Un hôpital américain vient de subir une attaque de type rançongiciel avec pour conséquence une violation de données (perte d’informations médicales et divulgation de données personnelles sur le darkweb). La direction de l’hôpital a décidé de réévaluer toutes ses politiques de sécurité afin de se conformer aux lois fédérales US et notamment le HIPAA (Health Insurance Portability and Accountability Act) et le CFAA (Computer Fraud and Abuse Act).
En tant que CISO (Chief Information Security Officer), quelle mesure prioritaire devez-vous prendre pour renforcer la sécurité des données des patients de l’hôpital et assurer la conformité avec ces 2 lois américaines ?

[A] Réviser et renforcer les politiques de contrôle d’accès pour s’assurer que seuls les employés autorisés peuvent accéder aux données médicales sensibles.

[B] Installer un EDR sur tous les systèmes informatiques de l’hôpital pour détecter au plus tôt toute attaque via des logiciels malveillants.

[C] Demander à tous les employés de changer régulièrement leurs mots de passe afin d’augmenter la sécurité des comptes.

[D] Augmenter la surveillance de réseau pour détecter et bloquer les accès non autorisés provenant de sources externes.

reponse


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE