1. Le transfert des données vers le cloud n'entraîne-t-il pas une sécurité réduite ?
Laisser des applications quitter votre centre de données peut être effrayant. La perte de contrôle détaillé et de propriété semble pouvoir entraîner des problèmes de sécurité. Habituellement, c'est le contraire qui est vrai : les fournisseurs de cloud disposent de la taille nécessaire pour fournir des ressources massives pour sécuriser les applications et les données, et ils sont à l'avant-garde des meilleures pratiques en matière de sécurité. Les équipes informatiques du secteur de la santé ne disposent tout simplement pas de ce niveau de ressources à consacrer à la sécurité.
2. Les fournisseurs de cloud ne sont-ils pas responsables de la sécurité de mes données ?
Passer au cloud, quel que soit le type de service que vous avez choisi, implique une responsabilité conjointe en matière de sécurité. La sécurité physique, des réseaux et des infrastructures est désormais le problème du fournisseur de cloud. Pour le logiciel en tant que service, cela s'étend jusqu'aux correctifs de sécurité du système d'exploitation et des applications. Mais la configuration globale et le choix des bonnes options restent de votre responsabilité. Si vous n'exigez pas d'authentification multifacteur ou si vous laissez vos compartiments de stockage de données accessibles au public, les problèmes de sécurité que vous créez sont les vôtres. Les responsables informatiques du secteur de la santé doivent prendre le temps de comprendre ce qu'ils configurent et choisir les options appropriées et sécurisées.
3. Le passage au cloud ne soulage-t-il pas mon fardeau de conformité ?
Les fournisseurs de cloud suivent leur propre processus d'audit et de certification, et la fourniture de ces rapports fait partie de votre plan de reporting de conformité. Mais le contrôle final de l’accès aux données relève toujours de votre responsabilité, quel que soit l’endroit où se trouvent les données. Le cloud n'est pas un raccourci pour contourner les exigences HIPAA et HITECH.
4. Le cloud ne change-t-il pas la gestion des identités et des accès ?
L'IAM n'a jamais été aussi importante que dans un environnement cloud, car les barrières physiques traditionnelles (telles que le fait de devoir être à l'hôpital) disparaissent. Un IAM solide est la base de tout. Les équipes informatiques du secteur de la santé qui s'appuient sur Active Directory sur site ou sur Entra ID basé sur le cloud (le nouveau nom de Microsoft pour Azure AD) avec MFA prennent un bon départ. Mais le cloud introduit certaines exigences supplémentaires en matière d'IAM. La gestion des risques via le géorepérage, l'évasion par effraction et d'autres contrôles de posture doit être intégrée dans l'IAM pour maintenir le contrôle d'accès dans un environnement d'application cloud.
5. Le cryptage des données sur Internet ne constitue-t-il pas une protection suffisante ?
Le chiffrement est nécessaire mais en aucun cas suffisant à lui seul. Des outils tels que le cryptage SSL/TLS protègent les données cloud en transit entre les centres de données et les utilisateurs, mais les données au repos nécessitent également une sécurité bien au-delà du simple cryptage. En plus de l'IAM et des contrôles d'accès stricts, les équipes informatiques du secteur de la santé doivent ajouter des outils pour les aider à auditer leurs configurations et à surveiller les événements de sécurité. La prévention des violations de données commence par l'identification et la correction des erreurs humaines, qui sont toujours présentes. Ce n'est qu'un début : les accès non autorisés aux données doivent être détectés et corrigés en temps réel, aux vitesses Internet, pour éviter des violations de données généralisées.