deux professionnelles de la santé en train de discuter

Organismes de santé et services Enterprise Cloud de Microsoft

Sécurité, conformité et confidentialité des informations de santé protégées dans les services Enterprise Cloud de Microsoft

Microsoft comprend que pour vous, notre client, utiliser nos services cloud signifie que vous nous confiez votre bien le plus précieux et irremplaçable, vos données.

La confiance est primordiale lorsque vous déplacez des applications cliniques et des jeux de données contenant des informations de santé protégées (PHI), notamment les données démographiques des patients et les informations de traitement, vers le cloud public. Il est essentiel que vous partagiez les données dans l'écosystème de la santé et que vous développiez la manière et le lieu où les professionnels de la santé et les patients accèdent aux informations confidentielles.

Par conséquent, quelle que soit l'étape à laquelle vous vous trouvez dans votre passage au cloud, il est indispensable de faire appel à un fournisseur de services fiable. Vous avez l’assurance que les informations confidentielles sont protégées, conservées et gérées en toute sécurité et conformément aux réglementations et aux lois, et que leur confidentialité est préservée.

L’approche holistique de Microsoft vise à établir cette confiance en adoptant une approche de défense en profondeur en matière de sécurité, conformément aux exigences réglementaires en vigueur, y compris en proposant un Business Associate Agreement (BAA) HIPAA pour ses services Enterprise Cloud et en protégeant la confidentialité des PHI et autres données.

Accélérez le déploiement de vos solutions HIPAA/HITRUST sur Azure

Prenez une longueur d’avance en tirant profit des avantages du cloud pour les solutions de données d’intégrité avec le plan de sécurité et de conformité Azure pour les données d’intégrité et d’intelligence artificielle HIPAA/HITRUST. Ce plan offre des outils et des conseils vous permettant de commencer à créer des solutions HIPAA/HITRUST dès aujourd’hui.

Commencez à utiliser le plan Azure HIPAA/HITRUST

Office 365 décroche la certification HITRUST CSF

Office 365 a décroché la certification HITRUST délivrée par l’alliance HITRUST (Health Information Trust), le cadre de gestion de la sécurité et des risques largement adopté par le secteur de la santé aux États-Unis. Global et flexible, le cadre de sécurité commune CSF (Common Security Framework) créé par HITRUST aide les organisations de santé à traiter ces problématiques grâce à des contrôles de sécurité normatifs et évolutifs.

Lire le blog

En savoir plus

Les organisations de santé peuvent être vulnérables aux violations de données et aux cyberattaques. Les utilisateurs malveillants ciblent non seulement les réseaux de santé, mais aussi les appareils de points de vente comme les caisses enregistreuses, les appareils médicaux comme les pacemakers, les applications médicales comme celles offrant des soins virtuels et les appareils mobiles en prolifération, aussi bien médicaux que personnels. D’après le Rapport sur les violations de données des informations de santé protégées de Verizon pour 2015, 1 400 organismes de santé, qu’ils soient petits ou grands, ont subi des violations des données de PHI, mettant à découvert plus de 157 millions de dossiers médicaux. Ces violations étaient non seulement le résultat d’activités criminelles, mais aussi de mesures de protection des données inadaptées et d’utilisations incorrectes de la part des employés du secteur de la santé eux-mêmes.

Les services Enterprise Cloud et les Services professionnels Microsoft sont conçus, développés et utilisés pour garantir une sécurité optimale de vos données et de tous les appareils qui y accèdent. Le principe directeur de la stratégie de sécurité de Microsoft consiste à assumer les violations de nos systèmes et à réduire le délai de réponse entre la compromission et sa détection. Notre équipe globale de réponse aux incidents travaille en continu pour atténuer les effets de toute attaque contre le cloud Microsoft.

Nos systèmes et logiciels vous permettent de protéger vos données avec des contrôles de sécurité éprouvés, ainsi qu'une variété de technologies vous permettant d'armer votre organisation face aux cybermenaces émergentes, de gérer un personnel mobile tout en vous conformant aux réglementations du gouvernement.

Microsoft vous protège, de façon proactive, contre les menaces dans le Cloud, qu’elles proviennent de logiciels malveillants ou de cyberattaques.

Les couches de technologie anti-spam les plus à jour, comme Microsoft Antimalware, facilitent l'identification et la suppression des spams, des virus et autres logiciels malveillants, connus et inconnus. Nous surveillons les serveurs, les réseaux et les applications afin de détecter d'éventuelles intrusions et d'empêcher les attaques, et nous renforçons ces défenses continuellement. En cas d'attaque, les systèmes sont en place à la fois pour défendre le réseau et pour récupérer rapidement.

En savoir plus sur la façon dont Microsoft protège vos données des programmes malveillants et des attaques

Microsoft aide votre entreprise à gérer les identités et les privilèges d’accès des utilisateurs.

Peu importe où se trouvent vos données, sur un serveur local, dans le cloud public ou sur des appareils portables, nous vous aidons à vous assurer que ceux qui accèdent à votre réseau sont bien ceux qu'ils prétendent être, que leur accès aux données est contrôlé et que seuls ceux qui sont autorisés à consulter les PHI le peuvent.

En savoir plus sur la façon dont Microsoft protège les informations d’identification et l’accès des utilisateurs

Nous contribuons à la protection de vos données avec le chiffrement

Le chiffrement des données est illisible si vous ne disposez pas de la clé de déchiffrement. Microsoft utilise des protocoles de transport sécurisés standard pour chiffrer les données pendant leur transfert entre les appareils et les centres de données Microsoft ou au sein des centres de données. Afin de protéger les données au repos, Microsoft propose un large éventail de fonctionnalités intégrées de chiffrement.

En savoir plus sur la façon dont Microsoft protège les données par chiffrement

Les produits et services Cloud professionnels de Microsoft sont audités par des auditeurs externes indépendants, en vertu des normes du secteur, telles que les normes ISO/IEC 27001 et ISO/IEC 27018. De plus, nous prenons en charge les lois HIPAA et HITECH, ainsi que les niveaux de risques minimaux acceptables en matière d'échanges (Minimum Acceptable Risk Standards for Exchanges, MARS-E).

Lois HIPAA et HITECH

Les lois HIPAA et HITECH sont des lois américaines relatives à la santé qui établissent des exigences quant à l’utilisation, la divulgation et la protection des informations de santé individuellement identifiables. Ces lois imposent aux organismes de santé qu'ils signent des accords avec les fournisseurs de services comme Microsoft ayant accès aux PHI des patients et traitant celles-ci. Ces contrats, ou BAA (Business Associate Agreements, accords de partenariat), clarifient et limitent la manière le service cloud peut gérer les PHI, et définissent le respect par chaque partie des clauses de sécurité et de confidentialité de ces lois.

Microsoft a mis en œuvre les protections physiques, techniques et administratives requises par la loi HIPAA en tant que partenaire et conformément à la loi HITECH, qui nécessite d'informer les personnes et le gouvernement en cas de violation des PHI. Bien qu'il n'existe actuellement aucune certification officielle pour la conformité avec ces lois, ces services Microsoft couverts aux termes du BAA ont fait l'objet d'audits réalisés par des tiers indépendants agréés. Par exemple, l'étendue de notre audit au titre de la norme ISO/IEC 27001 inclut des contrôles qui correspondent aux pratiques de sécurité de la loi HIPAA.

Dans le cadre du BAA HIPAA de Microsoft, nous proposons davantage de services couverts que tout autre fournisseur de cloud. Avec Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 et Microsoft Power BI, nous proposons des solutions complète intégrées qui englobent la productivité et la collaboration, la gestion des relations avec les patients, les analyses, l'hébergement d'application, le stockage de données et la gestion des applications et des appareils.

En vous proposant un BAA, Microsoft vous aide à rester conforme avec la loi HIPAA, bien que votre organisation soit responsable de s'assurer que votre utilisation spécifique des services Microsoft est conforme aux lois HIPAA et HITECH. À cette fin, nous proposons des ressources telles que des Conseils de mise en œuvre de la loi HIPAA/HITECH pour Azure et pour Dynamics 365 et Office 365, ainsi qu’un Guide pratique pour la conception de solutions de santé sécurisées à l’aide de Microsoft Azure.

Normes sur les niveaux de risques minimaux acceptables en matière d’échanges (Minimum Acceptable Risk Standards for Exchanges, MARS-E)

Le Center for Medicare and Medicaid Services (CMS) a publié les Minimum Acceptable Risk Standards for Exchanges (MARS-E), qui incluent un cadre permettant de traiter la confidentialité, l’intégrité et la disponibilité des échanges de données protégées en matière de santé. Le cadre MARS-E 2.0 fournit des informations visant à sécuriser ces données protégées et s'applique à toutes les entités administrant l'US Affordable Care Act, y compris les bourses ou les marchés.

Bien qu’il n’existe actuellement aucun processus formel d’autorisation et d’accréditation pour les MARS-E, les services de plateforme Azure ont fait l’objet d’audits FedRAMP indépendants et sont autorisés conformément à leurs normes. Ces normes ne sont pas spécifiquement axées sur le respect de la réglementation MARS-E. Néanmoins, leurs exigences en matière de contrôle et leurs objectifs sont étroitement alignés et fournissent l’assurance qu’Azure permet de protéger comme il se doit la confidentialité, l’intégrité la disponibilité des données.

Notre approche dont la durabilité a été testée en matière de confidentialité se fonde sur la norme de confidentialité de Microsoft et sur le Microsoft Security Development Lifecycle (cycle de développement sécurisé de Microsoft). Les audits et certifications tiers valident nos normes de développement technique rigoureuses et permettent de garantir que les protections des données et de la confidentialité soient systématiquement mises en œuvre. Par exemple, Microsoft a été le premier fournisseur majeur dans le Cloud à intégrer le premier code de conduite international pour la confidentialité dans le Cloud, ISO/IEC 27018. Nous étayons également ces protections avec de solides engagements contractuels.

Enfin, nous vous permettons de contrôler la collecte, l'utilisation et la distribution de vos données :

  • nous n’utilisons les données clients que pour fournir à ces derniers les services convenus ; nous n’effectuons aucune analyse à des fins de marketing, et ne traitons pas ces données comme un produit vendable à autrui ;
  • vous savez où vos données client sont stockées dans nos datacenters du monde entier. Vous savez qui peut y accéder et dans quelles circonstances. Vous savez de quelle manière responsable elles sont protégées, transférées ou supprimées.
  • Lorsque les données de nombreux clients sont stockées dans un emplacement physique partagé, nous utilisons l’isolement logique pour séparer les données des services Cloud de chaque client de celles des autres.

En savoir plus sur la façon dont Microsoft protège la confidentialité de vos données

Ressources recommandées