Cette fragmentation peut conduire à des angles morts, et dans les soins de santé, où les informations de santé protégés (PHI) sont une cible principale, c'est un écart dangereux pour laisser sans surveillance.
Au fur et à mesure que les systèmes se développent dans le nuage, la surface d'attaque se développe, ce qui rend l'application cohérente et centralisée de l'application des politiques de sécurité.
«Les données sensibles des patients comme PHI sont une cible privilégiée pour les menaces telles que les ransomwares, les attaques de phishing et les infractions aux initiés», explique Gagan Gulati, vice-président principal et directeur général des services de données chez NetApp. «Ces risques compromettent non seulement les données, mais peuvent entraîner de graves répercussions financières et des dommages à la confiance des patients.»
Alors que les organisations déploient une infrastructure hybride et multicaloud, elles rencontrent une autre couche de complexité: outils de sécurité incohérents, plusieurs consoles administratives et des modèles d'accès variés.
Connors note que les fournisseurs de cloud public offrent des outils de sécurité natifs, mais ils n'ont souvent pas la visibilité ou l'intégration spécifique aux soins de santé requise pour la surveillance à l'échelle de l'entreprise. Dans les configurations multicloud, ces disparités se multiplient.
«Les défis de sécurité dans les soins de santé varient considérablement entre les cloud publics, le cloud hybride et les environnements multicloud», explique Connors. «Les outils de sécurité natifs des fournisseurs de cloud n'offrent souvent pas la visibilité ou le contrôle nécessaire.»
Pour y remédier, les équipes informatiques se tournent vers des plateformes de sécurité unifiées qui couvrent les types d'infrastructures et fournissent une couche de politique cohérente.
Surveillance dans les environnements d'infrastructure de soins de santé
Connors souligne l'importance de la surveillance centralisée, en particulier lorsque les organisations de soins de santé gèrent des charges de travail sensibles dans plusieurs environnements.
«Tirer parti des plates-formes qui unifient les politiques de sécurité et fournissent une gestion centralisée – un« volet unique de verre »- est essentiel», dit-il.
Pour Gulati, la visibilité et la gouvernance sont tout aussi importantes que le cryptage.
«Les environnements hybrides et multicloud ajoutent une autre couche de complexité avec plusieurs niveaux de contrôle et le défi de gérer l'étalement des données», dit-il.
Une préoccupation clé de la modernisation n'est pas seulement une mauvaise configuration interne, mais aussi l'exposition accrue au risque tiers.
Les bibliothèques open source et les vendeurs externes font partie de la surface d'attaque. Sans contrôles adéquats, un lien faible dans la chaîne d'approvisionnement peut exposer les systèmes critiques.
«La modernisation des charges de travail implique souvent l'utilisation de bibliothèques tierces ou open source, qui peuvent s'accompagner de leurs propres vulnérabilités», explique Connors. «Les organisations doivent sécuriser leurs applications ainsi que l'environnement environnant.»
Gulati recommande de commencer tout effort de modernisation de l'infrastructure avec une évaluation complète de la sécurité, expliquant que l'alignement avec des normes telles que la HIPAA et le chiffrement des données en transit et au repos sont des pratiques de base.
«Il est essentiel de choisir un fournisseur de cloud compatible HIPAA et de chiffrer les données en utilisant les derniers protocoles standard de l'industrie», dit-il.