Organismes de santé et services cloud d’entreprise Microsoft

Bénéficiez de la sécurité, de la conformité et de la confidentialité des informations médicales protégées dans les services cloud d’entreprise Microsoft.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Bénéficiez de la sécurité, de la conformité et de la confidentialité des informations médicales protégées dans les services cloud d’entreprise Microsoft

Microsoft comprend que lorsque vous, notre client, utilisez nos services cloud, vous nous confiez votre bien le plus précieux et le plus irremplaçable, vos données.

La confiance est essentielle lorsque vous déplacez des applications cliniques et jeux de données contenant des informations médicales protégées, données démographiques sur les patients et informations sur les traitements notamment, vers le cloud public. Il est essentiel que vous partagiez des données via l'écosystème de santé et développiez où et comment professionnels de santé et patients accèdent aux informations confidentielles.

Ainsi, où que vous vous trouviez dans votre parcours vers le cloud, vous devez impérativement collaborer avec un fournisseur de services sur qui compter. Vous devez avoir l’assurance que les informations confidentielles sont protégées, conservées et gérées de manière sécurisée et conforme aux lois et règlements.

L'approche globale de Microsoft est conçue pour instaurer cette confiance en adoptant une approche de défense en profondeur de la sécurité, en se conformant aux exigences réglementaires applicables, notamment en proposant un accord de partenariat HIPAA pour ses services cloud d’entreprise et en contribuant à protéger la confidentialité des informations médicales protégées et autres.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Accélérez votre déploiement de solutions HIPAA/HITRUST sur Azure

Obtenez les outils et les conseils nécessaires à la création de solutions HIPAA/HITRUST dès aujourd'hui. Exploitez les avantages du cloud pour les solutions en matière de données de santé avec le blueprint de sécurité et de conformité Azure - Données de santé et IA HIPAA/HITRUST.

Office 365 obtient la certification HITRUST CSF

Office 365 a obtenu la certification HITRUST délivrée par l’alliance HITRUST (Health Information Trust). L’infrastructure de certification CSF (Common Security Framework) mise en place par HITRUST aide les organismes de santé à gérer les questions de sécurité et de risque.

Medical professional wearing scrubs and smiling.

Dans ses services cloud, Microsoft adopte une approche de défense approfondie en matière de sécurité

Les organismes de santé peuvent être vulnérables aux violations de données et autres cyberattaques. En plus des réseaux de santé, les acteurs malveillants ciblent aussi les appareils de point de vente tels que les caisses enregistreuses, les appareils médicaux tels que les pacemakers, les applications médicales telles que celles offrant des soins de santé virtuels et les appareils mobiles en pleine expansion, tant médicaux que personnels. Selon le rapport sur les violations en matière d’informations médicales protégées rédigé par Verizon en 2015, 1 400 organismes de santé, toutes tailles confondues, ont été la cible de telles violations qui ont porté sur plus de 157 millions de dossiers médicaux. Celles-ci résultaient non seulement d'activités criminelles, mais aussi d'une protection inadéquate des données et d'une utilisation abusive par les agents de santé eux-mêmes.

Les services cloud d’entreprise et le support commercial Microsoft sont conçus, développés et utilisés pour garantir la sécurité de vos données et de tous les appareils qui y accèdent. En matière de stratégie de sécurité, Microsoft a pour principe directeur d’assumer les violations de ses systèmes et de réduire le délai entre une compromission et sa détection. Notre équipe mondiale de réponse aux incidents travaille sans relâche pour réduire les conséquences des attaques perpétrées contre Microsoft Cloud.

Nos systèmes et logiciels vous aident à protéger vos données moyennant de puissants contrôles de sécurité, ainsi qu’un portefeuille de technologies qui vous permettent de protéger votre organisation contre les cybermenaces émergentes, de gérer un personnel mobile et de respecter les réglementations gouvernementales.

|

La superposition de technologies anti-spam à jour, telles que Microsoft Antimalware, contribuent à identifier et à supprimer les courriers indésirables, virus et autres logiciels malveillants, connus et inconnus. Nous surveillons les serveurs, réseaux et applications afin de détecter les intrusions et de prévenir les attaques, et nous renforçons constamment ces défenses. Et en cas d’attaque, des systèmes sont en place pour défendre le réseau et le rétablir dans les meilleurs délais.

 

En savoir plus

Quel que soit l’emplacement où résident vos données (sur un serveur local, dans le cloud public ou sur des appareils portables), nous vous aidons à veiller à ce que les personnes accédant à votre réseau sont bien celles qu'elles prétendent, que leur accès aux données est contrôlé et que seuls les utilisateurs autorisés à afficher les informations médicales protégées y accèdent.

 

En savoir plus

Le chiffrement des données est illisible pour quiconque ne possède pas la clé de déchiffrement. Microsoft utilise des protocoles de transport sécurisés standard pour chiffrer les données en transit entre les appareils et les centres de données Microsoft, ou en transit au sein des centres de données. Pour protéger les données au repos, Microsoft propose un large éventail de fonctionnalités de chiffrement intégrées.

 

En savoir plus

Les produits et services cloud d’entreprise Microsoft sont audités par des auditeurs externes indépendants, conformément aux normes industrielles telles que ISO/IEC 27001 et ISO/IEC 27018. De plus, nous prenons en charge les lois HIPAA/HITECH, ainsi que les normes Minimum Acceptable Risk Standards for Exchanges (MARS-E).

Les lois HIPAA et HITECH sont des lois américaines sur la santé qui établissent les conditions d’utilisation, de divulgation et de protection des informations médicales identifiables individuellement. Ces lois exigent des organismes de santé qu’ils concluent des contrats avec les fournisseurs de services tels que Microsoft, qui accèdent et traitent les informations médicales protégées des patients. Ces contrats, ou Business Associate Agreements (BAA), clarifient et limitent la manière dont le service cloud traite les informations médicales protégées, et définit l’adhésion de chaque partie aux dispositions de ces lois en matière de sécurité et de confidentialité.

 

Microsoft a mis en place les protections physiques, techniques et administratives requises par la loi HIPAA dans le cadre de son rôle d’associé commercial, et est conforme à la loi HITECH, qui exige que les particuliers et le secteur public soient avertis en cas de violation des informations médicales protégées. Bien qu’il n’existe actuellement aucune certification officielle de conformité avec ces lois, les services Microsoft couverts par le BAA ont été soumis à des audits réalisés par des tiers indépendants accrédités. Par exemple, notre périmètre d'audit ISO/IEC 27001 inclut des contrôles qui tiennent compte des pratiques en matière de sécurité HIPAA.

 

Dans le cadre du BAA HIPAA Microsoft, nous proposons plus de services couverts que tout autre fournisseur de cloud. Grâce à Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 et Microsoft Power BI, nous proposons des solutions complètes et intégrées englobant la productivité et la collaboration, la gestion de la relation patient, l'analyse, l'hébergement d'applications, le stockage de données et la gestion d'applications et d’appareils.

 

En proposant un BAA, Microsoft vous aide à respecter votre conformité HIPAA, même si votre organisation est responsable du respect de votre utilisation des services Microsoft avec les lois HIPAA et HITECH. À cette fin, nous proposons des ressources telles que les Conseils de mise en œuvre des lois HIPAA/HITECH pour Azure et pour Dynamics 365 et Office 365 et Un guide pratique de conception de solutions de santé sécurisées à l'aide de Microsoft Azure.

Le CMS (Center for Medicare and Medicaid Services) a publié les normes Minimum Acceptable Risk Standards for Exchanges (MARS-E ), qui proposent un cadre pour répondre aux questions de confidentialité, d’intégrité et de disponibilité en matière d’échange de données médicales protégées. Le cadre MARS-E 2.0 fournit des informations visant à sécuriser ces données protégées et s'applique à toutes les entités d’administration de l’US Affordable Care Act, y compris les échanges ou les places de marché.

 

Bien qu'il n'existe actuellement aucun processus officiel d'autorisation et d'accréditation pour les normes MARS-E, les services de la plateforme Azure ont fait l'objet d'audits indépendants FedRAMP et sont autorisés selon ses normes. Même si ces normes ne se concentrent pas spécifiquement sur MARS-E, les exigences et objectifs de contrôle MARS-E sont étroitement alignés et garantissent qu'Azure contribue de façon adéquate à protéger la confidentialité, l'intégrité et la disponibilité des données.

Notre approche éprouvée en matière de confidentialité repose sur la norme Microsoft Privacy Standard et le cycle de vie de développement Microsoft Security Development Lifecycle. Des audits et certifications tiers valident nos normes rigoureuses en matière développement technique et contribuent à veiller à la mise en œuvre systématique des protections liées à la confidentialité et aux données. Par exemple, Microsoft a été le premier grand fournisseur de services cloud à incorporer le premier code de pratique international en matière de confidentialité dans le cloud, ISO/IEC 27018. Nous soutenons également ces protections à l’aide de solides engagements contractuels.

 

Enfin, nous vous donnons le contrôle en matière de collecte, d’utilisation et de distribution de vos données :

  • Nous utilisons vos données client uniquement pour fournir les services convenus. Nous ne le numérisons pas à des fins commerciales ni ne les traitons en tant que produit à vendre à des tiers.
  • Vous savez où vos données client sont stockées dans nos centres de données mondiaux. Vous savez qui peut y accéder et dans quelles circonstances, et comment elles sont protégées, transférées et supprimées de manière responsable.
  • Lorsque les données de nombreux clients sont stockées dans un emplacement physique partagé, nous utilisons une isolation logique pour séparer les données des services cloud de chaque client.

Autres ressources

Solution d’entreprise Microsoft pour le secteur de la santé

Protection des données et de la confidentialité dans le cloud

Normes Minimum Acceptable Risk Standards for Exchanges (MARS-E)

ISO/IEC 27001

Federal Risk and Authorization Management Program (FedRAMP)


Ressources HIPAA et HITECH

Lois HIPAA et HITECH

Guide pratique de conception de solutions de santé sécurisées à l’aide d’Azure


Conseils de mise en œuvre des lois HIPAA/HITECH

Conseils de mise en œuvre des lois HIPAA/HITECH pour Azure

Conseils de mise en œuvre des lois HIPAA/HITECH pour Dynamics 365 et Office 365