Un audit de l'Air Force et de la Navy pourrait conduire à des amendes financières allant jusqu'à 1.5 million de dollars

Un audit de l'inspecteur général de la Défense des Etats-Unis du système de gestion électronique des données de santé et des systèmes de sécurité de l'Agence de défense de la santé, de la marine et de l'armée de l'air a révélé la présence de plusieurs vulnérabilités de sécurité pouvant être activement exploitées pour accèder aux données de santé à caractère personnel de ses membres.

L'inspecteur général a ainsi pu visiter trois sites de la Navy et deux sites de l'Air Force et inspecter l'équivalent de 17 systèmes d'information au sein des 5 sites.

L'audit a ainsi permis de mettre en évidence un grand nombre de vulnérabilités non traitées, le plus souvent par manque de ressources, de procédures, ou en raison de plusieurs incompatibilités techniques entre les équipements. Des points de défaillance ont également été remontés sur les sujets suivants :

  • Implémentation d'authentification double facteurs
  • Critères de complexité des mots de passe non respectés
  • Absence de correction de plusieurs vulnérabilités affectant l'infrastructure
  • Absence de ségrégation des droits par le principe de moindre privilège
  • Absence de verrouillage automatique des sessions sur les systèmes de gestion des données après 15mn
  • Absence de revue des journaux d'événements pour tenter de détecter des tentatives d'intrusion
  • Manque de procédures et d'implémentation d'un contrôle d'accès robuste
  • Absence de mécanisme protection pour protéger les données de santé à caractère personnel
  • Absence d'un inventaire des ressources spécifiques au système de gestion des données de santé
  • Absence de déroulement d'analyse d'impact et d'analyse de risques

L'absence d'implémentation de protocoles de sécurité pour protéger les systèmes de gestion électronique et les données de santé à caractère personnel, ainsi que le manque de protections physiques et logiques constituent des violations des règles en vigueur définies par l'HIPAA. Ces manquements aux règles de l'HIPAA pourraient mener à des amendes financières allant jusqu'à 1.5 million de dollars par point de défaillance.