Une attaque d’email de phishing sur une entité couverte par la loi américaine HIPAA (Health Insurance Portability and Accountability Act) a entraîné une pénalité de 400 000 $ pour non-respect de ce texte.
Ce n’est pas la première fois qu’une attaque de phishing est sanctionnée par l’Office des droits civils (OCR) pour non-conformité.
L’incapacité à prévenir les attaques de phishing n’est pas nécessairement synonyme de sanction, mais le fait de ne pas mettre en œuvre des protections suffisantes pour empêcher de telles attaques pourrait mettre les entités couvertes par l’HIPAA dans l’embarras.
Conformité HIPAA et attaque d’email de phishing
L’OCR du Département américain de la santé et des services sociaux est chargé de faire respecter les règles de la loi sur la transférabilité et la responsabilité en matière d’assurance maladie.
L’OCR effectue les audits des entités couvertes pour identifier les aspects des règles HIPAA qui s’avèrent problématiques pour les entités concernées.
Cependant, à ce jour, aucune sanction financière n’a été émise suite à des infractions à la loi HIPAA découvertes lors de ces audits. Mais ce n’est certainement pas le cas lorsqu’il s’agit d’enquêtes sur des violations de données.
OCR enquête sur toutes les formes de violations de données touchant plus de 500 personnes. Ces enquêtes aboutissent souvent à la découverte de violations des règles de l’HIPAA.
Toute entité couverte par cette loi et qui subit une attaque de phishing entraînant l’exposition d’informations de santé protégées de patients ou de membres d’assurance maladie pourrait être considérée comme ayant violé l’HIPAA.
Une seule attaque de phishing qui n’a pas été contrecarrée pourrait donc entraîner une amende considérable pour non-conformité.
Quelles sont les règles de l’HIPAA qui couvrent le phishing ?
Bien que cette loi ne mentionne pas spécifiquement le phishing, cette menace pourrait porter atteinte à la confidentialité, l’intégrité et la disponibilité des informations électroniques protégées sur la santé (ou Electronic protected health information – ePHI).
Le phishing est donc couvert par les exigences administratives de la règle de sécurité HIPAA.
Les entités couvertes par la règle de sécurité HIPAA sont tenues de dispenser une formation continue appropriée aux membres de leur personnel.
Selon le §164.308.(a).(5).(i), une formation de sensibilisation à la sécurité est nécessaire. Bien que ces exigences soient adressables, elles ne peuvent être ignorées.
Les exigences administratives incluent l’envoi de rappels de sécurité, la protection contre les malwares, la gestion de mots de passe et la surveillance des connexions.
Les employés doivent également apprendre à identifier les emails de phishing potentiels et connaître la réponse correcte lorsqu’ils en reçoivent un.
La règle de sécurité HIPAA exige également la mise en place de protections techniques contre les menaces pesant sur les ePHI.
Des mesures de sécurité raisonnables et appropriées, telles que le chiffrement, devraient être utilisées pour protéger les informations.
Comme les EPHI sont souvent divulguées via des comptes de messagerie, une mesure de sécurité raisonnable et appropriée consisterait donc à utiliser une solution de filtrage du spam avec un composant anti-phishing.
PhishMe rapporte que 91 % des cyberattaques commencent par un email de phishing. Une solution de filtrage anti-spam peut donc être considérée comme un contrôle de sécurité essentiel.
Le risque de phishing doit être mis en évidence lors de l’analyse de votre système de sécurité. C’est un élément obligatoire de la règle de sécurité HIPAA.
Une telle analyse doit identifier les risques et les vulnérabilités susceptibles d’entraîner la divulgation ou le vol des ePHI. Ces failles doivent ensuite être traitées dans le cadre du processus de gestion de la sécurité de l’entité couverte.
Sanctions HIPAA pour attaques d’email de phishing
OCR a récemment conclu un accord avec Metro Community Provider Network (MCPN), un centre de santé agréé par le gouvernement fédéral (FQHC), basé à Denver, au Colorado.
Cela fait suite à une attaque de phishing survenue en décembre 2011.
L’attaque a permis aux pirates d’accéder aux comptes de messagerie de l’organisation après que les employés aient répondu à un email de phishing et fourni ses informations d’identification.
Les ePHI de 3 200 personnes figuraient dans les comptes de messagerie piratés.
L’amende ne visait pas précisément à empêcher toutes les attaques de phishing, mais à faire suffisamment d’efforts pour gérer les risques de sécurité.
MCPN n’avait pas effectué l’analyse des risques avant l’attaque et n’avait pas mis en œuvre de mesures de sécurité suffisantes pour réduire les failles et les vulnérabilités à un niveau raisonnable et approprié.
Le centre de santé MCPN a dû verser 400 000 $ à l’OCR suite à cet incident.
En 2015, une autre entité couverte par l’HIPAA a fini par se mettre d’accord avec l’OCR pour résoudre les violations des règles HIPAA suite à une attaque de phishing.
Le centre médical de l’Université de Washington a versé 750 000 dollars à l’OCR en raison de la divulgation de 90 000 ePHI individuelles. Pour ce cas précis, l’attaque de phishing permettait à des attaquants d’installer des malwares.
Jocelyn Samuels, directeur d’OCR à l’époque, a déclaré: « Une analyse de risque efficace doit être exhaustive et menée dans l’ensemble de l’organisation pour traiter suffisamment les risques et les vulnérabilités des données des patients.
Trop souvent, nous voyons des entités couvertes avec une analyse de risque limitée, qui se concentre sur un système spécifique tel que les dossiers médicaux électroniques, où qui n’assure pas une supervision et une responsabilité appropriées pour toute l’entreprise. »
On ne s’attend pas à ce que les entités visées empêchent toutes les attaques de phishing, mais elles doivent s’assurer que le risque de phishing soit identifié et que des mesures soient mises en place pour empêcher ces attaques d’entraîner l’exposition au vol des ePHI.
Dans le cas contraire, une amende relative à violation de la loi HIPAA pourrait être infligée aux entreprises concernées.