Skip to main content
Blog
Blog

Prévention du partage de compte dans le secteur de la santé : protéger les identifiants des portails patients et la conformité HIPAA

Le partage d'identifiants dans le secteur de la santé n'est pas un problème de revenus. C'est un problème de conformité.

Jun 30, 2026 19 min read
Prévention du partage de compte dans le secteur de la santé : protéger les identifiants des portails patients et la conformité HIPAA

Le partage de compte dans le secteur de la santé n'est pas un problème de revenus. C'est un problème réglementaire et de sécurité des patients.

Lorsqu'un abonné partage son compte streaming, la conséquence principale est une conversion manquée. Lorsqu'un patient partage ses identifiants de portail, la conséquence principale est qu'une personne non vérifiée reçoit un accès aux informations de santé protégées (PHI) sans aucun enregistrement de cet accès. Lorsqu'une infirmière partage un identifiant de connexion à une plateforme clinique avec du personnel de support, la conséquence principale est un échec de la piste d'audit qui peut constituer une violation de la HIPAA et, si des actions de prescription ou de facturation sont prises sous cet identifiant partagé, un événement de fraude potentiel.

Le rapport MRC 2026 Global eCommerce Payments and Fraud Report du Merchant Risk Council a constaté que 64 % des marchands signalent une augmentation significative des abus internes en 2026. Les plateformes de santé s'inscrivent dans cette population, mais le cadrage qui les concerne n'est pas le taux de conversion. C'est la posture de conformité. La question pour un CISO ou un responsable de la conformité dans le secteur de la santé n'est pas "combien de revenus perdons-nous à cause du partage d'identifiants ?" C'est "sommes-nous en mesure de démontrer à un auditeur HIPAA que nous avons des contrôles en place pour détecter et prévenir l'accès non autorisé aux informations de santé protégées ?"

Le rapport Verizon 2026 Data Breach Investigations Report a constaté que les attaques basées sur les identifiants sont présentes dans 39 % de toutes les violations dans la chaîne d'attaque complète. Les organisations de santé font partie des secteurs les plus ciblés dans ce rapport. Le risque lié aux identifiants dans le secteur de la santé n'est pas hypothétique.

Cet article aborde les schémas spécifiques de partage d'identifiants qui créent une exposition aux exigences HIPAA dans les portails patients et les plateformes cliniques, explique comment l'historique de device fingerprint distingue l'accès autorisé du partage non autorisé, et décrit pourquoi une architecture de détection sans cookies s'adapte aux contraintes d'un environnement réglementé par la HIPAA.

Le problème du partage d'identifiants dans le secteur de la santé

Réponse rapide : Les plateformes de santé font face à trois schémas distincts de partage d'identifiants : l'accès autorisé des aidants configuré via des fonctionnalités proxy, le partage non autorisé des identifiants du portail patient avec la famille ou des amis, et le partage d'identifiants de plateformes cliniques entre professionnels de santé par commodité. Le premier est légitime et ne doit pas déclencher de faux positifs. Le second et le troisième créent une exposition directe aux exigences HIPAA en permettant à des individus non vérifiés d'accéder aux informations de santé protégées sans piste d'audit. L'argument commercial en faveur de la détection est la conformité, pas la récupération des revenus.

La plupart des équipes produit et de conformité dans le secteur de la santé sont conscientes du problème des aidants autorisés : l'enfant adulte d'un patient gère les rendez-vous, consulte les résultats d'analyses et communique avec les prestataires au nom du patient. De nombreux portails patients prennent désormais en charge cela via des fonctionnalités d'accès proxy qui permettent à une personne nommée d'accéder à un compte avec le consentement explicite du patient et un enregistrement d'identité vérifié attaché à cet accès. Il s'agit d'un problème résolu pour les plateformes qui ont correctement mis en œuvre l'accès proxy. Les mécanismes de détection ne doivent pas signaler l'accès proxy autorisé comme une violation de partage.

Les schémas de partage non autorisés sont différents et créent un véritable risque de conformité.

Le premier schéma est l'accès familial ou amical non autorisé à un portail patient. Un patient partage ses identifiants de connexion avec un membre de sa famille qui accède ensuite aux dossiers de santé, aux résultats d'analyses ou aux informations de rendez-vous sans la connaissance de la plateforme. Contrairement à l'accès proxy, il n'y a pas de piste de consentement, pas de vérification d'identité et aucun enregistrement que cet individu accède au compte. Du point de vue de la plateforme, la connexion ressemble à un accès du patient à son propre dossier. Du point de vue de la HIPAA, des PHI ont été fournies à un individu non vérifié en dehors de la relation de compte.

Le second schéma est le partage d'identifiants sur les plateformes cliniques. L'identifiant de connexion d'un médecin est utilisé par une infirmière ou du personnel administratif par commodité, pour accéder aux dossiers, saisir des données ou effectuer des actions sous les identifiants du médecin. Ce schéma est courant dans les environnements cliniques sous-dotés en ressources où l'attribution des identifiants est lente et la pression des flux de travail est élevée. C'est également une violation directe de la HIPAA. L'exigence d'authentification des utilisateurs de la HIPAA au titre du 45 CFR §164.312(d) exige des procédures pour vérifier que la personne cherchant à accéder aux informations de santé électroniques protégées est bien celle qui est revendiquée. Un identifiant partagé contourne cette vérification au point d'accès.

Si des actions de facturation ou de prescription sont effectuées sous un identifiant clinique partagé, le risque s'étend au-delà de la HIPAA jusqu'à une fraude potentielle dans le secteur de la santé. La piste d'audit enregistre le titulaire des identifiants comme l'acteur. L'acteur réel est un individu différent. Cette divergence n'est pas un problème de qualité des données. C'est un problème de preuves.

L'étude Javelin Strategy and Research 2026 Identity Fraud Study a constaté que la fraude aux nouveaux comptes a bondi de 31 % pour atteindre 5,4 millions de victimes en 2025. Les identifiants de santé, qui donnent accès à des informations d'identité utilisables dans la fraude aux nouveaux comptes, sont des cibles de plus en plus précieuses. Le partage non autorisé d'identifiants dans le secteur de la santé n'est pas seulement un problème de conformité interne. C'est également une surface d'attaque pour la fraude en aval.

Accès autorisé des aidants vs partage d'identifiants non autorisé

Réponse rapide : L'accès autorisé des aidants et le partage non autorisé d'identifiants semblent identiques dans un journal d'événements de connexion. Les deux apparaissent comme les identifiants du titulaire du compte authentifiant une session. La distinction réside dans l'historique de device fingerprint : un aidant autorisé accède au portail de manière cohérente depuis un petit nombre d'appareils reconnus dans un contexte géographique corrélé avec le patient, tandis qu'un partageur non autorisé apparaît depuis un device fingerprint qui n'a jamais accédé au compte auparavant, souvent dans un contexte géographique sans rapport avec les emplacements connus du patient.

L'entrée de journal pour une connexion d'aidant autorisé et une connexion de partageur d'identifiants non autorisé est structurellement identique. Les identifiants sont les mêmes. L'authentification réussit. L'accès aux PHI est accordé. Rien dans l'événement de connexion lui-même ne révèle que l'accédant n'est pas le titulaire du compte.

C'est pourquoi les mécanismes de détection qui reposent uniquement sur l'analyse des événements de connexion sont insuffisants pour la prévention du partage d'identifiants dans le secteur de la santé. L'analyse des adresses IP est également limitée : un membre de la famille accédant à un portail depuis le même foyer a la même adresse IP que le patient ; un aidant qui gère les rendez-vous au nom d'un parent âgé le visite fréquemment depuis le même emplacement. Ces cas sont identiques au propre accès du patient.

L'historique de device fingerprint résout l'ambiguïté via un signal différent : la cohérence de la configuration du navigateur et du matériel présentée pour le compte au fil du temps.

Un aidant autorisé accède généralement au portail patient depuis le même appareil ou les mêmes appareils sur de nombreux mois. Si un enfant adulte gère les soins de santé de son parent à distance, il le fait depuis son propre ordinateur portable, son propre téléphone ou son ordinateur de bureau. Ces appareils développent un profil de device fingerprint reconnu associé au compte. Le device fingerprint est cohérent. Le contexte géographique est stable. La fréquence d'accès est périodique et corrélée avec les calendriers de rendez-vous.

Dans l'analyse de cside portant sur les comptes de plateformes de santé, le schéma qui distingue le plus clairement un aidant autorisé d'un partageur d'identifiants non autorisé est un historique d'appareils cohérent : un aidant autorisé accède au même portail depuis le même appareil de manière cohérente, et son device fingerprint devient une présence reconnue sur le compte au fil du temps. Un partageur non autorisé apparaît généralement sur un appareil qui n'a jamais accédé au compte auparavant, depuis un contexte géographique qui ne correspond pas à l'emplacement principal du patient ou à ses schémas de déplacement.

Un partageur non autorisé présente un nouveau device fingerprint. Son appareil n'a pas d'historique sur le compte. Son contexte géographique peut être indépendant des emplacements connus du patient. L'événement d'accès est structurellement identique à la connexion de l'aidant autorisé, mais la signature de l'appareil est non reconnue.

Cette distinction est exploitable. Une plateforme peut définir un seuil pour l'historique d'appareils : un appareil qui a accédé au compte plus de N fois sur M jours est un appareil reconnu. Un appareil sans historique dans le compte est un appareil non reconnu. Un appareil non reconnu accédant à un compte depuis un contexte géographique indépendant des emplacements connus du patient est un candidat pour le signalement et l'authentification secondaire.

Le schéma des plateformes cliniques est plus simple à détecter car le partage se produit généralement entre des individus de rôles différents avec des contextes d'accès différents. Les identifiants d'un médecin utilisés par une infirmière peuvent apparaître depuis l'IP du poste infirmier à des moments qui ne correspondent pas aux heures d'accès typiques du médecin, depuis un appareil que le médecin n'a jamais utilisé, avec un schéma d'accès incohérent avec l'utilisation historique du médecin. L'historique de device fingerprint, combiné aux schémas d'accès temporels, fait clairement remonter ces anomalies.

Comment l'historique de device fingerprint détecte l'accès non autorisé

Réponse rapide : Le device fingerprinting au niveau de la couche navigateur dérive un identifiant stable à partir des signaux de configuration matérielle et logicielle, notamment le résultat de rendu GPU, les caractéristiques de rendu canvas, la réponse au contexte audio et les polices disponibles. Cet identifiant est stable d'une session à l'autre sans nécessiter de données stockées sur l'appareil. Une fenêtre d'historique d'appareils glissante de 30 jours sur chaque compte permet à une plateforme de distinguer les schémas d'accès reconnus des apparitions d'appareils anormales, déclenchant une authentification renforcée pour les appareils non reconnus dans des contextes géographiques nouveaux.

Le fondement technique pour la détection du partage d'identifiants dans le secteur de la santé est le même que pour tout autre secteur : un identifiant stable d'appareil dérivé des caractéristiques du navigateur et du matériel au point d'authentification. Les considérations d'implémentation spécifiques au secteur de la santé concernent la manière dont ce signal de détection est traité et comment il s'intègre aux flux de travail cliniques.

Les signaux principaux de fingerprinting sont des données de configuration d'appareil : résultat de rendu GPU, caractéristiques des pixels canvas, réponse de l'oscillateur du contexte audio, disponibilité des polices installées, caractéristiques du moteur de navigateur et métriques de performance matérielle. Ces signaux sont collectés au niveau de la couche navigateur pendant l'événement d'authentification. Ils ne nécessitent pas de cookies, ne nécessitent pas que des données soient stockées sur l'appareil du patient ou du clinicien, et ne nécessitent aucun mécanisme de persistance côté client.

L'identifiant dérivé de ces signaux est probabilistiquement stable d'une session à l'autre sur le même appareil. Un patient accédant à son portail depuis son ordinateur portable personnel produit le même device fingerprint à chaque session, qu'il efface ses cookies, utilise la navigation privée ou change de navigateur par défaut. La configuration de l'appareil est une propriété du matériel et du logiciel installé, pas de l'état de la session du navigateur.

La logique de détection fonctionne sur l'historique, pas uniquement sur l'identité. Une seule observation de device fingerprint n'est pas informative. Un historique glissant de 30 jours de device fingerprints sur le compte est informatif. L'historique révèle l'écologie d'appareils stable d'un compte : les appareils qui y accèdent régulièrement, les contextes géographiques de ces appareils et les schémas temporels d'accès sur chaque appareil.

Dans cet historique, une apparition d'appareil non reconnu est un événement détectable. La plateforme sait qu'elle n'a jamais vu ce device fingerprint auparavant. Si le contexte géographique du nouvel appareil est indépendant des emplacements d'appareils connus du compte, c'est un signal composé. Si l'heure d'accès est en dehors de la fenêtre d'accès historique du compte, c'est un troisième signal. Aucun de ces signaux pris individuellement ne confirme un partage non autorisé, mais en combinaison ils soutiennent un signalement d'anomalie de haute confiance.

La réponse à un signalement d'anomalie dans un contexte de santé est l'authentification renforcée, pas la résiliation du compte. Un patient qui a acheté un nouveau téléphone, ou qui accède à son portail en voyage, doit être invité à vérifier son identité via un canal secondaire. Un membre du personnel clinique accédant au compte d'un collègue ne doit pas pouvoir compléter l'authentification renforcée sur les identifiants du collègue car il n'a pas accès aux facteurs d'authentification du collègue.

C'est le point d'application critique : un défi d'authentification secondaire adressé au titulaire des identifiants ne peut pas être complété par le partageur non autorisé, car le partageur ne contrôle pas le numéro de téléphone, l'adresse e-mail ou l'application d'authentification du titulaire des identifiants. L'authentification renforcée pour un appareil non reconnu est un mécanisme d'application passif qui ne perturbe pas les utilisateurs autorisés et crée un enregistrement d'événement de conformité pour chaque défi émis et chaque échec.

Pour une lecture approfondie de l'architecture de détection sans cookies qui sous-tend cette approche, le guide de prévention du partage de compte conforme au RGPD sans cookies couvre les principes techniques en détail. La section sur l'architecture HIPAA ci-dessous aborde les adaptations spécifiques à un environnement réglementé par la HIPAA.

Architecture de conformité HIPAA pour la surveillance des identifiants sans cookies

Réponse rapide : La règle de sécurité HIPAA exige que les entités couvertes mettent en œuvre des garanties techniques comprenant l'authentification des utilisateurs (45 CFR §164.312(d)), les contrôles d'audit (45 CFR §164.312(b)) et les contrôles d'accès (45 CFR §164.312(a)). Le device fingerprinting au niveau de la couche navigateur qui ne stocke aucune donnée côté client et ne traite que les signaux de configuration des appareils (pas les informations de santé des patients) ne constitue pas en lui-même un traitement de PHI. Il s'agit d'un contrôle de sécurité dans le cadre du programme de sécurité HIPAA, pas d'une activité de traitement des données soumise à la règle de confidentialité.

La règle de confidentialité HIPAA régit l'utilisation et la divulgation des informations de santé protégées. La règle de sécurité HIPAA régit les garanties techniques et administratives requises pour protéger les PHI électroniques. Ce sont des cadres réglementaires distincts avec des exigences distinctes.

Le device fingerprinting pour la détection du partage d'identifiants fonctionne comme un contrôle de sécurité. Son objectif est de vérifier que l'entité accédant au compte est l'entité revendiquée, répondant directement à l'exigence d'authentification des utilisateurs au titre du 45 CFR §164.312(d). Le mécanisme de fingerprinting ne traite pas les PHI. Il traite les données de configuration des appareils : les caractéristiques matérielles et du navigateur générées pendant l'événement d'authentification et utilisées pour évaluer si l'appareil accédant est une présence reconnue sur le compte.

Parce que le device fingerprinting au niveau de la couche navigateur ne stocke aucune donnée sur l'appareil du patient ou du clinicien, il n'implique pas les règles ePrivacy ou HIPAA concernant l'accès ou le stockage d'informations sur l'appareil d'un utilisateur. Il n'y a pas d'identifiant persistant écrit dans le navigateur du patient. La configuration de l'appareil est lue au moment de l'authentification, traitée dans le système de sécurité, et le résultat (appareil reconnu / appareil non reconnu) est appliqué au flux d'authentification. Les données de configuration de l'appareil sont traitées dans le cadre de la règle de sécurité HIPAA comme une garantie de sécurité, pas comme des PHI.

L'architecture sans cookies est un avantage de conformité matériel dans le secteur de la santé. De nombreuses plateformes de santé ont reçu des conseils de l'OCR (Bureau des droits civils du Département de la santé et des services humain des États-Unis, chargé d'appliquer la HIPAA) ou des avis juridiques les avertissant de ne pas déployer de technologies de suivi côté client (incluant les cookies et les pixels analytiques) sans l'autorisation du patient car ces technologies peuvent transmettre le contexte PHI à des tiers. Plusieurs mesures d'application importantes de l'OCR en 2024 et 2025 impliquaient des technologies de suivi qui transmettaient des identifiants de patients ou le contexte de santé à des réseaux publicitaires. Le device fingerprinting au niveau de la couche navigateur qui fonctionne sans stockage côté client et sans transmission de données à une infrastructure publicitaire ne relève pas de cette préoccupation.

L'exigence de contrôle d'audit au titre du 45 CFR §164.312(b) exige que les entités couvertes mettent en œuvre des mécanismes matériels, logiciels ou procéduraux qui enregistrent et examinent l'activité dans les systèmes d'information qui contiennent ou utilisent des PHI électroniques. Un système d'historique de device fingerprint qui enregistre chaque événement d'authentification, le device fingerprint observé, le contexte géographique et le résultat de l'authentification renforcée produit un enregistrement d'audit qui appuie directement la conformité aux contrôles d'audit HIPAA. Chaque événement d'accès est enregistré avec un identifiant au niveau de l'appareil. Chaque signalement d'anomalie et résultat de défi est enregistré. La piste d'audit est plus riche que les journaux d'authentification standard car elle inclut la provenance au niveau de l'appareil.

Pour les plateformes de santé qui opèrent dans le cadre d'une structure de Business Associate Agreement (BAA), le déploiement de cside comme partenaire technologique de sécurité s'inscrit dans le cadre BAA si la plateforme utilise le service de fingerprinting dans un contexte où des PHI peuvent être traitées incidemment. cside maintient la certification SOC 2 Type II et la documentation de sécurité pertinente pour l'examen BAA à l'adresse trust.cside.com. Les équipes de sécurité et de conformité des plateformes qui évaluent le déploiement doivent inclure leur conseil en matière de confidentialité dans l'évaluation BAA.

La documentation minimale requise pour une plateforme de santé déployant une surveillance des identifiants au niveau de la couche navigateur est abordée dans la FAQ ci-dessous.

Ce que cela signifie pour les équipes de sécurité et de conformité des plateformes de santé

Réponse rapide : Les équipes de sécurité et de conformité des plateformes de santé doivent cadrer la prévention du partage d'identifiants comme un composant de leur programme de garanties techniques HIPAA, pas comme un produit de prévention de la fraude. L'argument de conformité est primaire : la plateforme doit démontrer qu'elle a mis en œuvre des procédures pour vérifier l'identité des utilisateurs lors de l'accès, détecter les schémas d'accès anormaux et maintenir des enregistrements d'audit des événements d'accès. L'historique de device fingerprint fournit le mécanisme technique pour les trois. L'argument commercial est secondaire et moins pertinent dans un contexte de santé où le risque principal est réglementaire, pas commercial.

L'argument de préparation à l'audit est le point de départ le plus clair pour les équipes de sécurité et de conformité dans le secteur de la santé qui évaluent la détection du partage d'identifiants.

L'OCR (le Bureau des droits civils du HHS, qui applique la HIPAA) s'est systématiquement concentré sur la capacité des entités couvertes à démontrer qu'elles ont mis en œuvre et opèrent réellement les garanties techniques requises par la règle de sécurité. Une organisation qui a une politique exigeant des identifiants uniques et des contrôles d'accès individuels, mais qui ne dispose pas d'un mécanisme de détection pour identifier quand ces politiques sont violées par le partage d'identifiants, a un écart entre sa politique documentée et sa réalité opérationnelle.

Cet écart est un risque d'audit. Une investigation OCR déclenchée par une violation ou une plainte peut demander si l'organisation avait des contrôles en place pour détecter que des PHI étaient accessibles par des individus non vérifiés. Une organisation qui peut démontrer qu'elle dispose d'une surveillance de l'historique de device fingerprint sur ses connexions au portail patient et à la plateforme clinique, avec une authentification renforcée documentée pour les appareils non reconnus et un enregistrement d'audit de chaque défi et résultat, a une réponse substantiellement plus solide qu'une organisation qui ne peut que pointer vers sa politique d'utilisation acceptable.

L'argument de sécurité des patients importe spécifiquement pour les plateformes cliniques. Lorsqu'un identifiant clinique partagé est utilisé pour accéder à ou modifier un dossier patient, le dossier reflète le titulaire des identifiants comme l'acteur. Si une ordonnance médicale, une note de soins ou un résultat diagnostique est saisi sous un identifiant partagé, la provenance de cette saisie est obscurcie. L'intégrité de la piste d'audit clinique n'est pas seulement une exigence HIPAA. C'est un prérequis de sécurité des patients.

Pour les responsables produit des plateformes de santé, l'angle de conformité remodèle la priorisation de la feuille de route produit. Dans d'autres secteurs, la prévention du partage de compte est généralement évaluée en fonction de l'impact sur les revenus : combien d'ARR est perdu, quel est le taux de conversion des invites de mise à niveau, quel est le coût en expérience utilisateur de l'application. Dans le secteur de la santé, la question de priorisation est : quelle est l'exposition réglementaire de ne pas avoir ce contrôle, et comment cela se compare-t-il au coût d'implémentation ?

Le chemin d'implémentation pour la plupart des plateformes de santé commence par une surveillance en lecture seule. Déployer l'historique de device fingerprint sur les événements d'authentification. Construire le profil glissant d'appareils sur 30 jours pour chaque compte. Observer la distribution des apparitions d'appareils non reconnus. Identifier les comptes avec les taux d'anomalie les plus élevés. Examiner ces comptes manuellement avant d'automatiser toute réponse d'application.

Cette approche produit les preuves d'audit d'un programme de détection opérationnel sans toucher immédiatement aux flux de travail cliniques. Elle établit les données de base qui soutiendront à la fois l'argument de conformité et la calibration de l'application.

La solution de device fingerprinting de cside est déployable au niveau de la couche navigateur sans stockage côté client, s'intègre aux pipelines d'événements d'authentification et produit l'historique des appareils et les signaux d'anomalie requis pour la détection du partage d'identifiants dans le secteur de la santé. La page cas d'usage du partage de compte couvre les schémas d'implémentation dans les secteurs. La certification SOC 2 Type II et la documentation de confiance sont disponibles à l'adresse trust.cside.com pour l'examen de conformité.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

FAQ

Frequently Asked Questions

L'accès autorisé des aidants est un arrangement géré par la plateforme : le patient désigne explicitement une personne nommée comme utilisateur proxy, cette désignation est enregistrée dans la plateforme et l'accès du proxy est associé à une identité vérifiée. La plateforme sait qui accède au compte et dispose du consentement du patient en dossier. Le partage non autorisé d'identifiants est invisible pour la plateforme : le patient a donné ses identifiants de connexion à un membre de sa famille ou un ami, et cet individu accède au compte sans aucun enregistrement de son identité ni du consentement du patient. Du point de vue de la plateforme, les deux schémas apparaissent comme les identifiants du patient authentifiant une session. L'historique de device fingerprint les distingue en reconnaissant si l'appareil accédant est une présence connue sur le compte ou un appareil non reconnu apparaissant pour la première fois.

Le device fingerprinting au niveau de la couche navigateur qui dérive un identifiant à partir des signaux de configuration matérielle et logicielle, sans écrire de données sur l'appareil du patient, ne nécessite pas le consentement du patient en vertu de la HIPAA. Il s'agit d'un contrôle de sécurité opérant sous les exigences de garanties techniques de la règle de sécurité HIPAA, pas d'une activité de traitement des données régie par la règle de confidentialité. Parce qu'aucune donnée n'est stockée sur l'appareil du patient, il n'implique pas les exigences concernant l'accès ou le stockage d'informations sur l'appareil d'un utilisateur. Les plateformes de santé doivent obtenir un examen juridique spécifique à leur juridiction et à leur contexte de déploiement, mais le principe général est que la surveillance de sécurité des événements d'authentification est une obligation centrale de la règle de sécurité HIPAA, pas une question de consentement au titre de la règle de confidentialité. L'architecture sans cookies de cside, décrite en détail dans le [guide RGPD sans cookies](/fr/blog/account-sharing-prevention-gdpr-cookieless), applique les mêmes principes de confidentialité par conception qui soutiennent le déploiement HIPAA.

La règle de sécurité HIPAA au titre du 45 CFR §164.312(d) exige que les entités couvertes mettent en œuvre des procédures pour vérifier que la personne cherchant à accéder aux informations de santé électroniques protégées est bien celle qui est revendiquée. Le partage d'identifiants contourne cette exigence : la personne accédant au compte n'est pas la personne revendiquée (le titulaire des identifiants), et la plateforme n'a aucune procédure en place pour détecter la divergence. Lorsque des PHI sont accessibles par un individu non vérifié via un identifiant partagé, l'entité couverte a potentiellement fourni des PHI à un individu non autorisé à les recevoir, une violation potentielle de la règle de confidentialité HIPAA. L'exigence de contrôle d'audit au titre du 45 CFR §164.312(b) est également impliquée : si le journal d'accès attribue l'accès aux PHI au titulaire des identifiants alors que l'accédant réel est un individu différent, l'enregistrement d'audit est inexact. Ces deux expositions sont des manquements directs à la conformité à la règle de sécurité.

Oui. Le mécanisme de détection fonctionne au niveau de la couche d'événements d'authentification, pas dans le flux de travail clinique lui-même. La surveillance de l'historique de device fingerprint s'exécute silencieusement sur chaque connexion sans aucune interaction avec la session que l'utilisateur conduit après l'authentification. Le seul point de contact avec le flux de travail est le défi d'authentification renforcée déclenché lorsqu'un appareil non reconnu est détecté. Ce défi se produit lors de la connexion, avant que la session clinique ne commence, et ajoute 30 à 60 secondes au processus d'authentification pour les événements signalés. Pour un utilisateur autorisé se connectant depuis un nouvel appareil pour la première fois, c'est une vérification unique qui enregistre le nouvel appareil comme reconnu. Pour un partageur non autorisé qui ne contrôle pas les facteurs d'authentification du titulaire des identifiants, le défi est un refus d'accès. Les plateformes cliniques doivent introduire le déploiement en phase avec une période de surveillance uniquement pour calibrer les seuils avant d'activer l'authentification renforcée, en s'assurant que le taux de faux positifs sur l'accès légitime depuis un nouvel appareil est acceptablement faible.

Au minimum, une plateforme de santé déployant une surveillance des identifiants au niveau de la couche navigateur doit documenter : (1) l'objectif de sécurité et la base réglementaire HIPAA pour la surveillance (règle de sécurité §164.312(d) authentification des utilisateurs, §164.312(b) contrôles d'audit) ; (2) une évaluation du flux de données confirmant que le système de surveillance ne traite pas les PHI et que les signaux de configuration des appareils ne sont pas transmis à une infrastructure publicitaire ou analytique tierce ; (3) un examen du Business Associate Agreement pour déterminer si la relation avec le fournisseur de surveillance nécessite un BAA compte tenu du contexte de déploiement ; (4) l'enregistrement d'évaluation des risques documentant la décision de mettre en œuvre le contrôle, conformément à l'exigence d'analyse des risques au titre du 45 CFR §164.308(a)(1). La documentation de confiance et de sécurité de cside à l'adresse [trust.cside.com](https://trust.cside.com) appuie les points 2 et 3. Le conseil juridique et de conformité doit être impliqué dans la production de l'ensemble complet de la documentation.

## Balisage schema

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration