Lorsqu’il s’agit de données utilisateur, il est essentiel que nous concevions nos politiques de mot de passe autour de la conformité. Ces politiques sont définies à la fois en interne et en externe.

Alors que les entreprises respectent leurs propres normes de mot de passe, des forces extérieures comme HIPAA et NIST ont une forte influence. Les impacts sont définis par l’industrie et son infrastructure unique. Comment les services informatiques maintiennent-ils la conformité avec NIST et HIPAA?

Nous discuterons de chaque mesure de conformité et de son importance dans cet article.

Qu’est-ce que la conformité NIST?

Définie par l’Institut national des normes et de la technologie, la conformité NIST vise à renforcer les systèmes fédéraux contre les cyber-attaques. Bien que l’agence ne soit pas réglementaire, elle est fait partie du département américain du commerce, qui a beaucoup d’influence sur les agences gouvernementales et leurs sous-traitants.

Par exemple, les directives du NIST aident les agences satisfaire aux exigences de la loi fédérale sur la gestion de la sécurité de l’information (FISMA). Le NIST joue un rôle déterminant dans la création de normes fédérales de traitement de l’information (FIPS) conformes à la FISMA. Rien de tout cela ne serait possible sans le cadre de cybersécurité NIST.

Le cadre décrit les étapes et les meilleures pratiques que les processeurs de données devraient suivre.

Les contrôles concernent les éléments suivants:

  • Accès basé sur l’authentification pour les postes de travail locaux, les bases de données, les sites Web et les services Web
  • Auditer les événements pour les changements de mot de passe, les échecs de connexion et les échecs d’accès liés aux informations d’identification de vérification d’identité personnelle (PIV), aux informations d’identification de tiers ou aux actions de l’administrateur
  • Comptes de groupe (privilège partagé) et comptes individuels
  • Mots de passe, jetons d’accès, biométrie et authentification multifacteur (MFA)
  • Cryptage et hachage de mot de passe
  • Longueur minimale du mot de passe, complexité et temps de validation

Notamment, un administrateur conforme aux normes NIST peut définir les politiques de mot de passe nécessaires pour appliquer la longueur minimale et les exigences de filtrage des mots de passe divulgués. La politique de mot de passe pourrait également inclure le blocage de la substitution de caractères communs et d’autres modèles de construction de mot de passe prévisibles tels que la modification d’un mot de passe en ajoutant uniquement des chiffres ou des symboles à la fin.

Le NIST encourage la suppression de l’expiration et de la complexité des mots de passe – mais cela doit être mis en balance avec les obligations réglementaires de l’organisation; par exemple, PCI-DSS et HITRUS-CFS en ont besoin.

Une évaluation ou une identification régulière des mots de passe compromis est cruciale. Les organisations peuvent utiliser des outils automatisés pour identifier et appliquer les changements lorsqu’ils sont détectés en permanence.

La conformité au NIST Cybersecurity Framework est un excellent tremplin vers une sécurité renforcée. Cependant, l’agence avertit que les directives du NIST ne créent PAS de systèmes impénétrables. Aucun cadre n’est parfait.

Qu’est-ce que la conformité HIPAA?

Les renseignements personnels sur la santé relèvent du parapluie de haute sensibilité. Ces enregistrements sont confidentiels et contiennent des informations privées, c’est pourquoi les bases de données et les entrepôts de données doivent utiliser de solides protections. Il y a aussi un argument selon lequel des politiques de mot de passe existent pour protéger la dignité des patients.

La confidentialité patient-médecin et les relations prestataire-patient sont essentielles au maintien de la confidentialité dans le paysage des soins de santé. Cependant, de nombreux patients n’ont même pas une excellente perception des prestataires de soins de santé. En 2016, Black Book révélé que 87% des patients ont dissimulé un certain degré d’information sur la santé à des prestataires «de confiance».

Vous pourriez voir où cela va. Les données médicales personnelles sont donc personnel que la confiance est durement gagnée en dehors de son cercle intime. Ce phénomène s’amplifie à l’ère du numérique, où l’accès à distance et le partage d’enregistrements électroniques sont monnaie courante.

Quelques autres sujets de préoccupation:

  • Informations financières du patient
  • Accès au portail des patients
  • Informations personnelles soumises dans le cadre d’un profil en ligne

Protection via la conformité des mots de passe

De nos jours, tant d’informations sont collectées que les patients eux-mêmes ont du mal à passer au crible. Les fournisseurs à la fine pointe de la technologie sont chargés de protéger ces données et de les rendre accessibles à la ou aux bonnes personnes. C’est là qu’intervient la loi HIPAA (Health Insurance Portability and Accountability Act).

Tout d’abord, les contours HIPAA trois types de normes que les organisations doivent rencontrer:

  1. Normes techniques – qui décrivent les mesures de protection nécessaires pour protéger et maintenir une infrastructure qui stocke des informations électroniques personnelles sur la santé
  2. Normes physiques – qui décrivent comment les locaux physiques doivent être protégés tant à l’intérieur qu’à l’extérieur
  3. Normes administratives – qui décrivent les contrôles et les efforts de maintenance nécessaires de la part des membres du personnel pour garantir la sécurité des renseignements personnels sur la santé

Nous nous concentrons naturellement sur les normes techniques et administratives – la première concerne les systèmes en ligne ou les bases de données qui stockent des données hautement sensibles. Les normes administratives impliquent le rôle du personnel dans la gestion de la gestion des mots de passe et des autorisations d’accès. À quoi cela ressemble-t-il dans une politique de mot de passe?

Notez que les directives HIPAA et NIST ne sont pas mutuellement exclusives. En suivant ces règles, vous serez à la fois conforme HIPAA et NIST:

  • Exiger que les mots de passe comportent plus de 8 caractères (même jusqu’à 64 pour certaines données)
  • Ne donnez pas d’indices de mot de passe aux utilisateurs
  • Encouragez la création de mots de passe mémorables, et non obscurs nécessitant la tenue de registres
  • Mots de passe vétérinaire selon listes de mots de passe interdits, ou des dictionnaires de mots de passe compromis

Ces directives sont essentielles. De plus, HIPAA offre une certaine marge de manœuvre conformément aux données clés de surveillance de l’entité. Étant donné que les prestataires peuvent être microscopiques et massifs (systèmes de santé, prestataires d’assurance), des politiques de mot de passe uniques sont nécessaires.

Meilleure conformité NIST et HIPAA avec Specops

Les outils externes peuvent fournir une aide précieuse lors de l’élaboration de politiques de mot de passe conformes. Nous recommandons deux outils: Auditeur de mot de passe Specops et Politique de mot de passe Specops. Ceux-ci automatisent plusieurs processus essentiels à la sécurité continue des mots de passe.

Auditeur de mot de passe est un outil gratuit qui offre trois avantages principaux: la création de rapports sur les mots de passe, l’audit des comptes Active Directory et la conformité aux normes. L’auditeur analyse votre environnement pour s’assurer que les politiques de mot de passe générales et précises favorisent des mots de passe sécurisés. Les rapports informatifs mettent en évidence les points faibles et les comptes problématiques, ce qui simplifie la correction. Ces rapports comparent même vos politiques à celles préconisées par le NIST.

Password Auditor vous montrera également à quel point vos systèmes sont résistants aux attaques. Vous pouvez également afficher les domaines et leurs comptes respectifs. Les mots de passe vulnérables sont identifiés s’ils correspondent à ceux trouvés dans nos listes de mots de passe violés.

Pendant ce temps, Politique de mot de passe offre des avantages similaires avec une plus grande granularité. Vous pouvez principalement effectuer les opérations suivantes: bloquer les mots de passe faibles, créer des stratégies de mot de passe conformes et cibler l’entropie de mot de passe. L’outil vous permet d’apporter votre propre dictionnaire de mots de passe et d’incorporer la liste Specops de 2 milliards de mots de passe violés.

Specops fait le gros du travail: accepter automatiquement les mots de passe (et même les phrases) tout en rejetant les mots de passe non conformes. Appliquez vos propres exigences en matière de longueur, de complexité et de caractères de mot de passe. Enfin, les outils de conformité vous montreront comment vos politiques existantes se comparent aux politiques conformes à l’industrie. La politique de mot de passe fournit des modèles et des analyses pour protéger les données détenues par l’entreprise contre les méthodes de cyber-attaque courantes.

La conformité NIST et HIPAA repose sur des politiques de mot de passe strictes. Heureusement, le processus de conformité n’a pas à être compliqué.



Leave a Reply