Dans l'ensemble du secteur de la santé, les organisations adoptent des services en cloud pour améliorer l'accès aux données médicales. Pour l'un des principaux systèmes hospitaliers universitaires, le passage au cloud a permis de rendre des Tb d'informations de santé protégées (PHI) accessibles à ses plus de 40 000 employés, qu'il s'agisse de médecins ou de chercheurs sur le terrain. Bien que de solides fondations pour le cloud soient un élément clé de la transformation numérique, cela pose également des problèmes de sécurité qui peuvent conduire à une violation de données si vous migrez sans avoir mis en place les contrôles adéquats.
L'hôpital en question est régulièrement classé parmi les 10 meilleurs hôpitaux des États-Unis. En 2020, l'activité ambulatoire a dépassé les 2,3 millions de visites de patients et plus de 42 000 sorties de patients, ce qui signifie que l'hôpital génère des montagnes de PHI chaque jour. En raison de la nature sensible de ces informations, l'hôpital doit se conformer à la loi HIPAA (Health Insurance Portability and Accountability Act), une réglementation fédérale qui régit la confidentialité et la sécurité des informations de santé. Selon le directeur associé des applications informatiques de l'hôpital, "Il s'agit avant tout de prévenir la perte de données PHI".
Le système hospitalier s'est tourné vers Lookout pour l'aider à sécuriser sa dépendance croissante aux services en cloud. Avec un mélange initial de solutions sur site et dans le cloud, le défi de protéger toutes leurs données de manière conforme alors qu'ils migraient vers une adoption complète du cloud est devenu encore plus compliqué lorsque la pandémie a accéléré le processus.
Sécuriser le cloud hybride
L'équipe informatique de l'hôpital a commencé sa migration vers le cloud en 2013 avec le déploiement du stockage cloud Box pour compléter ses opérations informatiques sur site. Leur application initiale prenait en charge le partage de l'accès à un index patient global à l'échelle de l'entreprise.
Cette combinaison de services sur site et de services de cloud public a permis d'apporter de la flexibilité, de faire des économies, de la souplesse et d'améliorer les performances. Cependant, comme pour toute modification des infrastructures d'entreprise, l'adoption d'un modèle de cloud hybride impliquait d'examiner les pratiques de sécurité déjà en place et de déterminer comment elles pourraient être adaptées. La principale préoccupation de l'hôpital était de s'assurer que les données PHI demeurent conformes à la loi HIPAA dans un environnement où elles peuvent être facilement partagées entre ces clouds privés et publics.
L'équipe informatique a d'abord collaboré avec Lookout pour sécuriser le déploiement de leur Box. Lookout Secure Cloud Access a été déployé pour fournir un accès sécurisé, une visibilité et une protection des données pour Box. Avec des capacités intégrées de gestion des droits numériques d'entreprise (EDRM), d'analyse du comportement des utilisateurs et des entités (UEBA), et une intégration flexible avec leur solution existante de prévention des pertes de données (DLP) sur site, l'hôpital pouvait être sûr que les PHI étaient sécurisés tout en se conformant à toutes les réglementations applicables.
En 2020, la pandémie a poussé l'hôpital à étendre sa présence dans le cloud avec trois nouveaux services cloud - Microsoft SharePoint pour la collaboration sur le web, Microsoft OneDrive pour l'hébergement de fichiers et Microsoft Teams pour la communication d'entreprise. Avec Secure Cloud Access déjà en place pour Box, l'hôpital a simplement appliqué ses politiques de conformité et de protection des données à SharePoint, OneDrive et Teams, garantissant ainsi la protection et la conformité de toutes les données dans le cadre de politiques testées et vérifiées, quel que soit l'endroit où elles sont hébergées.
Avec Lookout, les entreprises peuvent fournir un accès sécurisé et appliquer des politiques cohérentes, et ce même dans un environnement hybride qui utilise à la fois des services sur site et des services en cloud.
Faire le lien entre le passé et le présent
Alors que ces services cloud supplémentaires ont favorisé la productivité en rendant les données accessibles de n'importe où, lier les données cloud au système DLP existant de l'hôpital a présenté un nouveau défi. En effet, certaines données n'étant plus stockées dans le périmètre du réseau, le matériel DLP sur site de l'hôpital ne pouvait plus les protéger. L'hôpital avait besoin d'une solution DLP en cloud totalement intégrée à ses applications en cloud à l'aide d'API capables d'analyser et de classer les données dans le cloud lors de leur création, de leur téléchargement et de leur collaboration.
Cependant, cette solution DLP sur site était en place depuis des années. Beaucoup d'efforts ont été consacrés à la personnalisation et à la configuration des règles et des politiques de DLP, aux tests de précision et d'efficacité, et à l'affinage pour éliminer le spam et les faux positifs. Avec des années de validation, le client était confiant dans sa capacité à assurer la sécurité des données sensibles.
En outre, l'équipe informatique disposait d'un flux de travail intégré pour acheminer et résoudre rapidement un flux quotidien d'incidents DLP. La capacité d'intégrer le DLP en cloud de Lookout tout en tirant parti de ces capacités et flux de travail DLP existants est devenue une condition préalable pour réduire le coût de la remédiation des incidents et augmenter l'efficacité.
L'extension du DLP sur site de l'hôpital aux applications en cloud avec notre DLP en cloud a donné à l'hôpital la possibilité de découvrir, surveiller et protéger leurs données sensibles de pratiquement n'importe où - sur site ou dans le cloud. Il est également en mesure d'exploiter les politiques et les flux de travail DLP existants pour étendre des règles et une logique commerciale finement ajustées à des points de contrôle dans le cloud tels que Box, SharePoint, OneDrive, Teams et bien d'autres. Grâce à ces capacités combinées, l'équipe informatique peut appliquer des mesures avancées de protection des données telles que le chiffrement, la rédaction et le masquage des informations, quel que soit l'endroit où elles se trouvent.
Mais l'intégration avec les outils DLP de l'hôpital n'était qu'un point de départ. L'ensemble des fonctionnalités DLP de Lookout Cloud Security Platform a permis à l'hôpital de garder une longueur d'avance sur les changements de réglementation en matière de conformité et de confidentialité des données. Lookout applique ces politiques de données sensibles à la fois sur les données en mouvement et au repos dans Box, OneDrive et SharePoint.
"Nous utilisons Lookout avec la correspondance exacte des données (EDM) pour signaler des informations telles que les numéros de sécurité sociale, les noms et les numéros de dossiers médicaux dans notre index général des patients", a déclaré le directeur informatique de l'hôpital. "Nos politiques sont définies pour chiffrer les données au repos, supprimer les collaborateurs externes, supprimer les liens publics et insérer un fichier PDF de marquage informant les utilisateurs du chiffrement proactif des données."
Protéger les données au sein de l'entreprise
Dans un hôpital de recherche et d'enseignement, les employés ont souvent besoin d'accéder à distance à des données sensibles lorsqu'ils travaillent sur le terrain. Cela implique souvent le téléchargement de données PHI sur un disque local ou une clé USB.
Dans un monde de transferts de données électroniques et d'appareils à distance, il existe des dizaines de façons dont la sécurité peut se dégrader et entraîner une non-conformité à la loi HIPAA. L'HIPAA exige le chiffrement des PHI lorsque les données sont au repos, ce qui inclut les données stockées sur un disque, une clé USB ou toute autre ressource locale. Pour répondre à cette exigence, l'hôpital utilise Lookout EDRM pour le chiffrement des fichiers et l'application des politiques d'accès. Une fois chiffré, des règles peuvent être appliquées à un document pour autoriser ou refuser des activités spécifiques.
L'EDRM répond aux besoins de protection des données de l'entreprise, car les utilisateurs collaborent et partagent les PHI entre les parties prenantes internes et externes. Il permet de créer, de consulter, de modifier et de distribuer les PHI en toute sécurité, tout en les protégeant contre l'accès, l'utilisation et la distribution non autorisés.
"Nous avions des employés qui travaillaient à distance dans des pays comme l'Ouganda et le Vietnam et qui avaient besoin d'accéder à ces données sensibles une fois qu'elles avaient quitté notre contrôle", explique le directeur informatique. "C'est essentiel pour la sphère de sécurité de l'HIPAA. Avec le chiffrement avancé de Lookout, nous pouvons garantir que tout ce qui a quitté notre contrôle restera chiffré."
Élargir les possibilités
Ce système hospitalier universitaire de référence franchit en toute confiance chaque étape de sa migration vers le cloud en sachant que ses données sensibles resteront en sécurité et conformes à l'HIPAA. Et à mesure que de nouveaux cas d'utilisation émergent, Lookout sera présent aux côtés de l'équipe informatique de l'hôpital pour l'aider à relever ses défis en matière de sécurité.
"Nous recevons constamment des réponses sur ce qui est possible aujourd'hui et sur ce qui sera bientôt disponible en termes de capacités", note le directeur informatique. "Lookout nous aide à faire évoluer en toute sécurité un déploiement réussi, et nous nous sentons comme dans un partenariat".