1. IAM nécessite une mentalité cloud-smart
Les pratiques de gestion des identités dans les environnements existants sont souvent élaborées au fil des années d’ajout de ressources. Ils deviennent décentralisés et organisés autour d’actifs sur site particuliers. Une approche modernisée de la gestion des identités consiste à sécuriser et à gouverner les identités et les accès depuis le cloud. Cela nécessite une approche fondamentalement différente de l’architecture globale de l’identité.
« Une architecture unifiée et interconnectée est la première étape critique qui permet le succès des projets de modernisation des identités », déclare Irina Nechaeva, directrice générale du marketing des produits d'identité chez Microsoft. « Cela aide les organisations à réfléchir de manière globale à tous les utilisateurs et à toutes les ressources, en les aidant à définir les points de consolidation et de simplification. »
La plupart des établissements de santé doivent sécuriser l'accès à des dizaines d'applications, depuis les outils tiers Software as a Service jusqu'aux ressources personnalisées sur site. Il peut être difficile de savoir par où commencer pour mettre à jour la gestion des accès pour tous ces actifs.
« Un bon moyen de simplifier votre programme de modernisation de l'identité consiste à regrouper ces applications par type de protocole d'authentification, moderne ou ancien », explique Nechaeva. « Cela éclairera les étapes de la nouvelle architecture d'identité et de l'initiative de modernisation. »
2. Les établissements de santé gèrent les protocoles d'authentification
Les anciens protocoles d'authentification tels que Lightweight Directory Access Protocol et Kerberos côtoient souvent les protocoles modernes, notamment OAuth 2.0 et Security Assertion Markup Language, dans les environnements informatiques actuels. Cette situation nécessite la création et la gestion d’identités d’utilisateurs individuelles sur l’ensemble des ressources, ce qui peut submerger les équipes informatiques.
Une façon de maîtriser la gestion de plusieurs protocoles d’authentification consiste à utiliser une passerelle d’application. « Une passerelle d'application peut être utilisée pour connecter des systèmes plus récents aux applications existantes », explique Wesley Gyure, directeur exécutif de la gestion des produits de sécurité chez IBM. « Ces solutions proxy le flux de trafic et transforment les formats de données en nouveaux protocoles d'authentification utilisés pour mettre en œuvre l'authentification unique. »
61%
La part des professionnels de l'informatique et de la sécurité qui considèrent les outils IAM comme très efficaces pour améliorer la visibilité sur leur environnement de sécurité
Source : CDW, rapport de recherche CDW sur la cybersécurité 2024, juin 2024
L'orchestration des identités est une autre solution qui peut aider les organisations à ne plus jongler avec plusieurs protocoles d'authentification. Ces outils permettent de rationaliser la gestion des identités et des accès en organisant tous les services d'identité et d'authentification d'un système de santé en flux de travail automatisés.
« L'orchestration des identités permet aux organisations de créer une architecture IAM personnalisée », explique Gyure. « Cela permet une intégration facile de nouveaux systèmes et aide à éviter la dépendance vis-à-vis d'un fournisseur. »
3. L'adhésion des employés est essentielle au succès de l'IAM
Même si les équipes informatiques comprennent rapidement l’intérêt de moderniser les processus IAM, cela peut être moins évident pour les employés. Ils sont habitués à faire les choses d’une certaine manière. Pour aider à gérer les changements requis pour un nouveau processus d’authentification, la cohérence est essentielle. L’application du même protocole d’authentification dans tout l’environnement contribuera à garantir une transition réussie.
« Vous voulez vous efforcer d'assurer la cohérence avec vos programmes IAM », explique Gyure. « Effectuer un changement du jour au lendemain et s’attendre à une conformité immédiate ne fonctionnera pas. Au lieu de cela, une approche progressive, offrant une expérience utilisateur cohérente, utilisant le même protocole d’authentification dans toutes les applications, donnera de meilleurs résultats.
En plus de la cohérence, vous souhaitez mettre en place un plan pour informer les utilisateurs sur les nouveaux processus mis en œuvre. Gagner l’adhésion des employés et des cliniciens et dispenser une formation appropriée sont des étapes importantes pour atténuer l’impact sur les soins aux patients ou sur l’expérience du prestataire et du patient.
« L'établissement d'un plan de communication clair décrivant les avantages et les fonctionnalités du nouvel outil IAM est crucial pour favoriser l'acceptation par les utilisateurs », déclare Nechaeva. « De plus, proposer des sessions de formation complètes adaptées aux différents rôles d'utilisateur peut aider à démystifier l'outil et à faciliter le processus de transition, garantissant ainsi que les employés se sentent en confiance dans l'utilisation du nouveau système.
L'intégration de nouvelles pratiques IAM dans votre environnement peut être une tâche complexe, nécessitant de prendre en compte non seulement la technologie, mais aussi les processus et les personnes. En outre, les organismes de santé exigent le respect des directives réglementaires, notamment la HIPAA, le Règlement général sur la protection des données, la loi Sarbanes-Oxley et la loi californienne sur la protection de la vie privée des consommateurs.
Avec autant de considérations à prendre en compte, les organisations devraient envisager une évaluation rapide de la stratégie IAM pour évaluer l’alignement global sur les meilleures pratiques IAM et fournir des suggestions sur les domaines dans lesquels des améliorations peuvent être apportées pour renforcer cet alignement.