité à la loi HIPAA est un sujet compliqué, surtout à l’ère du cloud. Les régulateurs ont laissé une large place à l’interprétation lorsqu’il était question de traduire les principes de l’HIPAA dans la pratique dans les environnements natifs du cloud.
Toutefois, la bonne nouvelle est que l’HIPAA existe depuis suffisamment longtemps pour qu’un certain nombre de bonnes pratiques aient émergé pour le cloud et les containers en matière de conformité à l’HIPAA. Même si les autorités réglementaires ne vous diront pas exactement comment atteindre la conformité HIPAA dans le cloud, les meilleures pratiques de base pour y parvenir sont suffisamment claires une fois que vous aurez compris quels types de données l’HIPAA protège et comment gérer ces données de la manière la plus sûre dans les environnements de cloud et de containers.