Par Afshin Attari, directeur principal du secteur public chez Exponential-e
Le niveau de dette héritée varie considérablement au sein du NHS. Un récent rapport du Département des Sciences, de la Technologie et de l'Innovation (DSIT) a révélé que la technologie existante peut aller d'aussi peu que 10 % à 60 à 70 %. Cette dépendance à des systèmes obsolètes présente un défi de cybersécurité important, accentué par le fait que 15 % des organisations interrogées ne pouvaient pas estimer la taille de leur patrimoine existant. Le rapport souligne également que ces systèmes sont à haut risque, sujets à des failles de sécurité, manquent de support et sont sujets à des pannes opérationnelles.
Le problème ? De nombreuses organisations du NHS ont du mal à avoir une vision claire de leurs applications et systèmes existants. Sans cette visibilité, ils sont confrontés au défi de comprendre et de gérer les systèmes qui sont souvent essentiels à leurs opérations quotidiennes. En l’absence d’une documentation et d’une surveillance appropriées, il est impossible de sécuriser efficacement ces systèmes et ils restent exposés aux cybermenaces.
Pour véritablement résoudre les problèmes de sécurité dans les systèmes existants, les bases appropriées doivent être posées et l'expertise appropriée doit être disponible pour les soutenir.
Pourquoi la cartographie est essentielle
Les applications héritées remplissent des rôles essentiels, mais leur âge et leur complexité les rendent vulnérables aux risques de sécurité. Les actifs et applications hérités sont également souvent à grande échelle et essentiels à la mission. Ils sont difficiles à moderniser en raison de la conservation des données à long terme et difficiles à migrer notamment vers les environnements Public Cloud. Pour ce faire, il faut une connaissance en place de cette plate-forme existante et cela dépend de la manière dont vous extrayez les données de cet environnement et les transférez vers une nouvelle plate-forme.
De nombreuses organisations sont confrontées à des défis lorsqu'elles doivent gérer des systèmes existants, en particulier dans des secteurs hautement réglementés comme celui de la santé. Le secteur dépend fortement d’infrastructures existantes construites au fil des décennies, ce qui rend les mises à niveau et les migrations encore plus complexes. Souvent, ces systèmes sont profondément intégrés à d’autres applications critiques, ce qui signifie que toute interruption ou tentative de migration doit être soigneusement planifiée pour éviter les interruptions de service ou la perte de données. De plus, les exigences de conformité compliquent encore davantage les efforts de modernisation, car les organisations doivent s'assurer que tout changement est conforme aux réglementations du secteur et aux cadres de sécurité.
Les connaissances et la documentation constituent la première étape pour sécuriser les systèmes existants. Si vous ne savez pas ce que vous avez, vous ne pouvez pas le sécuriser. Un exercice de cartographie fondamentale est crucial pour établir une base de référence des actifs et garantir l’identification de ce qui doit être sécurisé.
Avoir une vue sur tous les systèmes existants au sein de l’organisation permet aux autorités sanitaires de procéder à leur analyse des risques en matière de gouvernance et de chaîne d’approvisionnement. À partir de là, ils peuvent s'assurer que la chaîne d'approvisionnement est sécurisée et que les actifs sont correctement corrigés et répondent aux certifications Cyber Essentials et Cyber Essentials Plus.
Il s'agit de la meilleure pratique pour sécuriser les applications existantes, offrant un aperçu des stratégies de modernisation de l'infrastructure tout en maintenant la conformité aux normes de sécurité nécessaires. Une fois que les autorités ont cartographié leurs systèmes, elles peuvent hiérarchiser les actifs existants à mettre à jour et ceux à continuer à gérer, en toute sécurité. L'élaboration d'une feuille de route pour la modernisation peut aider les organisations à passer d'une technologie obsolète à des solutions plus sécurisées et efficaces, réduisant ainsi les risques à long terme tout en préservant l'intégrité opérationnelle. En adoptant une approche stratégique, les organisations peuvent garantir que les applications existantes restent fonctionnelles, sécurisées et conformes aux exigences réglementaires en constante évolution.
Atténuer les risques et sécuriser les systèmes existants
La prochaine étape consiste à mettre en place des mesures de sécurité qui protègent ces systèmes contre les cybermenaces. Il n'est pas toujours possible de remplacer l'infrastructure existante. Les organisations doivent donc trouver des moyens de renforcer leur environnement existant en mettant en œuvre des cadres de cybersécurité robustes, en garantissant la conformité aux normes du secteur et en formant le personnel à reconnaître les risques potentiels.
Les services de gestion des informations et des événements de sécurité (SIEM) peuvent aider à protéger les systèmes existants en surveillant en permanence les flux de trafic et en signalant les anomalies pouvant indiquer une cybermenace. Cela permet aux établissements de santé de détecter les activités suspectes en temps réel, de créer des règles de sécurité pour lutter contre tout écart et de réduire le risque de violation. Les solutions SIEM offrent également une analyse des journaux, l'intégration de renseignements sur les menaces et des réponses automatisées pour minimiser l'impact d'une attaque, garantissant ainsi que les applications existantes restent protégées même si les cybermenaces évoluent.
Cependant, l'efficacité du SIEM repose sur la collaboration avec des partenaires qui non seulement proposent des outils de surveillance, mais comprennent également les complexités des systèmes existants, garantissant que les solutions de sécurité sont adaptées aux défis uniques posés par une infrastructure obsolète.
Il est essentiel pour les établissements de santé de s'associer à des entreprises technologiques, qui peuvent intégrer ces solutions dans les environnements existants tout en garantissant la conformité aux dernières normes de sécurité. Ce niveau d’assistance experte peut également aider les établissements de santé à évaluer et développer des processus de sécurité, à renforcer leurs positions et à former le personnel. Avec le soutien approprié, le NHS peut protéger les systèmes critiques sans compromettre l’efficacité opérationnelle ou les soins aux patients.
Tout compromis en matière de sécurité entraînera sans aucun doute des violations. Alors que nous constatons une augmentation des menaces sophistiquées contre les établissements de santé dans un environnement géopolitique accru, la connaissance est la première étape pour agir. Chaque organisation du NHS doit désormais s’efforcer d’évaluer et de sécuriser de manière proactive les applications existantes afin de protéger les données et les systèmes sensibles contre les violations à l’avenir.