Zero Trust et NIST SP 800-207
Les National Institutes of Standards and Technology ont réuni des partenariats privés et publics pour discuter de la manière de développer un cadre de défense contre les attaques. Le 11 août 2020, le NIST a publié la « Publication spéciale (SP) 800-207 : Zero Trust Architecture », qui traite des modèles de déploiement et recommande une feuille de route sur la manière de mettre en œuvre une approche d’architecture de confiance zéro dans une organisation.
« NIST 800-207 est la base de base si quelqu’un veut suivre la confiance zéro », déclare Raina. « Ce n’est pas seulement pour les agences publiques ou fédérales, mais aussi pour les institutions privées. »
Comment le modèle de sécurité Zero-Trust profite aux organisations de soins de santé
La confiance zéro peut aider à sécuriser un écosystème de soins de santé qui comprend plusieurs types d’utilisateurs tels que des médecins, des infirmières et des techniciens de laboratoire qui ont besoin d’accéder à des consoles et à des applications à diverses fins, explique Raina.
« Dans l’environnement de la santé, vous devez gérer plusieurs personnes et plusieurs niveaux d’accès aux mêmes données », note Raina. « Vous avez la chaîne d’approvisionnement des données qui peuvent se trouver soit dans votre environnement, soit chez un tiers, comme un dossier de santé électronique. »
La confiance zéro peut aider à gérer l’étendue de l’accès aux données de santé dans des applications telles que les systèmes de DSE et de facturation, explique Raina. Les systèmes de santé peuvent lancer des défis d’authentification multifactorielle aux médecins si l’utilisation des informations d’identification montre des anomalies comportementales incompatibles avec leurs profils ou leurs antécédents, dit Raina.
Le cadre de sécurité intègre également l’analyse et la journalisation, qui sont importantes pour les soins de santé lorsqu’il s’agit de respecter les réglementations HIPAA et HITRUST, déclare Kistler. Les organisations de soins de santé peuvent surveiller qui accède aux données et s’ils écrivent dans un fichier ou accèdent aux données en lecture seule, dit-il.
La confiance zéro peut également permettre un accès plus rapide aux résultats de laboratoire pour les prestataires de santé avec un accès à autorisation unique plus efficace si toutes les parties utilisent la confiance zéro, dit Kistler. Le transfert de données entre les laboratoires, les médecins et les spécialistes peut alors se faire en quelques minutes plutôt qu’en jours ou en semaines avec les intégrations d’interface de programme d’application d’aujourd’hui, dit-il.
Un transfert de données plus sécurisé avec une confiance zéro apporte également des autorisations d’assurance et une approbation de couverture plus efficaces, déclare Kistler.
APPRENDRE ENCORE PLUS: L’expert en sécurité de Palo Alto, Paul Kaspian, explique pourquoi les soins de santé ont besoin d’une confiance zéro.
Comment le Zero Trust se compare-t-il aux autres stratégies de cybersécurité
Zero Trust fonctionne avec d’autres stratégies de cybersécurité telles que le moindre privilège et le maillage de cybersécurité pour fournir une approche complète de l’authentification. Voici une comparaison entre la confiance zéro et quelques autres concepts de sécurité clés.
Zero Trust contre SASE
Secure Access Service Edge, ou SASE (prononcez « impertinent », un terme inventé par Gartner), est la convergence des services de sécurité WAN et réseau en un modèle de service unique fourni par le cloud.
SASE permet aux applications de communiquer entre plusieurs systèmes et permet aux organisations de soins de santé d’accéder aux ressources en toute sécurité du point de terminaison au cloud, explique Raina.
Zero Trust diffère de SASE car il se concentre sur l’octroi de l’accès aux utilisateurs authentifiés, tandis que SASE intègre également des services de réseau et de sécurité et accorde l’accès en fonction de l’identité. Le zéro confiance peut être plus simple à exploiter avec des fonctionnalités plus étroites, de sorte que davantage d’entreprises choisissent le zéro confiance à court terme, selon CrowdStrike.
Zero Trust contre Moindre Privilège
La confiance zéro permet aux organisations de soins de santé d’appliquer des politiques de moindre privilège, dans lesquelles elles accordent le moins d’informations d’identification nécessaires pour les tâches requises, explique Raina. Par exemple, les médecins n’auraient accès qu’aux dossiers de santé nécessaires à un plan de soins précis.
« Le moindre privilège est, comment puis-je donner à une application utilisateur l’accès à ce qu’elle doit faire, mais le niveau d’accès minimum pour un minimum de temps », explique Raina.
La confiance zéro étend le moindre privilège en ajoutant des tests conditionnels et des vérifications répétées, selon Kistler.
« Souvent, cela ajoute un accès juste à temps là où vous devez demander l’accès à une certaine ressource », dit-il. « Ensuite, c’est accordé, puis c’est retiré après deux heures ou 12 heures. »
DÉCOUVRIR: Comment les services CDW peuvent aider les organisations de santé à mettre en œuvre la confiance zéro.
Zero Trust vs sécurité périmétrique
Raina décrit la sécurité périmétrique comme un concept plus ancien faisant référence à un environnement réseau hérité sur site.
« La plupart des organisations ne pourraient même pas vous dire où se trouve le périmètre », dit Raina. « Il n’y a plus de concept de périmètre dans l’environnement moderne d’aujourd’hui. »
La confiance zéro s’étend au-delà de l’ancien style de périmètre avec des couches de pare-feu pour englober une défense multicouche, selon Kistler. Cela inclut une authentification forte et un accès conditionnel plutôt que d’avoir un côté de confiance et un côté non fiable où les mauvais acteurs opèrent, selon Palo Alto Networks.
« Cela élargit l’habilitation des entreprises et nous permet de fournir plus d’options à notre personnel informatique et à nos entreprises qui souhaitent se connecter en toute sécurité », déclare Kistler.
Zero Trust contre Cybersecurity Mesh
Raina compare un maillage de cybersécurité à la présence de gardes à un point de contrôle fixe qui peuvent communiquer entre eux et qui font confiance aux personnes pour entrer avec les bonnes informations d’identification. La confiance zéro n’a pas d’exigences pour les points de contrôle fixes et exige que les couches de sécurité soient évaluées comme nécessaires afin que l’accès puisse être accordé en temps réel, dit-il.
« Le maillage de cybersécurité se concentre sur l’extension de contrôles de sécurité cohérents sur des actifs largement distribués », déclare Kistler. « Et bien que ce soit certainement une chose précieuse à avoir, cela ne correspond vraiment qu’à un composant d’une conception d’architecture entièrement sans confiance. »
En matière de confiance zéro dans les soins de santé, il sera essentiel de se tourner vers le cloud, selon Raina.
« Dans le concept de confiance zéro et de soins de santé, avoir une approche de plate-forme consolidée native du cloud et comprenant l’adversaire contribue grandement à exécuter la confiance zéro plus efficacement, tant du point de vue de la sécurité que du point de vue des coûts et des opérations », dit Raina.
