Où en sont les organismes de santé dans leur parcours zéro confiance ?
Alors que les organismes de santé suivent la norme SP 800-207 du National Institute of Standards and Technology et le modèle de maturité Zero Trust de la Cybersecurity and Infrastructure Security Agency (CISA), nombreux sont ceux qui tentent encore de mettre en œuvre des contrôles Zero Trust à partir de la première version des modèles. Certains systèmes de santé envisagent la version deux et commencent à aborder la gouvernance pour chaque domaine du modèle, mais ils sont minoritaires.
La prochaine étape du parcours zéro confiance pour de nombreuses organisations de soins de santé consiste à obtenir une visibilité complète de leurs environnements, y compris les identités, les appareils et les actifs de données. Alors que de nombreux systèmes de santé ont entamé ce processus, les équipes informatiques perdent souvent la visibilité de leurs données dans le cloud ou sous la garde de fournisseurs tiers. Il est essentiel que les propriétaires de données sachent où se trouvent leurs données, qui les utilise et pour quelles raisons.
Considérations pour les systèmes de santé mettant en œuvre la confiance zéro
Une organisation de soins de santé ne doit pas introduire de nouvelles solutions sans avoir une compréhension claire de ses lacunes en matière de contrôle, de la mesure dans laquelle ses solutions actuelles sont déployées et des flux de travail qui permettent son environnement. La direction doit envisager de confier à l’ensemble de l’organisation le succès d’une stratégie zéro confiance, plutôt que d’attribuer la responsabilité à un individu ou à un outil particulier. Si une organisation propose une solution de gestion des identités et des accès pour résoudre un problème de vulnérabilité, l’équipe de sécurité doit s’assurer qu’elle fonctionne avec les systèmes et outils existants de l’organisation. L’interopérabilité est essentielle pour avoir une visibilité complète sur un environnement informatique, ce qui permet à l’organisation de combler les lacunes de ses contrôles de sécurité.
Si une organisation se rend compte qu’elle ne dispose pas d’une solution de gestion des accès privilégiés et décide d’en acheter et d’en mettre en œuvre une sans évaluer comment elle sera utilisée dans son environnement actuel, la solution ne fonctionnera probablement pas comme espérée.
Lors de la mise en œuvre d’une nouvelle solution, les responsables informatiques doivent justifier leur décision. Ils doivent réfléchir aux objectifs de la solution et à la manière dont elle s’inscrit dans leur vision globale en termes de manière dont elle sera utilisée, qui sera impactée et quel impact elle aura sur les flux de travail. Grâce à cette compréhension, les équipes informatiques peuvent atténuer les impacts sur les flux de travail et obtenir un niveau d’acceptation plus élevé parmi le personnel et les cliniciens.
Les RSSI continuent de s’améliorer lorsqu’il s’agit de sensibiliser les dirigeants organisationnels aux avantages de l’adoption d’une approche de confiance zéro pour protéger l’organisation contre les attaques de ransomwares. Ils savent que l’achat d’un outil brillant n’est pas la solution et qu’il est important d’acheter des solutions qui comblent une lacune et relient les contrôles de sécurité pour créer une solution de sécurité globale.
Cependant, les responsables de la sécurité des soins de santé subissent une forte pression de la part des dirigeants, qui voient des attaques de ransomware hôpital après hôpital, entraînant des périodes d’arrêt pouvant dépasser 100 jours. Que ce mandat émane des compagnies d’assurance cyber ou des directives des conseils d’administration des hôpitaux, les professionnels de la sécurité sont soumis à une pression énorme pour accélérer le déploiement. Se précipiter dans un déploiement en raison de contraintes budgétaires ou du manque de ressources appropriées peut entraîner davantage de frustration, une mauvaise configuration ou une sous-utilisation du système, ainsi qu’une augmentation des risques.
Si un système est mal configuré, cela peut conduire à une solution inefficace qui crée un faux sentiment de sécurité.
Une autre considération importante pour les établissements de santé est la gestion des conséquences des attaques réussies. Nous constatons que de nombreuses organisations ne tentent jamais de restaurer leurs systèmes, ce qui peut entraîner des temps de restauration plus longs et/ou une perte de données importante. Si une attaque compromet le système, une pression intense sera exercée sur l’équipe informatique pour que l’organisation redevienne opérationnelle, et elle ne pourra pas le faire rapidement. La récupération d’un système après un cyber-incident est un processus unique et nécessite des compétences différentes de celles d’un spécialiste typique de la continuité des activités et de la reprise après sinistre.
Les systèmes de santé devraient faire une pause et évaluer leur capacité à récupérer les systèmes en cas d’attaque. Il n’est pas judicieux pour une organisation de mettre en œuvre des outils de protection sans comprendre comment récupérer si des acteurs malveillants parviennent à contourner les contrôles de sécurité de l’environnement.