Résumé
Un établissement de santé de renommée mondiale souhaitait utiliser le cloud pour améliorer la facilité et la rapidité du partage d’informations (entre ses nombreux campus et ses employés dans le monde entier) et ce, afin d’offrir de meilleurs soins aux patients. Cela ne pouvait se faire sans assurer également la protection des informations de santé protégées (PHI).
Digital Guardian® for Cloud Data Protection with Box de Fortra™’ est la solution mise en production depuis août 2014.
Ce document décrit les défis posés par la protection des données dans le cloud à un établissement de santé de premier plan, la méthodologie employée pour mettre en œuvre cette solution et les avantages qui en ont découlé. Il s’adresse aux systèmes de santé qui envisagent d’investir dans la technologie cloud pour des raisons d’évolutivité, de réduction des coûts ou d’amélioration de la collaboration.
Objectif de l’établissement hospitalier : partager l’information n’importe où
Les cadres supérieurs d’un établissement de soins de santé de pointe ont anticipé la manière dont les soins et les solutions pour les patients seraient fournis à l’avenir. Dans l’ère actuelle, la connectivité doit être assurée pour partager l’information « quels que soient les environnements, les sites et les appareils », comme l’a dit un cadre hospitalier.
Le cloud permet de réaliser des économies grâce au partage des ressources tout en facilitant l’accès à l’information au moment et à l’endroit où elle est nécessaire. Si les exigences en matière de sécurité étaient respectées, le cloud pourrait grandement favoriser la collaboration entre la multitude de centres internes et associés commerciaux de l’établissement de santé, ainsi qu’avec les prestataires de soins externes, le personnel de recherche et les patients.
Tout d’abord, il fallait s’assurer que la solution cloud serait sécurisée et répondrait aux exigences réglementaires. « Nous voulons partager les informations de santé protégées (PHI) au sein de l’organisation, mais nous devons nous assurer que nous ne les partageons pas à l’extérieur », a déclaré un cadre hospitalier.
Réglementation HIPAA / HITECH
Avec sa double casquette de prestataire de soins et d’école de médecine, cette institution conserve des PHI sur ses patients ainsi que des documents de recherche provenant d’autres sources et susceptibles de contenir d’autres PHI. Ces informations doivent être contenues et gérées conformément aux prescriptions des agences de réglementation du département de la Santé et des Services sociaux des États-Unis.
Les réglementations HIPAA (Health Insurance Portability and Accountability of Act) et HITECH (Health Information Technology for Economic and Clinical Health Act) exigent que l’organisation sache où sont stockées ou envoyées les informations personnelles identifiables (PII) des patients, et ce, que les données soient cryptées ou non. En effet, le chiffrement à lui seul n’est pas suffisant pour répondre aux normes requises ou pour fournir la visibilité nécessaire à la gestion de ce type de données sensibles..
DLP d’entreprise
Les solutions de prévention de la perte de données (DLP) jouent un rôle clé dans la protection des données sensibles et aident les établissements de santé à se conformer aux diverses exigences de l’HIPAA et de l’HITECH. Gartner définit la DLP comme « la fourniture d’outils permettant l’application dynamique d’une politique basée sur le contenu et le contexte au moment d’une opération. Ces outils sont utilisés pour faire face au risque de fuites involontaires ou accidentelles, ou à l’exposition d’informations sensibles de l’entreprise en dehors des canaux autorisés, par le biais de fonctions de surveillance, de filtrage, de blocage et de résolution. »
Déployée avec succès dans le secteur de la santé depuis plus de dix ans, la technologie de prévention de la perte de données (DLP) fournit des outils de découverte et de gestion nécessaires pour les PHI et autres données privées ou sensibles au sein d’une entreprise. Au cours de cette même période, un degré élevé de familiarité et un ensemble de meilleures pratiques ont été établis afin de maximiser l’efficacité de ces solutions.
Cependant, de nombreux fournisseurs de solutions DLP ont trop lentement, voire n’ont pas du tout modifié leurs offres afin qu’elles puissent fonctionner efficacement dans le cloud.
Solutions CASB
Les solutions récemment développées par les courtiers en sécurité d’accès au cloud (CASB) fournissent généralement des passerelles qui inspectent les informations entrant ou sortant du cloud (dans les e-mails ou les transactions Web par exemple), mais elles n’offrent ni le niveau de précision ni la facilité d’utilisation exigés par cet établissement de soins de santé. Ces offres ne sont pas non plus conçues pour assurer une couverture plus large de la prévention de la perte de données sur l’ensemble d’un réseau d’entreprise.
Box et Digital Guardian : une solution unique
Box est un outil unique qui permet aux utilisateurs de stocker, de récupérer et de partager facilement leurs informations. Digital Guardian fonctionne de manière transparente et sans perturber l’expérience de l’utilisateur Box.
Digital Guardian fournit unee solution DLP éprouvée, s’étendant jusqu’au cloud et adaptée aux soins de santé. Cette solution permet de déplacer, de chiffrer ou d’exécuter d’autres mesures correctives avant que les PHI ne puissent être partagées en dehors de l’organisation ou d’une manière contraire aux politiques de l’institution.
Cloud Data Protection : un fonctionnement transparent
Box fournit une interface utilisateur simple à comprendre et à utiliser. Les utilisateurs peuvent partager et collaborer sans réseau privé virtuel (VPN) ; il n’y a pas de nouveaux noms d’utilisateur ou de mots de passe à retenir ; de plus, l’utilisateur peut déterminer avec qui il veut partager ses fichiers et quel niveau d’accès il veut fournir, quel que soit l’appareil qu’il utilise.
Digital Guardian Cloud Data Protection fonctionne de manière transparente dans l’environnement convivial de Box et n’affecte pas la productivité de l’utilisateur final. Aucune formation de l’utilisateur final à l’outil n’est nécessaire.
Une fois que les politiques de partage de l’information de l’institution sont saisies dans le système, les utilisateurs qui suivent les politiques de sécurité prescrites ne remarqueront pas la présence de Digital Guardian. Toutefois, en cas de non-respect des politiques en matière de PHI, l’utilisateur sera informé de la violation et de l’action corrective automatique qui a été prise.
Cloud Data Protection : une capacité éprouvée, étendue
La fonctionnalité éprouvée Cloud Data Protection de Digital Guardian étend son contrôle DLP à l’ensemble du réseau et inclut désormais le cloud. Développée par Digital Guardian en collaboration avec des établissements de santé, des fournisseurs de dossiers médicaux électroniques (EHR) et des développeurs de solutions de stockage cloud, cette fonctionnalité est en production depuis plus de dix ans.
Cloud Data Protection : une précision et des performances éprouvées
Digital Guardian for Cloud Data Protection tire le meilleur parti de technologies uniques pour répondre aux exigences de précision et de performance élevées pour le contrôle des PHI dans les environnements de soins de santé :
- Database Record Matching™ (DBRM™)
- Analyse par événement
Ces deux technologies jouent un rôle essentiel dans le succès de cette solution.
Database Record Matching : des performances supérieures
La technologie DBRM™ de Digital Guardian est une méthode de détection avancée qui utilise les enregistrements de données eux-mêmes pour créer les empreintes digitales utilisées dans la découverte et l’inspection des e-mails, des partages de fichiers, du cloud, des publications Web ou de tout autre endroit où l’information pourrait poser problème (et où l’organisation ne serait pas en conformité) si ces PHI s’y trouvaient. La technologie DBRM™ de Digital Guardian est appliquée dans ces situations, utilisant les dossiers médicaux électroniques (EHR) de l’institution pour prendre l’empreinte de leurs PHI. Cette capacité offre le plus haut degré de précision dans l’identification des PHI. L’utilisation de cette méthode de création d’empreintes (qui permet aux EHR réels de rester en sécurité derrière le pare-feu) est un élément crucial pour la conformité ainsi que pour fournir la précision et la rapidité requises par cette institution.
Les méthodes de comparaison de modèles, utilisées par de nombreuses nouvelles offres CASB centrées sur le cloud, ont été jugées insuffisantes dans cet environnement de soins de santé. Les numéros de dossier médical (MRN) ou les numéros de police d’assurance médicale, par exemple, ne suivent souvent pas le même format d’un établissement à l’autre, ce qui donne lieu à une multitude de formats possibles. Certains de ces MRN sont numériques, d’autres sont alphanumériques, et leur longueur comme leur contexte peuvent varier. Par conséquent, les solutions prédéfinies de comparaison de modèles peuvent nécessiter une adaptation importante pour produire des résultats plus ou moins fiables, sans pour autant être aussi précises. En revanche, le DBRM, de par sa nature, fournit facilement un moyen ultra-précis de détecter un MRN réel sous toutes les formes alphanumériques inspectées.
D’autres méthodes évaluées par cet établissement de soins de santé et utilisées pour trouver des informations sensibles se sont révélées produire un taux élevé de faux positifs et de faux négatifs, entraînant des coûts de personnel plus élevés, et aboutissant souvent à des mises en œuvre fastidieuses ne débouchant pas sur une détection précise et exploitable. Les méthodes les plus couramment employées sont généralement des combinaisons de correspondance de modèles (par exemple, recherche de 9 chiffres dans le format habituel SSN xxx-xx-xxxx) ou de filtrage par dictionnaire (par exemple, recherche de mots spécifiques, comme des noms de diagnostics médicaux). Malheureusement, ces méthodes représentent un compromis pour les utilisateurs qui doivent choisir entre a) parcourir laborieusement un océan de faux positifs ou b) autoriser davantage de faux négatifs afin d’éviter d’être submergés par les inspections manuelles. Les organisations choisissent généralement de ne pas passer de temps à éliminer manuellement les faux positifs et, au lieu de cela, acceptent simplement de ne pas identifier des cas significatifs concernant des informations réglementées.
De nombreux fournisseurs de solutions de conformité ont simplement choisi d’accepter les faux négatifs afin de réduire la charge de travail de l’utilisateur devant vérifier la présence de faux positifs. Leur logique est que de nombreuses organisations manipulant des PHI ne seront pas conscientes des faux négatifs, ne les verront pas et, par conséquent, ne s’en plaindront pas – jusqu’à ce qu’une perte de données soit rendue publique.
La supériorité de l’analyse par événement
La solution DLP de Digital Guardian ne dépend pas d’analyses planifiées à un moment précis, bien que cela soit également une option possible. La planification d’une recherche de contenu PHI tous les soirs peut constituer une approche courante de la gestion des fichiers au sein du réseau de l’entreprise. Concernant le stockage cloud, toutefois, cet établissement de santé a déterminé que l’analyse pour la suppression des PHI des fichiers partagés devait avoir lieu dans des intervalles de temps spécifiques (mesurés en secondes) afin d’atténuer le risque, comme l’a déterminé l’évaluation par l’équipe de conformité de l’organisme. Par conséquent, chaque modification apportée aux fichiers déclenche un événement à inspecter. Les données seront inspectées et des mesures correctives seront prises à la fréquence spécifiée, en l’occurrence 60 secondes.
Détails de la mise en œuvre -Comment fonctionne la solution
- Lorsqu’un fichier est uploadé en vue d’un partage externe, un événement est généré.
- DG Cloud Data Protection analyse les fichiers à la recherche d’événements, à l’intervalle de temps spécifié.
- DG Cloud Data Protection examine le nouveau contenu par rapport aux instructions de la politique en matière d’accès externe, prend les mesures qui s’imposent (ignorer | audit | rapport | alerte | déplacer | supprimer) et répare l’information en conséquence.
- Les utilisateurs externes accèdent à l’information, comme à l’accoutumée et conformément à la politique en vigueur.
L’analyse basée sur les événements est mise en œuvre à l’aide de l’ensemble d’API Box. Digital Guardian Cloud Data Protection surveille et protège les PHI sans impacter l’interaction avec l’utilisateur final. Cela permet d’obtenir le plus haut degré de performance dans la découverte et le traitement des PHI lorsque celles-ci ne doivent pas être partagées.
Dans le cas présent, l’institution a créé un dossier pour chaque utilisateur qui peut être partagé avec les autres centres ainsi qu’avec des partenaires identifiés (par exemple, des assureurs, des pharmacies, d’autres universités, etc. répondant aux exigences de sécurité requises), mais qui n’est pas autorisé à contenir des PHI. Digital Guardian Cloud Data Protection analyse ces dossiers/fichiers à la recherche de PHI chaque fois qu’un événement l’exige. En cas de découverte de PHI, le fichier est immédiatement déplacé vers un dossier qui n’a pas la capacité d’être partagé.
Dans les audits de performance du système réalisés à ce jour, plus de 99 % des notifications indiquant qu’un fichier a été déplacé ne suscitent pas d’objection ou de demande d’explication de la part de l’utilisateur. Il s’agit de la confirmation que la solution répond au niveau très élevé de précision de découverte requis pour protéger de manière adéquate les PHI.
Avantages d’une collaboration sécurisée
La solution associant Box et Digital Guardian permet de faciliter la collaboration, l’échange de données et l’amélioration du flux de travail à l’intérieur et à l’extérieur de l’institution, depuis la recherche jusqu’à la prestation de soins aux patients. Ces avantages ne sont possibles que si l’organisation a la certitude que les PHI sont protégées et ne sont pas partagées de manière inappropriée. Cette organisation d’envergure internationale considère de nombreux cas d’utilisation pour cette solution cloud, notamment les suivants :
Objectif atteint : partage sécurisé et conforme sur le cloud
L’objectif de cet établissement de santé était de fournir des soins optimaux aux patients en utilisant la dernière technologie cloud tout en restant en conformité avec toutes les réglementations HIPAA. L’institution souhaitait (et a obtenu) une solution qui lui permette de partager, de gérer et d’utiliser des informations sur n’importe quel appareil, n’importe où et en toute sécurité.
Digital Guardian Cloud Data Protection permet à cette organisation d’adopter le stockage cloud sans renoncer à la visibilité et au contrôle exigés par l’environnement réglementaire actuel. Tous les fichiers téléversés vers le stockage cloud sont analysés à la recherche d’informations confidentielles ou sensibles, et des mesures correctives sont automatiquement appliquées. Combinant les solutions Box et Digital Guardian Cloud Data Protection, cette offre a permis à cet établissement médical d’envergure internationale d’atteindre son objectif de partage sécurisé et conforme sur le cloud.