Rendre l'accès transparent – et l'arrêter si nécessaire
L'avantage clair de l'ESS est de supprimer la charge administrative de connexion aux applications individuelles. Cela se manifeste généralement dans des mots de passe simples faciles à inscrire, ou des listes de mots de passe, qui sont faciles à égarer. Et en ce qui concerne les normes d'authentification modernes, telles que celles énoncées dans les directives de l'Institut national des normes et de la technologie, c'est plus que les mots de passe.
«Les plateformes d'identité peuvent appliquer une flexibilité dans la façon dont ils s'authentifient», explique Dan Cinnamon, architecte de solution principale pour les soins de santé à Okta. Les options pourraient inclure l'authentification multifactrice (MFA), la biométrie ou la détection de la présence physique d'un utilisateur. «Lorsqu'il y a un processus de connexion pour tout ce dont l'utilisateur clinique a besoin, vous pouvez créer une expérience cohérente.»
À l'arrière, SSO fonctionne en transitionnant l'authentification de la couche d'application à un système IAM centralisé. Étant donné que les applications cliniques ne collectent ni ne stockent les informations de mot de passe, ne les communiquent pas sur le réseau pour être authentifiées, la surface d'attaque potentielle d'une organisation se rétrécit considérablement, dit Cinnamon.
Une fois qu'un utilisateur clinique est connecté, les plates-formes SSO et IAM fonctionnent en tandem pour surveiller comment il passe d'une application à une autre au cours de son quart de travail. (Cela s'étend également aux identités de la machine, qui peuvent être affectées à tout, des appareils de surveillance à distance aux postes de travail sur roues.)
Au fil du temps, cela aide à établir des modèles de comportement normal. Dans des circonstances typiques – un ID de fiducie, un appareil et un point de terminaison – l'authentification peut être transparente. Pour Traffanstedt, il s'agit moins d'accès sans frottement et plus de transfert de la friction de l'utilisateur final vers les systèmes SSO et IAM qui définissent les contrôles et appliquent les politiques.
Cela dit, s'il semble qu'un ID a été compromis ou qu'un appareil a été violé, l'accès sera refusé. Comme le dit la cannelle, « Une fois que quelque chose est louche, les barrages se présentent. » Dans ce cas, la frustration momentanée qu'un utilisateur final peut éprouver est compensée par l'efficacité de la répression rapide du mouvement latéral tout au long du réseau de l'organisation.
L'alignement étroit de SSO avec Zero Trust prend en charge les nouveaux modèles de soins
Traffanstedt affirme que SSO s'aligne bien avec les principes de la confiance zéro dans les soins de santé, ce qui nécessite l'authentification et la validation continue avant qu'un utilisateur ne soit accordé à un accès à une application, un appareil ou un ensemble de données.
«La validation continue de l'accès est plus facile lorsque l'entrée et la sortie sont centralisées», comme ils le sont avec les plateformes SSO, dit-il. « Cela durcit l'environnement de sécurité d'une manière que SSO n'a pas été conçu à l'origine. »
À titre d'exemple, Traffanstedt pointe vers Adaptive MFA, qui applique des règles commerciales pour déterminer quels facteurs d'authentification ont le plus de sens dans chaque scénario. Un clinicien qui travaille à l'hôpital certains jours et une clinique auxiliaire les autres jours peut être soumis à différents contrôles d'accès en fonction de l'emplacement.
Cinnamon décrit ce scénario comme un accès au repos et en transit, similaire aux principes clés du chiffrement des données. L'accès au repos est comparable à l'IAM traditionnel, en fonction de la position d'un utilisateur dans l'organisation et du statut d'embauche. Il est basé sur les rôles, relativement statique et construit sur une attente de confiance.
L'accès en transit ressemble plus à l'authentification moderne, alimentée par SSO. Bien qu'aucune hypothèse ne soit faite et que l'authentification soit requise, «vous pouvez appliquer des couches d'authentification et de validation de manière flexible, étant donné le contexte d'un utilisateur», explique Cinnamon. Cela peut bénéficier à l'étreinte de la surveillance à distance, de la télésanté et d'autres modèles de soins distribués.
Une étude de cas Imprivata d'Irlande du Nord met en évidence ce puits. Là, le South Eastern HSC Trust a pu à bord de 500 nouveaux employés en moins de 30 minutes pour doter une clinique de vaccination Booster Covid-19. Comme le rapporte le rapport, «la compression du temps requise entre la politique et les décisions programmatiques visant à étendre les efforts de vaccin et la livraison du vaccin est un impératif de santé publique.»