Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide à parcourir les détails et fournit des recommandations sur les services et fonctionnalités de Microsoft Entra ID pour prendre en charge l’alignement avec les contrôles HITRUST. Utilisez les informations pour vous aider à comprendre le framework HITRUST (Health Information Trust Alliance) et à prendre en charge votre responsabilité de garantir que votre organisation est conforme à la loi HIPAA (Health Insurance Portability and Accountability Act of 1996). Les évaluations impliquent l’utilisation d’évaluateurs HITRUST certifiés qui connaissent l’infrastructure et sont nécessaires pour vous guider tout au long du processus et comprendre les exigences.
Sigles
Le tableau suivant répertorie les acronymes et leur orthographe dans cet article.
| Acronyme | Orthographe |
|---|---|
| Après Jésus-Christ | Entité couverte |
| CSF | Cadre de sécurité commun |
| HIPAA | Loi sur la portabilité et la responsabilité de l’assurance maladie de 1996 |
| HSR | Règle de sécurité HIPAA |
| HITRUST | Alliance de Confiance en l'Information de Santé |
| IAM | Gestion de l’identité et de l’accès |
| Fournisseur d’identité | Fournisseur d’identité |
| ISO | Organisation internationale de normalisation |
| DOCTRINES | Système de gestion de la sécurité des informations |
| JEA | Accès suffisant |
| JML | Rejoindre, déplacer, quitter |
| AMF | Authentification multi-facteur Microsoft Entra |
| NIST | National Institute of Standards and Technology, US Dept. of Commerce |
| PHI | Informations d’intégrité protégées |
| PIM | Gestion des identités privilégiées |
| Authentification unique (SSO) | Authentification unique |
| ROBINET | Passe d’accès temporaire |
Alliance de Confiance en l'Information de Santé
L’organisation HITRUST a établi le Common Security Framework (CSF) pour normaliser et rationaliser les exigences en matière de sécurité et de confidentialité pour les organisations du secteur de la santé. HITRUST CSF a été fondé en 2007 pour répondre aux problèmes complexes de réglementation, de sécurité et de confidentialité auxquels les organisations doivent faire face lors de la gestion des données personnelles et des données d’information médicale protégée (PHI). Le CSF se compose de 14 catégories de contrôle comprenant 49 objectifs de contrôle et 156 spécificités de contrôle. Elle s’appuie sur les principes fondamentaux de l’Organisation internationale de normalisation (ISO) 27001 et ISO 27002.
L’outil HITRUST MyCSF est disponible dans la Place de marché Azure. Utilisez-le pour gérer les risques de sécurité des informations, la gouvernance des données, pour respecter les réglementations en matière de protection des informations, respecter également les normes nationales et internationales et les meilleures pratiques.
Remarque
ISO 27001 est une norme de gestion qui spécifie les exigences d’un système de gestion de la sécurité des informations (ISMS). ISO 27002 est un ensemble de bonnes pratiques pour sélectionner et implémenter des contrôles de sécurité dans l’infrastructure ISO 27001.
Règle de sécurité HIPAA
La règle de sécurité HIPAA (HSR) établit des normes pour protéger les informations de santé personnelles électroniques créées, reçues, utilisées ou conservées par une entité couverte (CE), qui est un plan de santé, un centre de compensation des soins de santé ou un fournisseur de soins de santé. Le Département américain de la santé et des services humains (HHS) gère le HSR. HHS exige des garanties administratives, physiques et techniques pour garantir la confidentialité, l’intégrité et la sécurité du PHI électronique.
HITRUST et HIPAA
HITRUST a développé le CSF, qui comprend des normes de sécurité et de confidentialité pour soutenir les réglementations en matière de soins de santé. Les contrôles et les meilleures pratiques du CSF simplifient la tâche de consolider les sources afin de garantir la conformité avec la législation fédérale, la sécurité HIPAA et les règles de confidentialité. HITRUST CSF est un framework de sécurité et de confidentialité certifiable avec des contrôles et des exigences pour démontrer la conformité HIPAA. Les organisations de santé ont largement adopté le cadre. Utilisez le tableau suivant pour en savoir plus sur les contrôles.
| Catégorie de contrôle | Nom de la catégorie de contrôle |
|---|---|
| 0 | Programme de gestion de la sécurité des informations |
| 1 | Contrôle d’accès |
| 2 | Sécurité des ressources humaines |
| 3 | Gestion du risque |
| 4 | Stratégie de sécurité |
| 5 | Organisation de la sécurité des informations |
| 6 | Conformité |
| 7 | Gestion des ressources |
| 8 | Sécurité physique et environnementale |
| 9 | Gestion des communications et des opérations |
| 10 | Acquisition, développement et maintenance des systèmes d’information |
| 11 | Gestion des incidents de sécurité informatique |
| 12 | Gestion de la continuité d’activité |
| 13 | Pratiques de confidentialité |
En savoir plus sur la plateforme Microsoft Azure est certifiée HITRUST CSF, qui inclut la gestion des identités et des accès :
- ID Microsoft Entra, anciennement appelé Azure Active Directory
- Gestion des droits avec Microsoft Purview
- Authentification multifacteur (MFA) Microsoft Entra
Catégories et recommandations de contrôle d’accès
Le tableau suivant présente la catégorie de contrôle d’accès pour la gestion des identités et des accès (IAM) et les recommandations de Microsoft Entra pour répondre aux exigences de catégorie de contrôle. Les détails proviennent de la norme HITRUST MyCSF v11, qui fait référence à la règle de sécurité HIPAA, ajoutée au contrôle correspondant.
| Contrôle, objectif et HSR HITRUST | Conseils et recommandations de Microsoft Entra |
|---|---|
|
Contrôle CSF V11 01.b Inscription utilisateur catégorie de contrôle Contrôle d’accès – Inscription des utilisateurs et De-Registration Spécification du contrôle L’organisation utilise un processus formel d’inscription et de désinscription des utilisateurs pour activer l’attribution de droits d’accès. Nom de l’objectif Accès autorisé aux systèmes d’information Règle de sécurité HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID est une plateforme d’identité pour la vérification, l’authentification et la gestion des informations d’identification lorsqu’une identité se connecte à son appareil, à son application ou à son serveur. Il s’agit d’un service de gestion des identités et des accès cloud avec l’authentification unique, l’authentification multifacteur et l’accès conditionnel pour se protéger contre les attaques de sécurité. L’authentification garantit que seules les identités autorisées accèdent aux ressources et aux données. Les flux de travail de cycle de vie permettent à la gouvernance des identités d’automatiser le cycle de vie de l'entrant, du transfert, du partant (JML). Il centralise le processus de flux de travail à l’aide des modèles intégrés ou vous créez des flux de travail personnalisés. Cette pratique permet de réduire ou de supprimer potentiellement des tâches manuelles pour les exigences de stratégie JML organisationnelles. Sur le portail Azure, accédez à Gouvernance des ID dans le menu Microsoft Entra ID pour passer en revue ou configurer des tâches pour vos besoins organisationnels. Microsoft Entra Connect intègre des annuaires sur site avec Microsoft Entra ID, prenant en charge l'utilisation d'identités uniques pour accéder aux applications sur site et aux services cloud tels que Microsoft 365. Il orchestre la synchronisation entre Active Directory (AD) et Microsoft Entra ID. Pour commencer à utiliser Microsoft Entra Connect, passez en revue les conditions préalables. Prenez note des exigences du serveur et de la façon de préparer votre tenant Microsoft Entra pour la gestion. Microsoft Entra Connect Sync est un agent d’approvisionnement géré sur le cloud, qui prend en charge la synchronisation avec Microsoft Entra ID à partir d’un environnement AD déconnecté à plusieurs forêts. Utilisez les agents légers avec Microsoft Entra Connect. Nous vous recommandons de synchroniser le hachage de mot de passe pour réduire le nombre de mots de passe et protéger contre la détection des informations d’identification divulguées. |
|
Contrôle CSF V11 01.c Privilege Management catégorie de contrôle Contrôle d’accès – Comptes privilégiés Spécification du contrôle L’organisation garantit que les comptes d’utilisateur autorisés sont inscrits, suivis et validés régulièrement pour empêcher l’accès non autorisé aux systèmes d’information Nom de l’objectif Accès autorisé aux systèmes d’information Règle de sécurité HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) est un service dans Microsoft Entra ID pour gérer, contrôler et surveiller l’accès aux ressources importantes d’une organisation. Il réduit le nombre de personnes ayant accès à des informations sécurisées pour empêcher les acteurs malveillants d’accéder. PIM dispose d’un accès basé sur le temps et l’approbation, pour atténuer les risques d’autorisations d’accès excessives, inutiles ou incorrectes. Il permet d’identifier et d’analyser les comptes privilégiés pour vous assurer que vous fournissez un accès suffisant (JEA) pour qu’un utilisateur effectue son rôle. La surveillance et la génération d’alertes empêchent les activités suspectes, répertorient les utilisateurs et les rôles qui déclenchent l’alerte, tout en réduisant le risque d’accès non autorisé. Personnalisez les alertes pour votre stratégie de sécurité organisationnelle. Les révisions d’accès permettent aux organisations de gérer efficacement les attributions de rôles et l’appartenance au groupe. Maintenez la sécurité et la conformité en évaluant quels comptes ont accès et assurez-vous que l’accès est révoqué si nécessaire, ce qui réduit les risques liés à des autorisations excessives ou obsolètes. |
|
Contrôle CSF V11 0.1d Gestion des mots de passe utilisateur catégorie de contrôle Contrôle d’accès - Procédures Spécification du contrôle Pour vous assurer que les comptes d’utilisateur autorisés sont inscrits, suivis et validés régulièrement pour empêcher l’accès non autorisé aux systèmes d’information. Nom de l’objectif Accès autorisé aux systèmes d’information Règle de sécurité HIPAA §164.308(a)(5)(ii)(D) |
La gestion des mots de passe est un aspect essentiel de l’infrastructure de sécurité. Pour s'aligner sur les meilleures pratiques et créer une posture de sécurité robuste, Microsoft Entra ID facilite une stratégie complète en matière de sécurité : l'authentification unique (SSO), l'authentification multifacteur (MFA) et l'authentification sans mot de passe, telles que les clés de sécurité FIDO2 et Windows Hello pour Entreprises (WHfB) qui atténuent les risques utilisateurs et simplifient l'expérience d'authentification. Microsoft Entra Password Protection détecte et bloque les mots de passe faibles connus. Il intègre des stratégies de mot de passe et offre la possibilité de définir une liste de mots de passe personnalisée et de créer une stratégie de gestion des mots de passe pour protéger l’utilisation du mot de passe. Les exigences de longueur et de force du mot de passe HITRUST s’alignent sur le NIST 800-63B national institute of Standards and Technology, qui comprend au moins huit caractères pour un mot de passe ou 15 caractères pour les comptes disposant de l’accès le plus privilégié. Les mesures de complexité incluent au moins un nombre et/ou un caractère spécial et au moins une lettre majuscule et minuscule pour les comptes privilégiés. |
|
Contrôle CSF V11 Procédures de connexion sécurisées 01.p catégorie de contrôle Contrôle d’accès – Connexion sécurisée Spécification du contrôle L’organisation contrôle l’accès aux ressources d’informations à l’aide d’une procédure d’ouverture de session sécurisée. Nom de l’objectif Contrôle d’accès du système d’exploitation Règle de sécurité HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
La connexion sécurisée est le processus d’authentification d’une identité de manière sécurisée lorsqu’elle tente d’accéder à un système. Le contrôle se concentre sur le système d’exploitation, les services Microsoft Entra aident à renforcer la connexion sécurisée. Les stratégies d’accès conditionnel aident les organisations à restreindre l’accès aux applications, ressources et s’assurer que les appareils sont sécurisés. Microsoft Entra ID analyse les signaux des stratégies d’accès conditionnel à partir de l’identité, de l’emplacement ou de l’appareil pour automatiser la décision et appliquer des stratégies d’organisation pour l’accès aux ressources et aux données. Le contrôle d’accès en fonction du rôle (RBAC) vous permet de gérer l’accès et les ressources gérées dans votre organisation. RBAC permet d’implémenter le principe du privilège minimum, ce qui garantit aux utilisateurs les autorisations dont ils ont besoin pour effectuer leurs tâches. Cette action réduit le risque de configuration incorrecte accidentelle ou intentionnelle. Comme indiqué pour la gestion des mots de passe utilisateur 0.1d, l’authentification sans mot de passe utilise la biométrie, car elles sont difficiles à falsifier, fournissant ainsi une authentification plus sécurisée. |
|
Contrôle CSF V11 01.q Identification et authentification des utilisateurs catégorie de contrôle N/A Spécification du contrôle Tous les utilisateurs doivent avoir un identificateur unique (ID d’utilisateur) pour leur utilisation personnelle uniquement, et une technique d’authentification doit être implémentée pour justifier l’identité revendiquée d’un utilisateur. Nom de l’objectif N/A Règle de sécurité HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Utilisez le provisionnement de compte dans l’ID Microsoft Entra pour créer, mettre à jour et gérer des comptes d’utilisateur. Chaque utilisateur et objet se voit attribuer un identificateur unique (UID) appelé ID d’objet. L’UID est un identificateur global unique généré automatiquement lorsqu’un utilisateur ou un objet est créé. Microsoft Entra ID prend en charge l’approvisionnement automatisé d’utilisateurs pour les systèmes et les applications. L’approvisionnement automatisé crée de nouveaux comptes dans les systèmes appropriés lorsque des personnes rejoignent une équipe dans une organisation. Le déprovisionnement automatisé désactive les comptes lorsque les personnes quittent. |
|
Contrôle CSF V11 01.u Limitation de l’heure de connexion catégorie de contrôle Contrôle d’accès - Connexion sécurisée Spécification du contrôle L’organisation contrôle l’accès aux ressources d’informations à l’aide d’une procédure d’ouverture de session sécurisée. Nom de l’objectif Contrôle d’accès du système d’exploitation Règle de sécurité HIPAA § 164.312(a)(2)(iii) |
Le contrôle se concentre sur le système d’exploitation, les services Microsoft Entra aident à renforcer la connexion sécurisée. La connexion sécurisée est le processus d’authentification d’une identité de manière sécurisée lorsqu’elle tente d’accéder à un système. Microsoft Entra authentifie les utilisateurs et dispose de fonctionnalités de sécurité avec des informations sur l’utilisateur et la ressource. Les informations incluent le jeton d’accès, le jeton d’actualisation et le jeton d’ID. Configurez conformément aux exigences de votre organisation pour l’accès aux applications. Utilisez ces conseils principalement pour les clients mobiles et de bureau. Les stratégies d’accès conditionnel prennent en charge les paramètres de configuration pour la restriction du navigateur web des sessions authentifiées. Microsoft Entra ID intègre des systèmes d’exploitation pour offrir une meilleure expérience utilisateur et une meilleure prise en charge des méthodes d’authentification sans mot de passe répertoriées : L’authentification unique de plateforme pour macOS étend les fonctionnalités d’authentification unique pour macOS. Les utilisateurs se connectent à un Mac à l’aide d’informations d’identification sans mot de passe ou de la gestion des mots de passe validées par l’ID Microsoft Entra. L’expérience sans mot de passe Windows favorise une expérience d’authentification sans mot de passe sur les appareils joints à Microsoft Entra. L’utilisation de l’authentification sans mot de passe réduit les vulnérabilités et les risques associés à l’authentification par mot de passe traditionnelle, telles que les attaques par hameçonnage, la réutilisation des mots de passe et l’interception des enregistreurs de clés des mots de passe. La connexion web pour Windows est un fournisseur d’informations d’identification qui étend les fonctionnalités de la connexion web dans Windows 11, couvrant Windows Hello Entreprise, la passe d’accès temporaire (TAP) et les identités fédérées. Azure Virtual Desktop prend en charge l’authentification unique et l’authentification sans mot de passe. Avec l’authentification unique, vous pouvez utiliser l’authentification sans mot de passe et les fournisseurs d’identité tiers qui fédèrent avec Microsoft Entra ID pour s'authentifier à vos ressources Azure Virtual Desktop. Il offre une expérience SSO lors de la connexion à l'hôte de session. Il configure la session pour fournir le SSO aux ressources Microsoft Entra au cours de la session. |
Étapes suivantes
Configurer les protections de contrôle d’accès HIPAA de Microsoft Entra