Les équipes informatiques de la santé doivent s’inquiéter chaque jour d’un double problème : alors qu’elles envoient une multitude d’alertes de sécurité pouvant provenir d’un système de prévention des intrusions, d’Active Directory, de pare-feu et d’autres sources informatiques traditionnelles, elles doivent également gérer l’infrastructure informatique prenant en charge la mission. matériel essentiel pour les appareils de soins aux patients, l’équipement de laboratoire et tous les autres services. Voici quatre conseils pour donner un sens au chaos et ne pas perdre d’événements critiques.
Cliquez sur la bannière pour accéder à l’exclusivité SantéTech contenu et une expérience personnalisée.
1. Tout canaliser via un Master SIEM
Disposer d’un centre pour toutes sortes d’informations sur les événements simplifie et normalise considérablement le processus d’alerte. Le choix de l’outil de gestion des informations et des événements de sécurité le mieux adapté dépend de l’organisation. Les grands systèmes de santé peuvent même empiler les SIEM ; par exemple, en commençant par un grand serveur de journaux effectuant un premier filtrage avant que les alertes nécessitant une analyse ne soient transmises à un outil d’analyse plus intelligent. Quelle que soit la solution, assurez-vous qu’un seul moteur gère la hiérarchisation, les rapports et les alertes. La fonction d’alerte est essentielle pour un SIEM, car si personne ne répond aux informations exploitables, tous les journaux et outils de sécurité étaient une perte de temps.
2. Établissez des priorités et vérifiez-les régulièrement
La fatigue des alertes se produit lorsque des alertes apparaissent mais que personne ne lit les e-mails, ne répond aux messages ou ne regarde le tableau de bord. Quelle que soit la manière dont vous diffusez vos alertes, établissez un ensemble de priorités claires et assurez-vous que seules les alertes vraiment critiques se trouvent dans la corbeille la plus prioritaire. Les gens accepteront un certain niveau de faux positifs, mais il doit être très faible. Sinon, même les alertes hautement prioritaires seront ignorées et les problèmes critiques ne seront ni détectés ni résolus. La définition des priorités n’est pas non plus une affaire ponctuelle : les équipes informatiques doivent allouer du temps chaque trimestre pour examiner les alertes et s’assurer qu’elles sont correctement hiérarchisées.
EXPLORER: 4 domaines qui nécessitent une surveillance informatique approfondie dans le cadre de la numérisation des soins de santé.
3. Soyez multicanal dans l’approche des alertes de sécurité
À l’origine, les e-mails et les téléavertisseurs de la vieille école étaient les seuls moyens de transmettre les alertes. Désormais, chaque membre de l’équipe informatique peut avoir une préférence différente quant à la manière dont il reçoit les alertes. Que les alertes soient envoyées par e-mail, SMS, application de chat (telle que Slack ou Teams), un portail ou un tableau de bord, ou même une sirène clignotante dans le centre d’exploitation du réseau, choisir le bon canal évite les alertes manquées et la fatigue. Faites correspondre le canal de distribution aux besoins et aux styles de travail des membres de votre personnel, et vous aurez les meilleures chances de gérer rapidement les événements critiques.
4. Escalade horizontalement et verticalement si nécessaire
Si une alerte est manquée ou si un problème n’est pas résolu ou n’est pas reconnu, assurez-vous que le problème est transmis à un autre membre de l’équipe ou à un responsable. Envoyer une alerte et supposer qu’elle sera traitée invite à supprimer les problèmes. L’intégration de doubles vérifications dans le système compense les inévitables défaillances humaines et technologiques.
