La santé a considérablement évolué au cours de la dernière décennie. L’adoption généralisée des appareils connectés et des services cloud a changé la façon dont les soins sont dispensés et amélioré les résultats pour les patients. Ces changements se sont accompagnés d’une évolution de la cybersécurité pour l’industrie. L’une de ces évolutions est l’émergence de l’architecture de sécurité Zero-Trust.
Alors que de plus en plus d’appareils se connectent aux réseaux de soins de santé dans des environnements plus dispersés, la tâche de protection des données précieuses est devenue plus difficile. Pour rendre les choses encore plus sérieuses, les conseils sur lesquels les équipes informatiques et de sécurité des soins de santé s’appuient pour protéger les appareils connectés et les données sont limités. Alors que les systèmes de l’Internet des objets tels que les appareils portables connectent les patients et les cliniciens, les organisations de soins de santé doivent trouver un moyen de sécuriser les données qu’ils créent, stockent et transmettent.
Les contrôles de sécurité requis pour ces systèmes, permettant des fonctionnalités telles que la surveillance et la gestion des vulnérabilités, sont de plus en plus complexes. Il y a dix ans, l’IoT n’existait pas vraiment comme aujourd’hui, notamment dans les chambres des patients ou à leur domicile. Désormais, les équipes de soins de santé s’appuient sur une variété d’appareils IoT dans les établissements de soins aux patients, y compris les soins à distance et les soins mobiles, et les principes de sécurité qui protègent les données des patients dans les hôpitaux doivent également s’appliquer à ces appareils.
Heureusement, nos capacités ne cessent de s’améliorer avec le temps. Pour les appareils et les terminaux, cela inclut des technologies telles que les outils de détection et de réponse des terminaux, la détection et la réponse gérées et la reconnaissance automatique du contenu, qui offrent toutes une protection nettement supérieure à celle des anciennes solutions de terminaux. Le défi pour de nombreuses organisations de soins de santé est de trouver comment devenir plus agile et agile avec les protections qui sont poussées sur leurs appareils. L’approche zéro confiance en matière de sécurité est un moyen efficace d’atteindre cet objectif.
Pourquoi Zero Trust est une approche efficace pour protéger les dispositifs médicaux
Les approches de sécurité traditionnelles se concentrent sur la protection des réseaux d’entreprise, mais avec l’adoption généralisée d’un environnement informatique dispersé, les organisations de soins de santé doivent sécuriser les données et les appareils bien au-delà des briques et du mortier d’un hôpital.
Une approche de sécurité zéro confiance garantit que chaque demande d’accès est validée par rapport aux règles de sécurité qui confirment l’identité de l’utilisateur. Cette approche utilise la microsegmentation pour construire un réseau moins privilégié dans lequel chaque utilisateur et système a son propre périmètre, permettant aux utilisateurs d’accéder aux ressources uniquement après avoir franchi les obstacles d’authentification forte.
Les organisations de santé doivent améliorer leurs capacités de sécurité en matière de visibilité, d’analyse, de gestion des vulnérabilités et de gestion des appareils. La confiance zéro améliore ces efforts en gérant les identités des utilisateurs sur les appareils qui accèdent aux informations et aux systèmes sur leur réseau.
Les appareils IoT médicaux résident soit sur les réseaux de soins de santé, soit à côté du réseau lui-même. Ces appareils collectent et présentent des données aux patients et au personnel clinique, de sorte que les équipes informatiques ont besoin de visibilité sur la posture de sécurité de chaque appareil et sur les données qui transitent vers et depuis les appareils à tout moment. Chaque appareil est une ressource d’entreprise et doit donc relever de la gouvernance de l’approche zéro confiance d’une organisation.
Cliquez sur la bannière ci-dessous pour approfondir la confiance zéro et ses avantages pour les soins de santé.
Les clés de la sécurité Zero-Trust
Une approche de sécurité zéro confiance efficace doit tenir compte des personnes, des processus et de la technologie au sein d’une organisation. Certains responsables informatiques de la santé se concentrent principalement sur la technologie, mais c’est une erreur. Certains problèmes peuvent être résolus avec des outils technologiques, mais d’autres nécessitent des solutions différentes. Par exemple, la mise en œuvre efficace des aspects de gouvernance et de gestion du cycle de vie de la confiance zéro nécessite plus que des outils technologiques. Les personnes et les processus doivent être soigneusement pris en compte.
Les équipes biomédicales et cliniques qui déploient ces appareils doivent travailler ensemble pour sécuriser la technologie médicale. Ils doivent mettre en place des processus non seulement pour améliorer les soins aux patients, mais aussi pour établir des capacités de sécurité telles que la gestion des vulnérabilités. Une gestion efficace des vulnérabilités fera la distinction entre les vulnérabilités non urgentes qui doivent être corrigées selon un calendrier et les situations où un exploit actif a déjà été déployé dans la nature et doit être corrigé immédiatement. En élaborant une politique réfléchie, les organisations de soins de santé peuvent répondre à différents scénarios de manière standardisée.
EN SAVOIR PLUS: Découvrez les leçons zéro confiance que les équipes informatiques de la santé peuvent apprendre du gouvernement fédéral.
Les organisations de soins de santé doivent comprendre que la confiance zéro n’est pas une destination de sécurité mais plutôt un cadre vers lequel ils doivent travailler en permanence. Les équipes informatiques et de sécurité doivent évaluer régulièrement l’état de sécurité de l’organisation pour comprendre sa posture, identifier les lacunes et élaborer une feuille de route stratégique pour l’amélioration.
Cette feuille de route dépendra et reflétera le budget et les objectifs commerciaux de l’organisation. Des évaluations efficaces aideront l’organisation à acquérir une compréhension claire de ses besoins et à hiérarchiser les initiatives de sécurité pour une valeur maximale.
Il est également important de comprendre que la feuille de route zéro confiance d’une organisation changera avec le temps. De nouveaux développements dans les domaines de la médecine, de la technologie et des menaces de sécurité apparaîtront et modifieront le paysage, ainsi que les priorités de l’organisation. Le nombre d’appareils et l’étendue de leur utilisation ne feront qu’augmenter à l’avenir. Pour les sécuriser efficacement, les organisations de soins de santé doivent se concentrer sur leur stratégie de sécurité et sur la manière d’y appliquer un cadre de confiance zéro.
Cet article fait partie de SantéTechc’est Série de blogs Monitor.
