Les établissements de santé gèrent des données critiques et sensibles, mais tout le monde n’a pas besoin d’accéder à ces données à tout moment. Et avec le roulement du personnel et d'autres changements organisationnels, les équipes informatiques doivent s'assurer que les accès sont gérés de manière appropriée et avec un minimum d'interruptions du flux de travail.
« Un IAM efficace permet aux utilisateurs d'accéder aux données dont ils ont besoin sans risques excessifs, sans privilèges excessifs ou sans expérience utilisateur fastidieuse », écrivent plusieurs experts en sécurité de CDW dans un livre blanc de 2024. « En fait, l'IAM peut aider les organisations à résoudre la tension perçue entre la cybersécurité et l'UX, car des procédures de sécurité plus simples ont tendance à accroître la conformité des employés. L’IAM est également une condition préalable au Zero Trust, une défense efficace contre les violations de données.
Comment l’identité s’intègre dans les stratégies Zero Trust des soins de santé
L'identité est l'un des cinq piliers du modèle de maturité zéro confiance de la Cybersecurity and Infrastructure Security Agency. Selon l’agence, « la confiance zéro représente le passage d’un modèle centré sur la localisation à une approche centrée sur l’identité, le contexte et les données avec des contrôles de sécurité affinés entre les utilisateurs, les systèmes, les applications, les données et les actifs qui évoluent au fil du temps. »
Les équipes informatiques du secteur de la santé doivent gérer des centaines, voire des milliers d'identités, et la nature fluctuante de la main-d'œuvre pose des obstacles importants. Les dirigeants d’Eliza Jennings, fournisseur de services aux personnes âgées basé dans l’Ohio, ont discuté de leurs expériences lors de la réunion annuelle et de l’exposition LeadingAge 2023.
Les organisations de soins aux personnes âgées comptent sur des travailleurs temporaires dans de nombreux départements, et la gestion des qualifications temporaires s'est avérée être une tâche difficile. Bien que les informations de connexion universelles soient utiles pour l’efficacité, elles ne sont pas idéales du point de vue de la sécurité. L’accès aux espaces physiques est également un facteur clé pour la formation et la gestion continues de la sécurité.
« Je pense que nous devenons souvent un peu complaisants en matière de clés et d'accès, en particulier avec les employés qui quittent l'entreprise, en veillant à ce que les clés soient récupérées et que nous les documentions. Alors, incluez-les également dans la formation », a déclaré le vice-président informatique Michael Gray lors de la session.
Une enquête Okta de 2023 a révélé que plus de 9 personnes interrogées dans le secteur du secteur de la santé sur 10 ont désigné l'identité comme étant soit très importante, soit assez importante pour leurs stratégies de sécurité zéro confiance. Cependant, en ce qui concerne la manière dont les établissements de santé vérifient les utilisateurs internes et externes, les mots de passe restent la méthode la plus utilisée avec 61 %, suivis par les questions de sécurité à 51 % et les mots de passe à usage unique dans le matériel à 38 %.
Les avantages d'une approche IAM vers une confiance zéro dans les soins de santé
Les établissements de santé qui renforcent leur IAM constateront des améliorations dans la gestion des tiers, une efficacité accrue des équipes informatiques et une réduction des risques de sécurité.
Les systèmes de santé travailleront inévitablement avec plusieurs fournisseurs, mais ils peuvent toujours consolider leur approche de la gestion des risques liés aux tiers. « IAM aide les organisations à gérer ces risques en appliquant la gestion des accès au cycle de vie via une authentification et des contrôles d'accès rigoureux aux utilisateurs tiers. Cela inclut la limitation de leurs privilèges et la révocation de l’accès lorsqu’il n’est plus nécessaire. Les solutions IAM peuvent simplifier ces processus en augmentant la visibilité sur les privilèges et les historiques d'accès des tiers et en attribuant l'accès en fonction de rôles soigneusement définis », écrivent les experts CDW.
Les solutions IAM peuvent réduire la complexité et soutenir les équipes informatiques avec des flux de travail et des politiques personnalisables, des tableaux de bord et d'autres fonctionnalités. L'automatisation peut rationaliser les processus d'intégration et de départ et réduire les erreurs.
Et à mesure que les inquiétudes concernant les menaces internes grandissent, les solutions IAM permettent aux équipes informatiques de surveiller l'activité des utilisateurs et d'appliquer le moindre privilège. « IAM corrige également les vulnérabilités résultant de l'erreur humaine, notamment les mots de passe faibles, la vulnérabilité au phishing et les logiciels ou appareils obsolètes », notent les experts CDW.
