S’adapter à l’architecture Zero-Trust
Selon la Cybersecurity and Infrastructure Security Agency, les domaines d’intérêt du modèle de confiance zéro incluent l’identité, les appareils, les réseaux, les applications et les charges de travail, ainsi que les données. De nombreuses équipes informatiques de soins de santé utilisent déjà les principes de confiance zéro. Même faire mûrir un ou deux de ces piliers au sein d’une organisation peut aider à renforcer son approche de la cybersécurité.
Lorsque les organisations disposent d’une solide gestion des identités, elles sont prêtes à réagir plus rapidement et plus précisément lorsqu’une menace potentielle apparaît. Les équipes informatiques peuvent mieux suivre et signaler les signaux d’alarme, ce qui incite à agir rapidement pour arrêter les imposteurs potentiels.
La surface d’attaque d’une identité est plus petite que celle d’un réseau. Les entreprises ne sont pas confrontées à un seul grand réseau plat dans le paysage informatique actuel. Avec le cloud privé, le cloud public et les centres de données sur site, les organisations disposent de vastes étendues de réseau qui peuvent être difficiles à comprendre. Mais l’identité peut traverser ces étendues, que ce soit sur site ou dans le cloud. La segmentation du réseau met en place les clôtures proverbiales pour fonctionner dans un périmètre. Mais avec la segmentation d’identité, pensez à un garde à la clôture qui demande à plusieurs reprises une pièce d’identité, quelle que soit la fréquence à laquelle vous êtes déjà entré dans le périmètre – vous devez demander une autorisation à chaque fois.
OBTENEZ LE LIVRE BLANC : Découvrez comment l’architecture Zero Trust améliore la protection des données.
Défis pour la mise en œuvre de la segmentation d’identité dans les soins de santé
Bien sûr, lorsqu’il s’agit de mettre en place des contrôles plus stricts, la bataille entre convivialité et sécurité, et analyse de rentabilisation contre risque, fera rage. C’est pourquoi il est essentiel d’avoir une vue d’ensemble de la sécurité dans l’ensemble de l’organisation pour mettre les choses en perspective.
La segmentation d’identité utilise une stratégie basée sur le risque pour restreindre l’accès en fonction de l’identité. Lorsque vous essayez de mettre en œuvre la segmentation d’identité, il peut sembler qu’il pourrait être plus facile de mettre des exceptions. Peut-être qu’un PDG décide qu’une règle s’applique à tout le monde sauf à une poignée de dirigeants. Mais cela passe à côté de l’intérêt d’une approche de confiance zéro et complique la gestion.
De nombreux professionnels de la santé doivent également se familiariser avec les stratégies cloud et s’éloigner d’un état d’esprit sur site. Par exemple, l’utilisation d’un courtier de sécurité d’accès au cloud est aujourd’hui considérée comme élémentaire et peut être associée à une architecture de périphérie de service d’accès sécurisé ou à une connexion WAN définie par logiciel.
TROUVER: Pourquoi les organisations de soins de santé devraient commencer leurs implémentations de confiance zéro avec l’identité.
Rappelez-vous les cinq P de la segmentation d’identité
Une bonne planification prévient les mauvaises performances.
N’exécutez pas la segmentation d’identité au hasard, sans un plan élaboré qui comprend une preuve de concept et des tests. Évitez de vous cantonner à des solutions pour des objectifs à court terme.
Les plans doivent garantir que les bases de la sécurité sont continuellement appliquées. Par exemple, avez-vous une visibilité et une journalisation activée ? Avez-vous une compréhension de base du trafic réseau pour la macro-segmentation ? Avez-vous un programme central de gestion des identités et des accès qui est un processus continu et évolutif ?
L’adoption complète d’un cadre de confiance zéro prendra du temps. C’est un voyage pour faire mûrir chaque pilier, mais il y a des gains incrémentiels appropriés que les organisations peuvent prendre pour améliorer leur position en matière de cybersécurité.
Cet article fait partie de SantéTechc’est Série de blogs Monitor. Veuillez vous joindre à la discussion sur Twitter en utilisant #WellnessIT.
