Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Le Sénat fait avancer la loi sur la cybersécurité dans le secteur de la santé 2026 : Points clés

Le Sénat fait avancer la loi sur la cybersécurité dans le secteur de la santé 2026 : Points clés

par Danielle Barbour updated mai 19, 2026 Conformité HIPAA
temps de lecture: 9 minutes

Points clés à retenir

  1. Vote historique bipartite pour faire avancer le projet de loi. La commission HELP du Sénat a voté à 22 contre 1 pour faire avancer le Health Care Cybersecurity and Resiliency Act, marquant une forte dynamique législative en faveur d’obligations contraignantes.
  2. Contrôles de cybersécurité obligatoires. Les entités soumises à la réglementation HIPAA doivent mettre en place l’authentification multifactorielle, le chiffrement des informations médicales protégées, des tests d’intrusion et un alignement sur le cadre NIST selon la nouvelle législation.
  3. Le safe harbor encourage la conformité proactive. Les organisations qui prouvent 12 mois consécutifs de pratiques de sécurité reconnues avant un incident bénéficient de sanctions réduites lors des contrôles.
  4. Règles de notification de violation renforcées et subventions pour les zones rurales. Les entités doivent indiquer le nombre de personnes concernées dans les notifications aux patients, ce qui augmente les risques de litiges, tandis que des subventions fédérales ciblent les prestataires sous-dotés.

Le 26 février 2026, la commission Santé, Éducation, Travail et Retraites (HELP) du Sénat a voté à 22 contre 1 pour faire avancer le Health Care Cybersecurity and Resiliency Act. Ce projet de loi est porté par le président de la commission HELP Bill Cassidy (R-LA), Mark Warner (D-VA), John Cornyn (R-TX) et Maggie Hassan (D-NH). Seul le sénateur Rand Paul (R-KY) a voté contre.

Ce résultat est significatif. Dans un Congrès où le consensus bipartite est rare, un vote de 22 contre 1 en commission traduit une réelle dynamique législative. Ce n’est pas un simple effet d’annonce : ce texte a du poids, soutenu par des membres des deux camps qui ont été témoins de la catastrophe Change Healthcare et ont décidé que le statu quo n’était plus acceptable.

Si ce texte est adopté, il s’agira de la réforme la plus marquante en matière de cybersécurité dans la santé depuis le HITECH Act de 2009. Après 17 ans de recommandations progressives et de cadres volontaires, place à des obligations contraignantes.

Liste de contrôle complète des exigences de conformité HIPAA

Pour en savoir plus :

5 points clés à retenir

1. La commission HELP du Sénat a voté à 22 contre 1 pour faire avancer une législation historique sur la cybersécurité dans la santé.

Le Health Care Cybersecurity and Resiliency Act bipartite, porté par les sénateurs Cassidy, Warner, Cornyn et Hassan, impose l’authentification multifactorielle, le chiffrement des informations médicales protégées, des tests d’intrusion et un alignement sur le cadre NIST à toutes les entités soumises à la HIPAA. Le sénateur Rand Paul a été le seul à s’y opposer.

2. Un safe harbor formalisé crée un véritable levier financier pour engager la conformité dès maintenant.

Le texte réduit les sanctions pour les entités qui prouvent avoir appliqué des pratiques de cybersécurité reconnues pendant au moins 12 mois consécutifs avant un incident. Le décompte du safe harbor commence dès la documentation de conformité : investir dès maintenant est donc la meilleure stratégie, quel que soit le calendrier d’adoption final.

3. Le renforcement des règles de notification de violation accroît sensiblement le risque de recours collectifs.

Les entités soumises à la HIPAA doivent désormais indiquer le nombre de personnes concernées dans les notifications adressées directement aux patients, et pas seulement dans les rapports HHS. Les avocats des plaignants utiliseront ces chiffres dans les recours collectifs. Les organisations doivent dès maintenant adapter leur plan de réponse aux incidents pour inclure une évaluation rapide de l’ampleur des violations.

4. Un programme fédéral de subventions cible spécifiquement les prestataires ruraux et sous-dotés.

La législation prévoit des subventions pour les hôpitaux ruraux, cliniques, centres anticancéreux, établissements du service de santé indien et centres universitaires de santé, répondant ainsi aux critiques sur le coût de la mise à jour proposée de la HIPAA Security Rule. Les prestataires ruraux doivent se rapprocher des associations professionnelles et préparer leurs demandes de subvention dès maintenant.

5. S’il est adopté, il s’agit de la réforme la plus marquante en cybersécurité santé depuis le HITECH Act de 2009.

L’attaque par ransomware de Change Healthcare en 2024, qui a exposé environ 190 millions de personnes, a été citée à plusieurs reprises comme le déclencheur législatif. Après 17 ans de recommandations volontaires, les obligations contraignantes arrivent. La direction est claire, quel que soit le texte qui aboutira en premier.

L’électrochoc Change Healthcare

Cette législation ne sort pas de nulle part. L’attaque par ransomware contre Change Healthcare en février 2024 a été la plus grande violation de données de santé de l’histoire des États-Unis, touchant au final environ 190 millions de personnes, soit plus de la moitié de la population du pays.

L’attaque a perturbé le fonctionnement des pharmacies, retardé le traitement des demandes d’assurance et contraint les prestataires de santé à revenir à des procédures manuelles pendant plusieurs semaines. Les pertes financières se chiffrent en milliards. La cause principale était connue : contrôles d’accès insuffisants, absence d’authentification multifactorielle et segmentation réseau inadéquate.

Les sénateurs ont cité Change Healthcare à plusieurs reprises lors des débats en commission. Le message était clair : la HIPAA Security Rule actuelle, quasiment inchangée depuis 2003, a été écrite pour une autre époque. Elle précède l’essor des ransomwares, l’infrastructure santé orientée cloud, la télémédecine à grande échelle et les outils cliniques dopés à l’IA.

Ce que le projet de loi impose concrètement

Le Health Care Cybersecurity and Resiliency Act introduit plusieurs nouvelles exigences pour les entités soumises à la HIPAA.

Pratiques minimales de cybersécurité obligatoires. Le texte exige que les entités couvertes par la HIPAA et leurs sous-traitants mettent en place l’authentification multifactorielle pour tous les systèmes accédant aux informations médicales protégées, le chiffrement de ces données au repos et en transit, des tests d’intrusion réguliers et un alignement sur les cadres NIST. Ce ne sont plus des recommandations, mais des obligations. Pour les organisations déjà conformes, c’est une validation. Pour toutes les autres, il s’agit d’une échéance à ne pas manquer.

Safe harbor pour la sécurité proactive. L’une des dispositions les plus stratégiques du texte est la création d’un safe harbor qui réduit les sanctions pour les entités prouvant 12 mois de pratiques de cybersécurité reconnues avant un incident. Si votre organisation subit une violation mais peut démontrer une conformité continue, vous bénéficierez de sanctions réduites lors d’une enquête HHS. C’est un levier financier concret pour engager la conformité dès maintenant.

Exigences élargies de notification de violation. Le texte impose d’indiquer le nombre de personnes concernées dans les notifications envoyées aux victimes, et pas seulement dans les rapports HHS. Dire à 50 000 personnes qu’elles font partie d’une violation touchant 50 000 personnes, c’est très différent de leur annoncer une violation sans en préciser l’ampleur. Les avocats des plaignants utiliseront ces chiffres dans les recours collectifs. Les organisations doivent anticiper une hausse du risque de contentieux et adapter leur plan de réponse aux incidents en conséquence.

Programme fédéral de subventions pour les prestataires sous-dotés. La législation prévoit des subventions ciblant spécifiquement les hôpitaux, centres anticancéreux, cliniques rurales, établissements du service de santé indien et centres universitaires de santé. Le texte demande aussi au HHS de publier des recommandations dédiées à la cybersécurité pour les entités rurales, couvrant la prévention des violations, la planification de la résilience et la coordination avec les agences fédérales.

L’ASPR comme agence de gestion des risques sectoriels. Le texte désigne l’Administration for Strategic Preparedness and Response comme agence de gestion des risques pour la santé, imposant au HHS d’élaborer un plan de réponse aux incidents de cybersécurité en coordination avec la CISA. Cela clarifie la responsabilité fédérale en matière de cybersécurité dans la santé.

Convergence réglementaire : ce projet de loi n’est pas isolé

Le Health Care Cybersecurity and Resiliency Act avance en parallèle de la refonte de la HIPAA Security Rule portée par le HHS, proposée à la fin du mandat Biden et attendue pour mai 2026. Cette mise à jour rendrait obligatoires l’authentification multifactorielle, le chiffrement, la notification de violation sous 72 heures au HHS et des tests d’intrusion annuels — des exigences très proches de celles du projet de loi.

Le texte législatif suscite moins d’opposition dans le secteur que la mise à jour de la Security Rule, car il inclut un programme de subventions et n’entraîne pas les mêmes estimations de coûts. Si la mise à jour de la Security Rule est bloquée politiquement, cette législation pourrait devenir le principal vecteur de réforme de la cybersécurité santé.

Pour les équipes conformité HIPAA : que les exigences viennent d’une loi, d’une nouvelle règle ou des deux, l’authentification multifactorielle, le chiffrement, les tests d’intrusion et le renforcement de la notification de violation arrivent. Seul le calendrier reste incertain. Les organisations qui lancent leur évaluation des écarts dès maintenant seront prêtes, quel que soit le texte adopté en premier.

Ce que doivent faire les entités soumises à la HIPAA dès maintenant

Le texte doit encore être voté en séance plénière au Sénat et adopté par la Chambre avant d’être promulgué. Mais le vote de 22 contre 1 en commission, associé à la refonte de la Security Rule, donne une direction claire.

Commencez par l’authentification multifactorielle. Si votre organisation n’a pas déployé l’authentification multifactorielle sur tous les systèmes accédant aux informations médicales protégées, c’est la priorité. Ce contrôle est le plus souvent cité lors des sanctions et le plus efficace contre les attaques par vol d’identifiants comme celle de Change Healthcare. Son déploiement à l’échelle de l’organisation nécessite planification, tests et gestion du changement : lancez-vous dès maintenant, pas après l’adoption du texte.

Documentez tout pour le safe harbor. La disposition de safe harbor récompense les organisations capables de prouver 12 mois de pratiques de sécurité reconnues. Ce décompte doit commencer dès maintenant. Si votre organisation est auditée ou subit un incident dans 18 mois, il vous faudra déjà plus de 12 mois de documentation de conformité. La documentation continue transforme une violation en incident maîtrisable, et non en catastrophe réglementaire.

Mettez à jour vos processus de notification de violation. L’obligation d’indiquer le nombre de personnes concernées dans les notifications change la donne juridique. Mettez à jour votre plan de réponse aux incidents pour inclure une évaluation rapide de l’ampleur, coordonnez-vous avec le service juridique sur le risque de recours collectifs et assurez-vous que vos outils d’investigation peuvent fournir rapidement des chiffres précis.

Prestataires ruraux : engagez-vous sur le programme de subventions. Si vous êtes un hôpital rural, une clinique ou un établissement IHS, rapprochez-vous dès maintenant des associations professionnelles qui suivent le programme de subventions. Les subventions fédérales requièrent une préparation en amont, et les organisations qui anticipent pourront agir vite dès que les fonds seront disponibles.

Ce que doivent savoir les clients Kiteworks

Chaque exigence clé du Health Care Cybersecurity and Resiliency Act correspond aux fonctions que le Réseau de données privé Kiteworks propose déjà aux organisations de santé.

Authentification multifactorielle et authentification d’entreprise. Kiteworks propose l’authentification multifactorielle via RADIUS, PIV/CAC, OTP et intégration 2FA tierce, avec SSO sur SAML, OAuth, LDAP et Azure AD — répondant ainsi directement à l’obligation d’authentification multifactorielle du texte.

Chiffrement avec modules validés FIPS. Les informations médicales protégées bénéficient d’un double chiffrement AES-256 au niveau des fichiers et des disques grâce à des modules validés FIPS 140-2. Les clés de chiffrement contrôlées par le client garantissent la maîtrise totale des données — répondant aux exigences de chiffrement du texte au plus haut niveau.

Alignement sur le cadre NIST et défense en profondeur. L’architecture d’appliance virtuelle durcie — WAF intégré, pare-feu réseau et détection d’intrusion — s’aligne sur les exigences du cadre NIST et offre la protection des données en mode zéro trust attendue par la législation.

Préparation à la notification de violation. Le journal d’audit consolidé de Kiteworks enregistre en temps réel chaque interaction avec les données sans limitation, fournissant les preuves nécessaires pour déterminer rapidement l’ampleur d’une violation et rapporter précisément le nombre de personnes concernées. Les tableaux de bord de conformité HIPAA préconfigurés réduisent la préparation d’un audit de plusieurs semaines à quelques heures.

Documentation safe harbor. La documentation de conformité continue de Kiteworks permet de constituer la traçabilité de 12 mois de pratiques de sécurité reconnues, comme le prévoit le texte. Un moteur de règles unique pour la messagerie électronique, le partage sécurisé de fichiers, SFTP, MFT et les formulaires Web garantit des contrôles cohérents et vérifiables.

Le compte à rebours de la conformité est lancé

Le Health Care Cybersecurity and Resiliency Act est le signal le plus clair à ce jour que la réglementation en cybersécurité santé passe de recommandations volontaires à des obligations contraignantes. Le vote de 22 contre 1, le soutien bipartite et l’électrochoc Change Healthcare vont tous dans le même sens.

La question n’est pas de savoir si les exigences en cybersécurité santé vont se renforcer. C’est déjà le cas. La vraie question est : votre organisation sera-t-elle en avance — en documentant sa conformité, en obtenant le safe harbor et en réduisant ses risques — ou devra-t-elle courir après la mise en conformité une fois les règles en vigueur ? Les organisations qui agissent dès maintenant éviteront non seulement les sanctions, mais disposeront aussi d’une architecture de sécurité capable d’empêcher qu’un nouveau Change Healthcare ne les touche.

Pour en savoir plus sur la protection des informations médicales protégées de vos patients conformément au Health Care Cybersecurity and Resiliency Act, réservez votre démo sans attendre !

Foire aux questions

Le texte impose l’authentification multifactorielle, le chiffrement des informations médicales protégées au repos et en transit, des tests d’intrusion et un alignement sur le cadre NIST à toutes les entités soumises à la HIPAA. Ces exigences deviennent des minimums obligatoires, et non plus de simples recommandations. Le texte renforce aussi la notification de violation et prévoit des subventions pour les prestataires sous-dotés.

Le safe harbor réduit les sanctions pour les organisations qui prouvent 12 mois consécutifs de pratiques de cybersécurité reconnues avant un incident. Documentez vos contrôles de sécurité dès maintenant : le décompte des 12 mois doit déjà être lancé. Le safe harbor récompense l’investissement proactif, et non la conformité HIPAA réactive.

L’attaque par ransomware contre Change Healthcare en 2024 a exposé les données d’environ 190 millions de personnes et a été citée à plusieurs reprises comme déclencheur législatif. L’essentiel : cette violation a prouvé que la HIPAA Security Rule actuelle, quasiment inchangée depuis 2003, était inadaptée face aux menaces modernes.

Les nouvelles règles imposent aux entités soumises à la HIPAA d’indiquer le nombre de personnes concernées dans les notifications adressées directement aux patients. Cela donne aux avocats des plaignants des données concrètes pour les recours collectifs, augmentant sensiblement le risque de contentieux après une violation. Mettez à jour votre plan de réponse aux incidents pour prioriser une évaluation rapide de l’ampleur.

Le texte crée un programme fédéral de subventions ciblant les hôpitaux ruraux, centres anticancéreux, cliniques rurales, établissements du service de santé indien et centres universitaires de santé. Ces subventions financent la prévention des attaques, la réponse aux incidents et la formation du personnel. Rapprochez-vous des associations professionnelles et préparez vos dossiers dès maintenant.

Le texte et la mise à jour proposée de la HIPAA Security Rule imposent tous deux l’authentification multifactorielle, le chiffrement et les tests d’intrusion. Le texte législatif inclut des subventions et suscite moins d’opposition. Préparez votre conformité dès maintenant : les exigences convergent, quel que soit le texte adopté en premier.

Réalisez une évaluation des écarts couvrant l’authentification multifactorielle sur les systèmes accédant aux informations médicales protégées, le chiffrement au repos et en transit, la capacité de tests d’intrusion et l’alignement sur le cadre NIST. Documenter vos pratiques de sécurité dès maintenant lance le décompte des 12 mois de safe harbor et vous positionne pour bénéficier de sanctions réduites en cas d’incident.

Oui — le texte s’applique aux entités couvertes et à leurs sous-traitants manipulant des informations médicales protégées. Vérifiez que tous vos partenaires respectent les mêmes standards d’authentification multifactorielle, de chiffrement et de journalisation des accès. Le Réseau de données privé Kiteworks garantit des contrôles cohérents sur tous les échanges de données avec les prestataires.

Ressources complémentaires

  • Article de blog
    5 meilleures solutions de partage sécurisé de fichiers pour les entreprises
  • Article de blog
    Comment partager des fichiers en toute sécurité
  • Vidéo
    Kiteworks Snackable Bytes : Partage sécurisé de fichiers
  • Article de blog
    12 critères essentiels pour un logiciel de partage sécurisé de fichiers
  • Article de blog
    Les options de partage sécurisé de fichiers les plus sûres pour l’entreprise et la conformité

Foire aux questions

Le texte impose l’authentification multifactorielle pour tous les systèmes accédant aux informations médicales protégées, le chiffrement de ces données au repos et en transit, des tests d’intrusion réguliers et un alignement sur les cadres de cybersécurité NIST. Ces contrôles passent de recommandations volontaires à des obligations pour les entités couvertes et leurs sous-traitants.

Les entités qui prouvent 12 mois consécutifs de pratiques de cybersécurité reconnues avant un incident bénéficient de sanctions réduites. La documentation de conformité doit commencer immédiatement pour lancer le décompte du safe harbor et renforcer la position de l’organisation lors d’un éventuel contrôle HHS.

L’attaque a exposé les données d’environ 190 millions de personnes, perturbé les opérations des pharmacies et des assurances à l’échelle nationale, et mis en lumière des failles critiques dans la HIPAA Security Rule actuelle. Les législateurs l’ont citée à plusieurs reprises comme preuve que les cadres volontaires ne suffisent plus face aux menaces modernes.

Les organisations doivent réaliser une évaluation des écarts pour l’authentification multifactorielle, le chiffrement et les tests d’intrusion ; commencer à documenter leurs pratiques de sécurité pour activer le décompte des 12 mois de safe harbor ; mettre à jour leur plan de réponse aux incidents pour une évaluation rapide de l’ampleur des violations ; et explorer les opportunités de subventions fédérales si elles sont rurales ou sous-dotées.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks