Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Check Point CloudGuard pour le secteur de la santé est lancé

juillet 2020 par Marc Jacob

Le secteur de la santé a toujours fait preuve de prudence en matière de nouveaux mécanismes de déploiement, en particulier lorsqu’ils impliquent le Cloud. Bien que l’on puisse apprécier tous les avantages offerts par le Cloud, la priorité du secteur de la santé est de protéger les données et les dossiers privés des patients. Mais il faut trouver un équilibre entre ce besoin et la nécessité de disposer rapidement de données consolidées et accessibles en permanence pour soigner les patients. Le moyen le plus simple d’y parvenir est de tirer parti du Cloud. Ce qui aggrave la situation et rend la transition plus difficile, ce sont les règles et les amendes qui sont imposées par la réglementation HIPAA, pouvant s’élever dans certains cas à plus d’un million de dollars par incident. Les organismes de santé et les technologues médicaux sont donc confrontés à un dilemme. Il s’agit de faire évoluer l’approche de la sécurité et, mieux encore, automatiser le protocole de sécurité pour assurer la protection des patients, la sécurité des applications et la conformité.

La prolifération rapide des technologies médicales et de la santé avec lesquelles les consommateurs peuvent interagir pousse rapidement les prestataires de soins de santé et de technologies médicales à adopter le Cloud public, et plus particulièrement les nouvelles charges de travail applicatives, notamment les architectures sans serveur et les conteneurs. Pour de nombreux cas d’utilisation des technologies médicales et de la santé, les architectures des charges de travail modernes sont un excellent choix pour plusieurs raisons :

1. Les applications médicales et de la santé nécessitent souvent des ressources à grande échelle et une haute disponibilité. Les charges de travail sans serveur et les conteneurs rendent la création et l’exploitation des applications à grande échelle et à haute disponibilité beaucoup plus faciles et moins coûteuses. Par exemple, les pharmacies disposent d’applications mobiles ou en ligne pour traiter les demandes de médicaments sur ordonnance qui nécessitent une évolutivité à la demande. Les applications logicielles de DME utilisées dans le réseau hospitalier peuvent être réparties dans des conteneurs pour plus d’efficacité et de sécurité.

2. La conformité et la protection de la confidentialité des données sont souvent essentielles aux solutions technologiques du secteur de la santé. Le passage à des architectures de charges de travail peut aider les développeurs à créer des applications encore plus robustes, avec des nano-exigences pour renforcer la sécurité et les restrictions en matière de confidentialité.
Sécurité des charges de travail dans le secteur de la santé
Le passage à des charges de travail modernes, telles que les applications sans serveur et les conteneurs, entraîne de nouveaux défis et de nouvelles opportunités pour les solutions médicales et de la santé. Et comme mentionné, tout cela doit être conforme à la réglementation HIPAA. Les fournisseurs de technologies médicales doivent comprendre les différentes nuances afin de répondre aux exigences de sécurité et de conformité, notamment :

• Les applications médicales déployées dans un Cloud public utilisant des services sans serveur ou des services de conteneurs sont soumises à des exigences de conformité strictes, telles que HIPAA et RGPD. Les organismes de santé doivent respecter ces règles de conformité en fonction de la conception des charges de travail déployées, et permettre une certification et un audit appropriés. Cela nécessite des contrôles de sécurité clairs tout au long du cycle de vie des applications, du développement jusqu’à la mise en production.
• Les services de santé dans le Cloud peuvent intégrer des centaines de fonctions sans serveur ou plusieurs conteneurs dans une architecture de micro-services, chacun d’eux effectuant une transaction spécifique sur les données médicales des utilisateurs. Pour chaque fonction ou composant de conteneur, il est impératif que la solution de protection des charges de travail dans le Cloud assure la mise en application du moindre privilège. C’est essentiel pour minimiser le risque de fuite de données et de non-respect de la confidentialité.
• Les solutions de protection des charges de travail dans le Cloud doivent protéger les applications contre les menaces connues et inconnues, communément appelées attaques « zero-day ». Comme les fonctions sans serveur utilisées dans les solutions de technologie médicale sont généralement de petites fonctions à usage unique, une solution de sécurité sans serveur doit utiliser une défense comportementale auto-apprenante pour détecter et bloquer les comportements indésirables découlant des cyberattaques.

Comment automatiser la sécurité des charges de travail dans le secteur de la santé

La sécurité des applications natives dans le Cloud, comme celle des charges de travail, doit être prévue dès sa conception pour tenir compte du fonctionnement interne des applications. Les protocoles traditionnels de sécurité des applications ne fonctionnent tout simplement pas dans ces architectures modernes, car la mécanique des applications a fondamentalement changé. Les organismes de soins de santé et les technologues médicaux doivent réimaginer la façon d’implémenter l’AppSec sans nuire aux avantages opérationnels fournis par ces charges de travail modernes, notamment leur efficacité, la réduction des coûts, etc.

Plusieurs caractéristiques contribuent à rendre les charges de travail dans le Cloud pour le secteur de la santé beaucoup plus sûre que les applications traditionnelles. En voici quelques-unes :

1. Visibilité centralisée sur tous les environnements dans le Cloud.
2. Intelligence comportementale pour stopper les attaques connues et inconnues.
3. Protection active et sécurité automatisée.

Check Point CloudGuard fournit une solution complète de protection des charges de travail dans le Cloud pour la santé, et a fait évoluer sa solution pour répondre aux besoins uniques des organismes de santé et des technologues médicaux qui doivent mettre en œuvre des charges de travail modernes dans le Cloud, notamment :

• Check Point CloudGuard Dome9 permet le déploiement de politiques personnalisables (en utilisant GSL) sur le compte pour assurer la conformité à HIPAA et RGPD. Les politiques sont appliquées pendant le développement, dans le pipeline de CI/CD, pendant la mise en place et les tests, et pendant le déploiement dans le Cloud.

• Pour les applications sans serveur, Check Point CloudGuard automatise le processus de mise en application du principe du moindre privilège à toutes les fonctions sans serveur des applications de santé, tout en permettant aux développeurs d’applications d’évoluer à la vitesse du Cloud. Il applique une solution de défense comportementale qui protège automatiquement et de manière transparente les fonctions sans serveur, avec un impact quasiment nul sur les performances. Cela protège automatiquement les fonctions contre les attaques connues et inconnues.

• Pour les charges de travail dans des conteneurs, Check Point CloudGuard sécurise les services Kubernetes et s’assure que les configurations sont conformes aux normes telles que CIS Kubernetes Benchmarks ou NIST 800-190. CloudGuard analyse en permanence les conteneurs déployés afin d’identifier les erreurs de configuration qui pourraient compromettre la sécurité et la conformité des applications de santé. Les technologues peuvent tirer parti de la technologie d’auto-remédiation des CloudBots pour assurer la sécurité et la conformité en continu.

Avec les charges de travail modernes dans le Cloud, les organismes de santé peuvent désormais adopter le Cloud et profiter de tous ses avantages sans compromettre la sécurité ni la conformité. Pour plus d’informations sur les solutions de sécurité de Check Point pour la santé, consultez ces informations.


Voir les articles précédents

    

Voir les articles suivants