Comment les organisations de santé peuvent choisir le MSP adapté à leurs besoins de sécurité
Les prestataires de services informatiques gérés jouent un rôle de plus en plus important pour les établissements de santé qui peinent à allouer du personnel et du budget à la gestion informatique. Les MSP peuvent aider les organisations à moderniser leur infrastructure , à surveiller leurs performances et à améliorer la gouvernance des données. De plus, ils peuvent accroître l'efficacité des services informatiques en prenant en charge des tâches qu'une équipe en sous-effectif a rarement les ressources nécessaires.
Face au déficit croissant de compétences en cybersécurité du secteur et à sa vulnérabilité aux cyberattaques, les établissements de santé se tournent également vers les prestataires de services de sécurité managés . Les offres MSSP classiques, associées à une disponibilité du personnel 24h/24 et 7j/7, sont « conçues pour réduire le nombre de personnels de sécurité opérationnelle qu'une entreprise doit recruter, former et fidéliser pour maintenir une posture de sécurité acceptable », souligne Gartner .
« Un bon MSSP aidera les établissements de santé à optimiser leur retour sur investissement technologique en les libérant des contraintes liées aux infrastructures de niveaux 1 et 2 », explique Robert McFarlane, stratège en sécurité gérée chez CDW . « Grâce à un environnement cogéré, les organisations peuvent consacrer plus de temps à l'élaboration de leur politique et de leur stratégie de sécurité. »
Outre le potentiel de combler les pénuries de personnel, les MSSP contribuent à faire face au « déluge constant d'attaques contre le secteur », selon Christopher Fielder, directeur du marketing produit chez Arctic Wolf . Le secteur de la santé est une cible attractive, ajoute-t-il, et les enjeux n'ont jamais été aussi élevés : « Dans le meilleur des cas, un attaquant obtient de nombreuses informations personnelles identifiables. Dans le pire des cas, il y a perte de revenus et risque de préjudice pour les patients. »
La vulnérabilité du secteur de la santé provient en grande partie d'un coupable bien connu : l'infrastructure existante. Les organisations disposent peut-être de systèmes de pointe pour interpréter les images radiologiques ou réaliser des interventions chirurgicales, mais ils fonctionnent souvent avec des dispositifs de surveillance critiques fonctionnant sous des versions obsolètes de Windows ou des systèmes cloud dont les configurations par défaut sont peu sécurisées. « Il y a tellement de lacunes à combler », déclare Fielder.
Des tâches telles que l'isolation des appareils non corrigés peuvent rapidement submerger une équipe informatique. Il est également nécessaire de sécuriser les réseaux et les terminaux, de gérer les accès, de surveiller les menaces et d'y répondre avant que les attaques ne paralysent le système.
« Elles peinent à suivre le rythme du changement », explique McFarlane. Cela vaut également pour les politiques. De nombreuses organisations savent qu'elles bénéficieraient de manuels de gestion des incidents , mais cela nécessite de documenter les flux de travail, un effort que peu d'entre elles ont entrepris. « Il faut beaucoup d'efforts pour comprendre ce qui ne va pas. »
C'est pourquoi la véritable valeur ajoutée pour un MSSP réside dans les personnes que le service fournit, et pas seulement dans la technologie, explique Fielder.
« Vous bénéficiez d'une équipe d'experts pour le coût d'une seule personne. C'est une valeur ajoutée minime », explique-t-il. « Si vous êtes un hôpital de taille moyenne, vous avez besoin de services de réponse aux incidents, de recherche de menaces, de détection et de réponse aux points d'accès, et de tout le reste. Il vous faut une personne expérimentée et disponible nuit et week-end . »
Il est difficile de trouver des talents en matière de sécurité, surtout lorsque plusieurs hôpitaux de la même région tentent de rivaliser pour attirer les mêmes personnes, note Fielder.
COMMENCEZ MAINTENANT : améliorez votre cybersécurité avec les services gérés CDW.
Comment les organisations de santé bénéficient des MSSPFielder décrit les offres typiques d’un MSSP en termes militaires.
Avant une attaque , ou « à gauche du boom », les organisations peuvent bénéficier d’une gamme de services :
- La gestion des vulnérabilités consiste à dresser l'inventaire de l'ensemble du matériel et des logiciels d'un environnement et à identifier les identités ayant accès aux systèmes . Cela permet aux organisations de prioriser leurs efforts de correction des systèmes ou de savoir où surveiller les abus, explique Fielder.
- La gestion des identités garantit que les utilisateurs, les applications et les appareils n'ont accès qu'à ce dont ils ont besoin, et à rien d'autre. Ainsi, en cas d'attaque, le rayon d'action est réduit au minimum, car l'attaquant ne peut pas aller très loin, explique McFarlane.
- La journalisation centralisée intègre les journaux d'incidents provenant de divers outils de surveillance des menaces afin de fournir une vue unique de l'origine des incidents et de leurs liens. Cela réduit le volume des alertes tout en fournissant un contexte supplémentaire sur les incidents.
- L'analyse du comportement des utilisateurs examine le moment où ils se connectent et les contenus auxquels ils tentent d'accéder. Ceci est particulièrement important dans le secteur de la santé, explique McFarlane, car « un accès anormal n'est pas forcément néfaste » (par exemple, un médecin se connectant en dehors des heures de bureau pour prendre des notes ou consulter des examens d'imagerie).
Lors d'une attaque , ou « d'un boom », tout est une question de détection et de réponse gérées . Dans ce cas, les entreprises auront besoin d'un MSSP qui « se sent comme une extension de l'équipe de cybersécurité », explique Fielder. « Le bon fournisseur vous traitera comme s'il s'agissait de sa propre organisation, et non comme une simple alerte sur une console. »
Après une attaque , ou « droit de frappe », l'attention se porte sur la réponse à l'incident . « Il faut quelqu'un à vos côtés », explique Fielder. « Il faut pouvoir passer un appel et disposer d'une équipe prête à résoudre le problème et à négocier en moins d'une heure. »
McFarlane prévient que la réponse n'est pas synonyme de remédiation : « Les organisations devront toujours agir. » Il recommande de déterminer à l'avance les tâches de remédiation qui relèvent de la responsabilité du MSSP et celles qui incombent au système de santé. Dans ce cas, la connaissance institutionnelle d'une organisation l'aidera à identifier la personne compétente pour gérer la situation sur place.
De nombreux hôpitaux et systèmes de santé entament des discussions avec un MSSP en pensant avoir des besoins de sécurité spécifiques liés à la composition de leur personnel ou de leur population de patients. C'est peut-être vrai, mais cela peut être source de distraction, explique McFarlane : « Un modèle de sécurité bien pensé, bien déployé, bien conçu et bien géré peut s'adapter à tous les systèmes en place. »
Fielder est du même avis. Certes, chaque entreprise semble posséder une architecture client-serveur autonome vieille de plusieurs décennies, mais ce n'est pas ce que recherchent les attaquants. Ils ciblent les versions obsolètes de Microsoft Exchange ou les appareils fonctionnant sous Windows XP.
« Les processus peuvent être différents, mais les composants clés de l'architecture que les attaquants exploiteront sont très similaires. Nous devons insister sur le fait qu'au final, ce sont toujours des ordinateurs, des routeurs, des commutateurs et des serveurs », explique-t-il, quel que soit le système de DMP en place , la localisation de l'hôpital ou le type de patients traités.
Cela dit, aucune offre MSSP ne devrait être universelle, poursuit Fielder. Par exemple, un bon partenaire soutiendra les relations existantes entre l'organisation et ses fournisseurs en matière d'équipements et collaborera avec elle pour déterminer le rythme approprié pour la tenue de réunions, la modification de l'environnement bâti ou l'exploration de technologies avancées, explique McFarlane.
Ici, ajoute-t-il, un MSSP aidera une organisation à se concentrer sur l'objectif final : « La personnalisation des engagements pour un tout nouvel outil ne devrait intervenir qu'en fin de processus. Elle ne devrait pas influencer la stratégie fondamentale, car cela pourrait limiter les opérations de sécurité en fonction de leur niveau de maturité. »
healthtechmagazine
