Les défis de sécurité auxquels sont confrontés les organismes de santé deviennent de plus en plus redoutables. Les cybercriminels sont plus organisés que jamais et utilisent même des techniques employées par des sociétés informatiques légitimes, telles que la gestion de projet et les meilleures pratiques de développement personnalisé. Certaines équipes de cybercriminalité organisée ont atteint un niveau d’expertise équivalent à celui d’une unité de test d’intrusion qualifiée.
Selon le rapport 2023 sur les violations tierces de Black Kite, les soins de santé ont été le secteur le plus touché par les attaques en 2022. L’année dernière, 34,9 % des attaques visaient le secteur des soins de santé, contre 33 % en 2021.
Pour faire face à ces menaces croissantes, de nombreuses organisations de soins de santé adoptent une approche de sécurité zéro confiance qui exige que tous les utilisateurs, à l’intérieur et à l’extérieur du réseau d’une organisation, soient authentifiés, autorisés et validés en permanence pour la configuration et la posture de sécurité avant de se voir accorder l’accès aux applications et données.
L’impulsion de cette tendance vient de plusieurs directions. Un moteur clé est un décret exécutif de 2021 du président Biden qui a établi une stratégie de confiance zéro pour le gouvernement fédéral. La politique exige que les agences respectent des normes de sécurité spécifiques d’ici la fin de 2024. La Cybersecurity and Infrastructure Security Agency a publié la dernière mise à jour de son modèle de maturité Zero Trust en avril, ajoutant de nouvelles directives aux organisations qui cherchent à mettre en œuvre cette approche.
L’adoption par le gouvernement fédéral a stimulé la mise en œuvre généralisée de la confiance zéro dans le secteur privé, car les dirigeants et les conseils d’administration, y compris dans le secteur de la santé, exercent une pression sur les équipes informatiques pour faire face aux menaces de sécurité. « L’adoption par le gouvernement d’une architecture de confiance zéro stimule vraiment l’élan dans l’espace commercial », déclare John Candillo, CISO de CDW Field.
Comprendre le Zero Trust est essentiel au succès des soins de santé
Alors qu’ils s’efforcent de mettre en œuvre une approche de confiance zéro, les organisations de soins de santé et leurs équipes informatiques doivent comprendre qu’il s’agit d’un processus et non d’une destination. Les étapes qu’une organisation franchit vers la confiance zéro évolueront à mesure que de nombreux facteurs changeront, notamment les besoins commerciaux de l’organisation, les menaces auxquelles elle est confrontée et les solutions de sécurité qu’elle utilise.
« Il existe de nombreuses solutions intéressantes qui peuvent aider », déclare Jeremiah Salzberg, technologue en chef de la sécurité chez CDW. « Mais il est important de se rappeler que la confiance zéro est plus une stratégie architecturale qu’un produit ou une technologie spécifique. »
Les avantages de la confiance zéro s’étendent au-delà d’une posture de sécurité améliorée, déclare Jeremy Weiss, stratège exécutif en sécurité chez CDW. La mise en œuvre des principes de confiance zéro peut aider les organisations de santé à réduire leur dette technique et à mettre en place des processus opérationnels plus efficaces. Étant donné que l’approche utilise la segmentation du réseau, les développeurs d’applications peuvent fonctionner en toute sécurité à un rythme plus rapide qu’ils ne le pourraient autrement.
Le processus de mise en œuvre de la confiance zéro offre également une visibilité beaucoup plus claire sur un environnement informatique que la plupart des organisations de soins de santé, déclare Salzberg.
Les équipes informatiques de la santé sont mieux à même de voir les dépendances entre les différents systèmes et applications et de comprendre comment ils communiquent et interagissent. « Nous avons constaté des améliorations dans la stabilité et l’efficacité globales dans les environnements où ils sont passés à une architecture de confiance zéro », déclare Salzberg.
Trois éléments clés de Zero Trust
Alors qu’elles s’efforcent de mettre en œuvre une approche de confiance zéro, les équipes informatiques de la santé doivent se concentrer sur trois éléments essentiels :
- Visibilité: Les équipes informatiques doivent savoir de quelles données dispose une organisation, où elles résident, où elles sont transmises, comment elles sont utilisées et qui y a accès.
- Identité: Une organisation doit être en mesure de déterminer en toute confiance l’identité des utilisateurs qui accèdent à des ensembles de données spécifiques, en particulier les données des patients
- Gouvernance : Une organisation doit avoir mis en place des règles concernant les données qu’elle conserve, la manière dont elles sont consultées et transmises, les personnes autorisées à y accéder et la manière dont elles prouvent leur identité. De plus, l’organisation doit avoir mis en place des mécanismes pour faire respecter ces règles.
Avec de nombreuses organisations de soins de santé transférant des données et des charges de travail vers le cloud, en particulier dans les déploiements de logiciels en tant que service, le maintien de la visibilité et du contrôle peut être un défi important.
« Il est difficile de comprendre ce qui se trouve réellement dans votre environnement, quels systèmes devraient parler et quels systèmes parlent réellement », déclare Salzberg. « Toute cette analyse a toujours été un défi et continue de l’être, mais elle est fondamentale pour la confiance zéro. »
Une variété d’outils peuvent aider les organisations à établir les éléments de la confiance zéro, notamment l’authentification multifacteur, la segmentation et la microsegmentation, les solutions d’authentification unique, les passerelles Web sécurisées et le chiffrement. Alors qu’ils s’efforcent de déployer ces outils et d’autres dans un environnement de confiance zéro, les organisations de soins de santé doivent comprendre que cette approche est une poursuite continue.
« La confiance zéro est quelque chose que les organisations veulent inclure dans la façon dont elles créent et implémentent de nouvelles applications et commencent à travailler sur la mise à niveau d’anciennes applications dans le nouveau modèle », déclare Salzberg.
« Certaines personnes pensent que c’est comme un interrupteur que vous pouvez simplement allumer, que vous pouvez simplement faire cela et n’avoir aucune confiance », ajoute Candillo. « Ce n’est certainement pas comme ça. Il s’agit de construire une fondation, d’obtenir les outils et de les mettre en œuvre dans les environnements où cela a du sens. »
