Quel référentiel américain comprenant un ensemble de mesures de sécurité peut être utilisé pour attester sa conformité pour la sécurité des données sensibles (et notamment les données de santé) selon 3 niveaux de garantie : auto-évaluation, validé et certifié ?

[A] HIPAA

[B] HITECH

[C] HITRUST CSF

[D] ISO/IEC 27799


reponse linkedin

CBK1 Q08 LINK

CBK8 Q03 Coluche

84% des participants sur Linkedin ont répondu HIPAA mais comme disait Coluche : « Ce n’est pas parce qu’ils sont nombreux à avoir tort qu’ils ont raison ! »


HIPAA et HITECH sont des lois américaines relatives à la sécurité des données de santé. A ce titre ces lois ne décrivent pas des mesures de sécurité permettant de s’évaluer comme le stipule la question. D’autre part, HIPAA et HITECH traitent exclusivement la problématique des données de santé. D’ailleurs les 2 premières lettres de ces sigles signifient Health Insurance pour HIPAA et Health Information pour HITECH. Or la question parle de données sensibles dont les données de santé ne sont qu’un exemple. Par conséquent, cela ne pouvait pas être HIPAA comme le pensait la majorité des participants.

L’ISO ISO/IEC 27799  est une norme internationale pour le management de la sécurité de l’information relative à la santé qui s’appuie sur l’ISO/IEC 27002. L’ISO 27799 n’est pas la bonne réponse car c’est une norme de bonnes pratiques et elle ne permet en aucun cas d’attester un niveau de conformité. On notera également que l’ISO 27799 est une norme internationale et pas un référentiel américain.

La bonne réponse est la proposition [C] HITRUST CSF

Le référentiel HITRUST CSF actuellement en vigueur est la version 9.6.0 publiée en décembre 2021. Vous pouvez trouver de plus amples informations sur ce document sur le site de la société américaine HITRUST : https://hitrustalliance.net/product-tool/hitrust-csf

astuce examen cissp

Très peu utilisé en Europe et notamment en France, le référentiel HITRUST CSF est peu connu des professionnels exerçant au sein de l’UE mais il est cependant au programme officiel du CISSP. C’est donc à ce titre une question du CISSP assez difficile qui demande une parfaite connaissance du CBK. L’astuce consiste ici à sélectionner la bonne réponse par déduction (ce n’est pas HIPAA ou HITECH qui sont des lois américaines et ce n’est pas non plus l’ISO 27299 qui est une norme internationale).


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE