Conseils sur la protection des contrôles d’audit
Microsoft Entra ID répond aux exigences de pratiques liées à l’identité pour l’implémentation des protections HIPAA (Health Insurance Portability and Accountability Act of 1996). Pour être conforme à HIPAA, il faut implémenter les garanties à l’aide de ces conseils ainsi que toutes les autres configurations ou processus nécessaires.
Pour les contrôles d’audit :
Établissez la gouvernance des données pour le stockage de données personnelles.
Identifiez et étiquetez les données sensibles.
Configurez la collecte d’audit et sécurisez les données de journal.
Configurez la prévention contre la perte de données.
Activez la protection des informations.
Pour la protection :
Déterminez où sont stockées les données d’informations d’intégrité protégées (PHI).
Identifiez et atténuez les risques liés aux données stockées.
Cet article fournit une formulation de protection HIPAA pertinente, suivie d’un tableau contenant des recommandations et des conseils Microsoft pour vous aider à atteindre la conformité HIPAA.
Contrôles d’audit
Le contenu suivant est des conseils de protection de HIPAA. Recherchez les recommandations Microsoft pour répondre aux exigences d’implémentation de la protection.
Protection HIPAA - Contrôles d’audit
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| Recommandation | Action |
|---|---|
| Activer Microsoft Purview | Microsoft Purview permet de gérer et de surveiller les données en fournissant une gouvernance des données. L’utilisation de Purview permet de réduire les risques de conformité et de répondre aux exigences réglementaires. Microsoft Purview dans le portail de gouvernance fournit un service unifié de gouvernance des données qui vous aide à gérer vos données locales, multiclouds et SaaS (Software-as-service). Microsoft Purview est une infrastructure, une suite de produits qui fonctionnent ensemble pour fournir une visualisation de la protection du cycle de vie des données sensibles pour les données et la protection contre la perte de données. |
| Activer Microsoft Sentinel | Microsoft Sentinel est un service SIEM (Security Information and Event Management) et SOAR (Security Orchestration, Automation, and Response). Microsoft Sentinel collecte les journaux d’audit et utilise l’IA intégrée pour faciliter l’analyse de grands volumes de données. SIEM permet à une organisation de détecter les incidents qui peuvent ne pas être détectés. |
| Configurer Azure Monitor | Utiliser les journaux Azure Monitor collecte et organise les journaux, en les étendant aux environnements cloud et hybrides. Il fournit des recommandations sur les domaines clés sur la façon de protéger les ressources combinées avec le centre de gestion de la confidentialité Azure. |
| Activation de la journalisation et de la surveillance | La journalisation et la surveillance sont essentielles à la sécurisation d'un environnement. Les données prennent en charge les investigations et permettent de détecter les menaces potentielles en identifiant des modèles inhabituels. Activez la journalisation et la surveillance des services pour réduire le risque d’accès non autorisé. Nous vous recommandons de surveiller les journaux d’activité Microsoft Entra. |
| Analyser les données d’informations médicales électroniques protégées (ePHI) dans l’environnement | Microsoft Purview peut être activé en mode audit pour analyser les ePHI qui se trouvent dans le patrimoine de données et les ressources utilisées pour stocker ces données. Cette fonctionnalité permet d’établir la classification et l’étiquetage des données en fonction de la sensibilité des données. |
| Créer une stratégie de protection contre la perte de données (DLP) | Les stratégies DLP permettent d’établir des processus pour s’assurer que les données sensibles ne sont pas perdues, utilisées à mauvais escient ou accessibles par des utilisateurs non autorisés. Il empêche les violations de données et l’exfiltration. Microsoft Purview DLP examine les e-mails, accédez au portail de conformité Microsoft Purview pour passer en revue les stratégies et les personnaliser pour votre organisation. |
| Activer la surveillance via Azure Policy | Azure Policy permet d’appliquer des normes organisationnelles et permet d’évaluer l’état de conformité dans un environnement. Cette approche garantit la cohérence, la conformité réglementaire et la surveillance en fournissant des recommandations de sécurité via Microsoft Defender pour le cloud |
| Évaluer les exigences de gestion des appareils | Microsoft IntTune offre une solution MDM (gestion des appareils mobiles) et une solution GAM (gestion des applications mobiles). Microsoft Intune permet de contrôler les appareils de l’entreprise et personnels. Les fonctionnalités incluent la gestion de la façon dont les appareils peuvent être utilisés et l’application de stratégies qui vous donnent un contrôle direct sur les applications mobiles. |
| Protection des applications | Microsoft Intune peut vous aider à établir une infrastructure de protection des données qui couvre les applications Office Microsoft 365 et les incorpore sur les appareils. Les stratégies de protection d'applications garantissent que les données organisationnelles restent sécurisées et contenues dans l’application sur les appareils personnels (BYOD) et les appareils appartenant à l’entreprise. |
| Configurer la gestion des risques internes | La gestion des risques internes Microsoft Purview met en corrélation les signaux permettant d’identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes vous permet de créer des stratégies pour gérer la sécurité et la conformité. Cette fonctionnalité repose sur le principe de la confidentialité par conception, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès et des journaux d’audit en fonction du rôle sont en place pour garantir la confidentialité au niveau de l’utilisateur. |
| Configurer la conformité des communications | Microsoft Purview Communication Compliance fournit les outils permettant aux organisations de détecter la conformité réglementaire, comme la conformité aux normes SEC (Securities and Exchange Commission) ou FINRA (Financial Industry Regulatory Authority). L’outil surveille les violations de conduite commerciale, telles que les informations sensibles ou confidentielles, le harcèlement ou le langage menaçant, et le partage de contenu pour adultes. Cette fonctionnalité est conçue avec la confidentialité par conception, les noms d’utilisateur sont pseudonymisés par défaut, les contrôles d’accès en fonction du rôle sont intégrés, les enquêteurs sont acceptés par un administrateur et les journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur. |
Contrôles de protection
Le contenu suivant fournit les conseils sur les contrôles de protection à partir de HIPAA. Recherchez les recommandations Microsoft pour répondre à la conformité HIPAA.
HIPAA - protection
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| Recommandation | Action |
|---|---|
| Environnement d’analyse des données ePHI | Microsoft Purview peut être activé en mode audit pour analyser les ePHI qui se trouvent dans le patrimoine de données et les ressources utilisées pour stocker ces données. Ces informations permettent d’établir la classification des données et d’étiqueter la sensibilité des données. En outre, l’utilisation de Content Explorer fournit une visibilité sur l’emplacement des données sensibles. Ces informations aident à démarrer le parcours d’étiquetage, de l’application manuelle des recommandations d’étiquetage ou d’étiquetage côté client à l’étiquetage automatique côté service. |
| Activer Priva pour protéger les données Microsoft 365 | Microsoft Priva permet d’évaluer les données ePHI stockées dans Microsoft 365, analyse et évalue mes informations sensibles. |
| Activer le benchmark de sécurité Azure | Le benchmark de sécurité cloud Microsoft fournit un contrôle de la protection des données entre les services Azure et fournit une base de référence pour l’implémentation des services qui stockent les ePHI. Le mode Audit fournit ces recommandations et étapes de correction pour sécuriser l’environnement. |
| Activer la gestion des vulnérabilités de Defender | La gestion des vulnérabilités de Microsoft Defender est un module intégré dans Microsoft Defender pour Endpoint. Le module vous aide à identifier et à découvrir les vulnérabilités et les erreurs de configuration en temps réel. Le module vous aide également à hiérarchiser la présentation des résultats dans un tableau de bord, ainsi que des rapports sur les appareils, les machines virtuelles et les bases de données. |
En savoir plus
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour