We use cookies to give you the most personalized experience possible on our website, and to collect information about how visitors use our site. If you continue without changing your settings, we’ll assume that you’re ok with receiving cookies from the XMedius website. You can disable cookies in your browser settings at any time, but please note that parts of the site will not work properly if you disable cookies.

For more information on how we use cookies, read our privacy policy.
FERMER X

Les imprimantes multifonctions (IMF/AMF) sont-elles conformes à la loi HIPAA ?

 Dans Blogue, Fax, Innovation, Productivité, Sécurité, Technologie

Ce qui n’était autrefois qu’une simple photocopieuse de bureau s’est transformée depuis en une super imprimante multifonctions (IMF), alias un appareil aux multiples fonctions (AMF). Les IMF sont capables de faire des copies, d’imprimer des documents, de joindre des documents à un email et d’envoyer des fax.

Cependant, plus ces appareils se modernisent, plus il faut tenir compte des risques qu’ils présentent en matière de sécurité. Pour les établissements du secteur de la santé, il s’agit tout de suite d’un souci en matière de conformité à la loi HIPAA. Où en sont les IMF sur ce plan, et que pouvez-vous faire pour que ces appareils soient le plus sûr possible ?

 

Les IMF ne sont ni plus ni moins que des ordinateurs déguisés, et doit être protégées

L’une des choses les plus importantes à se rappeler en matière de sécurité des renseignements est que les IMF sont des appareils très informatisés et connectés à des réseaux. Par conséquent, elles peuvent être la cible d’attaques (comme celle démontrée en 2018 avec le « Faxploit » ).

Selon une étude réalisée en 2019 par le cabinet de recherche professionnelle Quocirca, 59 % des entreprises interrogées ont signalé une perte de données liées aux impressions de documents au cours de la dernière année. Quocirca estime que le coût moyen de ces infractions (tous secteurs confondus) est supérieur à 384 027 $ par année. Étant donné que les coûts d’une violation de la loi HIPAA sont susceptibles d’être encore plus élevés, une infraction peut se révéler particulièrement nuisible dans le secteur de la santé.

Les attaques ne s’en tiennent pas seulement à l’extraction de renseignements numériques contenus dans une IMF ou à l’interception de renseignements en provenance ou à destination de ces dernières. Un pirate peut également les compromettre et les utiliser comme point de départ pour lancer une attaque dans le reste de votre réseau. Quelle que soit la forme que prend la menace, votre entreprise doit s’efforcer de sécuriser son équipement en installant régulièrement des mises à jour logicielles. Votre infrastructure réseau doit également être configurée de manière à limiter l’accès aux IMF de l’extérieur et à minimiser les dommages lorsque celles-ci sont compromises.

Les fabricants d’IMF s’efforcent de sécuriser leurs appareils, mais, tout comme les ordinateurs, cet effort ne sert à rien si les services informatiques n’installent pas de correctifs ou ne tirent pas parti des fonctions de sécurité.  Ces appareils sont souvent oubliés.

 

On ne peut être conforme à la loi HIPAA qu’en s’y conformant

En fin de compte, c’est ce que les gens font avec les IMF qui est ou n’est pas conforme, plutôt que l’outil lui-même.  En gardant cela à l’esprit, voici quelques bonnes pratiques pour rendre l’utilisation d’une IMF par votre personnel plus conforme à la loi HIPAA :

Contrôle de l’accès physique

Dans les petits établissements de soins de santé, où le bureau principal (c.-à-d. la facturation, les horaires, etc.) et l’espace de réception ne font qu’un, il n’est pas rare que les machines qui traitent les renseignements médicaux personnels (RMP) se trouvent près de l’endroit où les patients viennent se présenter, où les livreurs viennent chercher ou déposer les colis, etc. Bien qu’il s’agisse le plus souvent d’une question de placer les petits appareils sur des comptoirs près de la réception, il est néanmoins essentiel que les personnes arrivant de l’extérieur ne soient pas en mesure de lire les dossiers médicaux des patients traînant dans le bac.  S’ils le sont, c’est une violation de la loi HIPAA.

Ne pas laisser de documents traîner, même dans l’arrière-salle

La loi HIPAA n’impose pas seulement la protection des renseignements médicaux personnels contre toute personne extérieure, elle stipule également que l’accès doit être limité aux employés qui participent aux soins d’un patient donné. Cela signifie que même si vos IMF se trouvent derrière des portes verrouillées au public, laisser des documents traîner dans des bacs peut constituer une violation. Cela peut être le cas lorsqu’un employé doit numériser ou faxer un document et qu’il ne veut pas attendre devant la machine que toutes les pages soient passées, ou lorsque les fax entrants ou les travaux d’impression effectués n’ont pas encore été récupérés.

Une façon de limiter l’accès non autorisé aux documents physiques produits par une IMF (fax ou documents imprimés) est de mettre en place un système d’impression que l’on appelle « Impression par tirage ». Grâce à l’impression par tirage, les documents envoyés à une IMF ne sont imprimés que lorsque l’utilisateur est authentifié (via un badge ou une carte, la biométrie ou un code NIP, par exemple) qu’il est le bon destinataire.

Éviter la fonction « Numériser vers email »

Le courrier électronique de base est intrinsèquement peu sécurisé.  Que vous vous envoyiez un document numérisé par email ou que vous l’envoyiez par Internet à un service prestataire (fournisseur de services, médecin consultant, références, services de facturation d’assurance, etc.), tout ce qui est écrit ou joint à un email standard est très vulnérable aux attaques.

De nombreux établissements contournent cette vulnérabilité en envoyant des documents numérisés à partir d’une IMF par fax. Bien qu’il s’agisse d’un moyen de communication existant depuis longtemps, le fax continue d’être un outil de base pour la santé (et, en fait, son taux d’utilisation continue d’augmenter), car il est intrinsèquement plus sûr que l’email.

Grâce à la révolution des applications d’une IMF, les choix des établissements de santé ne cessent de s’améliorer et d’évoluer. Il est maintenant possible de télécharger des applications sur votre IMF qui fournissent des méthodes cryptées pour le transfert de documents, sécurisées par une authentification à 2 facteurs, ainsi que d’autres protections contre les regards indiscrets.

Déclasser une IMF de façon responsable

Il y aura des moments où votre établissement devra se débarrasser de ses IMF qui sont obsolètes, cassées ou devenues redondantes. Qu’elles soient envoyées à des sociétés de recyclage électronique, retournées à l’entreprise où elles étaient louées ou vendues sur le marché secondaire, il est essentiel de bien les préparer avant d’en perdre le contrôle. Comme nous l’avons vu plus haut, les IMF sont des ordinateurs et, à ce titre, ont presque toujours un stockage intégré (disques durs).  Tout comme votre entreprise ne se débarrasserait pas d’un ordinateur sans nettoyer soigneusement ses lecteurs de toute donnée résiduelle, il en va de même pour les IMF.

En 2010, un reportage de CBS News a démontré à quel point ce risque pouvait se révéler nuisible lorsqu’elle a acheté quatre imprimantes multifonctions d’occasion, sur lesquelles elle a lancé un programme gratuit d’investigation informatique sur les disques durs extraits et qu’elle y a découvert des documents ultra sensibles des brigades des crimes sexuels et des stupéfiants de la police de Buffalo, dans l’état de NY, des fiches de paie et des plans d’une importante entreprise de construction new-yorkaise et des dossiers médicaux complets d’une société d’assurance de NY.

Des outils existent pour résoudre ce problème, mais ils doivent être utilisés.

 

Des IMF plus conformes grâce aux solutions sécurisées de communication XMedius

XMedius offre deux solutions de transmission sécurisée de documents qui peuvent aider à respecter les prescriptions de la loi HIPAA en matière de confidentialité.

XM Fax vous permet de remplacer le fax conventionnel par une solution de Fax sur IP ultra-moderne. Des applications et des connecteurs sont disponibles pour les IMF qui leur permettent d’utiliser cette solution aussi facilement (sinon plus) que les cartes fax analogiques. Grâce à XM Fax, non seulement il n’est pas nécessaire que les employés attendent que chaque page soit envoyée, mais il peut également acheminer les fax entrants directement aux postes de travail sécurisés de votre entreprise. Les serveurs de fax XM peuvent être configurés pour Aucune conservation et enregistrent automatiquement toutes les transactions.

XM SendSecure peut fournir une alternative sécurisée et cryptée à la fonction « numériser vers l’email ». Les documents sont numérisés comme d’habitude, puis transférés via un coffre-fort crypté avec authentification à deux facteurs, un journal de suivi complet et un stockage éphémère (automatiquement supprimé après une période de temps définie).

La mise en œuvre de l’une ou l’autre de ces solutions, ou des deux, peut grandement contribuer à faciliter la conformité des documents transmis à la loi HIPAA, tout en réduisant potentiellement les coûts et en rationalisant les flux de travail.

 

En savoir plus

Souhaitez-vous en savoir plus sur ce que les produits XMedius peuvent offrir à votre entreprise ? N’hésitez pas à nous joindre pour de plus amples renseignements, une démonstration ou un essai gratuit.

 

PARLEZ À UN EXPERT

Leave a Comment