Failles de sécurité dans le système d’identification pour la santé

Le Département américain des services de santé (HHS, Health and Human Services) n’a pas développé correctement son programme d’identification des employés et de carte d’accès, ce qui a conduit à faire apparaître un certain nombre de failles de sécurité. Le programme fait partie d’un plan de mise en œuvre de la Directive Présidentielle 12 relative à la Sécurité nationale (HSPD-12) qui recense les informations d’identification des employés et des entrepreneurs fédéraux.

L’enquête menée par un audit a trouvé un certain nombre de failles dans le lancement du programme, notamment en matière de sécurité, de l’enregistrement de l’identité, de l’accès au système et de la sécurité sur Internet.

Les contrôles relatifs à la délivrance de cartes d’identification des employés (personal identify verification, PIV) et à la formation adéquate des employés ont révélé que les procédures proposées étaient insuffisantes.

Les contrôles de sécurité physique des cartes ne sont pas désactivés en temps opportun. La stratégie de configuration du pare-feu de réseau dans le centre de données n’est pas conforme à la politique générale du ministère. Il en est de même pour d’autres mesures de sécurité, telles que la gestion des correctifs, la gestion des antivirus et des configuration mises en œuvre sur les postes de travail liées à l’émission de cartes. Les contrôles de sécurité assurant que seul le personnel autorisé a accès à des domaines essentiels à l’émission des cartes sont insuffisants.  Des vulnérabilités Web ont été relevées sur le portail du HHS.

Le HHS doit se conformer rapidement aux exigences essentielles de sécurité couvrant l’ensemble des opérations relatives aux cartes PIV et à l’accès au système. Voir le site www.fiercegovernmentit.com/

© 2015 Strategies Telecoms & Multimedia | Contact |  -