CommuniCare Health Centers est un système de soins de santé primaires offrant des services complets. Il compte 14 sites desservant les comtés de Bexar, Kendall et Hays dans l'État du Texas, aux États-Unis. Le centre offre une large gamme de services, comprenant la médecine pédiatrique et familiale, les soins aux personnes âgées, la santé des femmes, la santé dentaire et la santé comportementale.
L’organisation compte 450 employés comprenant des prestataires de soins de santé hautement qualifiés qui ont besoin d’accéder aux dossiers de santé électroniques pour fournir des soins primaires adaptés. Il est donc impératif pour tous les sites de répondre et de dépasser les exigences de conformité nationale, notamment la loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) pour les informations relatives aux patients et la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) pour toute information relative au paiement des patients.
Une partie de la stratégie de sécurité de CommuniCare consiste à adopter une approche à plusieurs niveaux pour son réseau, l'accès aux fichiers étant limité en fonction de la fonction exercée.
La Problématique
Suivre les accès des utilisateurs et les mouvements anormaux des dossiers de santé électroniques
La réglementation HIPAA exige que les prestataires de soins de santé développent et suivent des procédures pour assurer la confidentialité et la sécurité des informations de santé protégées lorsqu’elles sont transférées, reçues, manipulées ou partagées. En tant qu’organisation traitant des données de patients confidentielles, CommuniCare avait besoin d’une solution qui l’aiderait à surveiller les accès et les mouvements, y compris la lecture et l’écriture, des fichiers sur son réseau.
Les solutions logicielles que l’équipe informatique avait précédemment implantées pour surveiller l’accès aux fichiers ne répondaient pas au niveau de granularité requis pour une gestion et une surveillance sécurisées de l’accès aux fichiers.
Certains employés du centre de soin sont des propriétaires de données, ce qui signifie qu’ils sont des administrateurs réseau ayant la possibilité de créer, éditer, modifier, partager, restreindre l’accès aux données. Mais tous ces propriétaires de données ne sont pas des informaticiens avertis. CommuniCare souhaitait donc trouver une solution de sécurité à la fois robuste et très facile à utiliser.
La Solution
Une sécurité d’accès granulaire pour répondre aux exigences réglementaires pour les propriétaires de données n’étant pas des informaticiens expérimentés
L’équipe informatique de CommuniCare a découvert la solution FileAudit de IS Decisions après une étude complète des avis clients dans les médias.
FileAudit offre une surveillance en temps réel des accès aux fichiers, permettant de voir facilement ce qu’il se passe avec les données, quand cela se passe, de ce fait, des actions peuvent être prises si une activité suspecte est détectée. Ses fonctionnalités de production de rapport étaient également suffisamment granulaires pour répondre aux exigences de l'équipe informatique en matière d'audit des fichiers. Ce niveau granulaire de gestion d’accès a permis à CommuniCare de respecter et de dépasser les exigences réglementaires HIPAA et PCI DSS. Cepedant, FileAudit était également idéal pour les propriétaires de données n’étant pas des informaticiens expérimentés qui avaient besoin de lire et analyser facilement les différents types de connexion.
Au cours de la période d’essai de 20 jours, l’équipe informatique a surveillé deux serveurs différents et a eu le temps de se familiariser avec la production de rapports et les processus d’audit en temps réel. L’équipe a mis quelques jours pour découvrir FileAudit et son fonctionnement, mais l’implémentation en elle-même a pris moins de 20 minutes. La période d’essai a aidé CommuniCare à prendre la décision d’acheter des licences FileAudit complètes.
Les avantages
Une solution de sécurité robuste, simple à utiliser
FileAudit peut fournir une base de référence de l'activité pour chaque utilisateur, ce qui permet d'identifier les lectures et écritures de fichiers qui ne sont pas normales. Une fois qu’il y a une image claire de l’activité de l’utilisateur, il est facile de détecter un comportement anormal. Par exemple, si une alerte reçue indique qu’il y a eu un nombre inhabituel de fichiers lus, l’équipe informatique sera en mesure de stopper immédiatement la menace.
CommuniCare a commencé à utiliser FileAudit au début de l’année 2016.
FileAudit fait exactement ce qu’il annonce. Il surveille et audite la manière dont les employés accèdent aux fichiers à un niveau granulaire en fonction de leur fonction. L'interface utilisateur est très bien conçue, de sorte qu'il n'est pas nécessaire d'être un expert en informatique pour l'utiliser, ce qui était important pour nos administrateurs qui n'ont pas de connaissances en informatique.
Sebastian Hernandez
Responsable des systèmes d’information au CommuniCare Health Centers