Un hôpital américain vient de subir une attaque de type rançongiciel avec pour conséquence une violation de données (perte d’informations médicales et divulgation de données personnelles sur le darkweb). La direction de l’hôpital a décidé de réévaluer toutes ses politiques de sécurité afin de se conformer aux lois fédérales US et notamment le HIPAA (Health Insurance Portability and Accountability Act) et le CFAA (Computer Fraud and Abuse Act).
En tant que CISO (Chief Information Security Officer), quelle mesure prioritaire devez-vous prendre pour renforcer la sécurité des données des patients de l’hôpital et assurer la conformité avec ces 2 lois américaines ?
[A] Réviser et renforcer les politiques de contrôle d’accès pour s’assurer que seuls les employés autorisés peuvent accéder aux données médicales sensibles.
[B] Installer un EDR sur tous les systèmes informatiques de l’hôpital pour détecter au plus tôt toute attaque via des logiciels malveillants.
[C] Demander à tous les employés de changer régulièrement leurs mots de passe afin d’augmenter la sécurité des comptes.
[D] Augmenter la surveillance de réseau pour détecter et bloquer les accès non autorisés provenant de sources externes.
Proposition [A] : Réviser et renforcer les politiques de contrôle d’accès est une étape essentielle pour protéger les informations médicales privées et est directement en lien avec les exigences du HIPAA. Cette mesure vise à minimiser le risque d’accès non autorisé aux données sensibles et permet de garantir l’application des 2 principes fondamentaux que sont le principe du moindre privilège et le principe du besoin d’en connaître. Cette approche de contrôle d’accès renforcé fournit une base solide pour la sécurité des données de santé et permet d’assurer la conformité avec les lois fédérales US (HIPAA et CFAA).
Proposition [B] : Bien que l’installation de sécurité comme un EDR soit une bonne pratique de base, elle est insuffisante pour répondre complètement aux exigences de conformité spécifiques à la protection des données de santé. Un logiciel EDR n’adresse pas directement à la gestion des accès et ne permet pas de garantir l’application du principe du moindre privilège.
Proposition [C] : Changer les mots de passe régulièrement est une pratique courante de sécurité, mais elle n’est plus considérée comme la meilleure pratique selon les directives de NIST. L’agence américaine recommandent plutôt d’utiliser des mots de passe forts et de les changer uniquement en cas de suspicion de compromission. Cette mesure seule est également insuffisante pour assurer une protection complète des données de santé.
Proposition [D] : L’augmentation de la surveillance de réseau est une mesure proactive pour détecter et bloquer les tentatives d’accès non autorisées. Cela peut aider à prévenir les infractions conformément au CFAA, qui criminalise l’accès non autorisé aux ordinateurs. Toutefois, sans un contrôle d’accès adéquat, la surveillance seule n’est pas suffisante pour garantir la sécurité des données.
La bonne réponse est la proposition [A]
Pour en savoir plus sur les principes fondamentaux de cybersécurité et la conformité règlementaire nous vous recommandons de suivre les module n°1 et 4 de notre formation CISSP en distanciel.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE