HealthFirst applique une approche de la sécurité des identités avant tout pour mettre en œuvre le Zero Trust

La plateforme CyberArk de sécurité des identités aide le principal assureur santé des États-Unis à renforcer la protection des identités

 

Profil de l’entreprise

Healthfirst est le plus grand assureur santé à but non lucratif de l’État de New York. Il propose des régimes de santé abordables de haute qualité pour s’adapter à toutes les étapes de la vie, incluant Medicaid, Medicare Advantage, les soins de longue durée, l’assurance santé QHP (Qualified Health Plan) et les régimes individuels et collectifs en groupes restreints. L’avantage unique de Healthfirst est de donner la priorité aux membres en s’associant étroitement à des objectifs communs avec son vaste réseau de fournisseurs. Healthfirst est également un pionnier du modèle de soins basé sur la valeur, où les hôpitaux et les médecins sont payés en fonction de l’évolution de la santé des patients.

Recettes annuelles : 14 milliards de dollars américains Employés : 5 000

Défis

Brian Miller, RSSI chez Healthfirst, ne se fait pas d’illusions sur l’écosystème des menaces de cybersécurité ni même sur le fait de savoir où cibler la protection. « Il existe un nombre infini de variables en matière de cyberattaques. Pensez à une armée qui traverse un désert. Pour relever ce défi, nous aurions besoin d’une clôture de sécurité dans le désert », a déclaré Miller. « Mais sur un col de montagne, nous pouvons arrêter toute l’armée avec 300 personnes seulement. L’identité est le « col de montagne » de votre environnement et c’est là que Healthfirst investit massivement. »

M. Miller a rejoint Healthfirst, la plus grande compagnie d’assurance-maladie à but non lucratif de l’État de New York, car l’entreprise voulait faire évoluer ses opérations de cybersécurité. Fondée il y a près de 30 ans, Healthfirst a travaillé avec son réseau de systèmes hospitaliers, de fournisseurs communautaires et de partenaires pour améliorer continuellement les résultats en matière de santé et faire progresser l’égalité en matière de santé grâce à un meilleur accès aux soins, en particulier pour les communautés défavorisées.

Grâce à ce succès, Healthfirst a connu une croissance rapide et compte aujourd’hui près de 1,8 million de membres dans l’État de New York. Mais la croissance et les besoins et exigences de plus en plus complexes auxquels est confronté un assureur de santé moderne exigent un programme de cybersécurité tout aussi robuste.

Membres ayant accès au numérique

Healthfirst dispose de l’une des bases de données les plus complètes d’informations relatives aux adhérents, incluant l’inscription et la facturation, le service client, les règlements, le traitement des réclamations et les données relatives à la santé. La protection des enregistrements et des identités hautement sensibles de 1,8 million de personnes et de 5 000 employés est primordiale. Pour son environnement informatique, l’entreprise a adopté une stratégie axée sur le cloud. Environ 70 % des systèmes et des applicatifs sont désormais déployés dans le cloud et l’entreprise dispose de 10 000 terminaux, dont 70 % à distance, nécessitant une sécurité sophistiquée et fiable. « Healthfirst vise à transformer le secteur en permettant à ses membres d’accéder au numérique », a déclaré M. Miller. « Une partie intégrante de ce schéma offre la sécurité et des garanties élevées. Nous avons beaucoup investi dans nos applications numériques, dans nos bureaux communautaires virtuels et dans de nombreuses solutions de mobilité. Qu’un membre prenne contact via une application, par téléphone ou en entrant dans un bureau communautaire, tous les chemins mènent à l’identité. »

Solutions

En raison de la position de leader de CyberArk sur le marché, Healthfirst avait déjà déployé une gamme de produits CyberArk, y compris Privileged Access Manager et Vendor Privileged Access Manager. L’assureur a fait confiance à CyberArk pour fournir la meilleure gestion des accès à privilèges et a décidé d’adopter des technologies supplémentaires du fournisseur de sécurité des identités pour sécuriser sa transformation numérique. Par exemple, Healthfirst a également migré plusieurs applications héritées de gestion des secrets vers Conjur, car il s’intègre parfaitement aux flux de travail des développeurs et peut gérer un grand nombre de secrets.

Importance de la sécurité pour l’activité

Outre la solution CyberArk, Healthfirst a mis en place un plan de formation et d’adoption pour aider les équipes à comprendre le risque et l’impact que les cyberattaques actuelles, comme les rançongiciels, pourraient avoir sur l’entreprise et ses employés. « Après la mise en œuvre de CyberArk, nous avons dû informer l’entreprise sur la gestion des accès à privilèges », se souvient M. Miller. « Mais il s’agissait vraiment d’un effort de gestion du changement pour aider les gens à comprendre la valeur de la sécurité. Ensuite, il y a un point de basculement où vous ne sentez plus de résistance et où les gens prennent conscience de l’importance de la sécurité pour eux en tant qu’entreprise. »

Après avoir reconnu l’identité comme l’un des éléments essentiels à la mise en place d’une infrastructure de cybersécurité efficace, l’entreprise Healthfirst s’est tournée vers la gamme CyberArk de solutions de gestion des identités de la main-d’œuvre. L’entreprise a récemment déployé CyberArk Identity pour fournir aux équipes un accès simple mais sécurisé aux ressources de l’entreprise à l’aide des solutions Single Sign On et Multi-factor Authentication (MFA). « L’objectif est de rendre la pénétration de systèmes, de logiciels et de chaînes de développement depuis l’intérieur du système aussi difficile que ça l’est depuis l’extérieur sur Internet. Un contrôle d’identité strict fait partie du concept Zero Trust, peu importe où se trouve l’individu malveillant ; il ne peut rien détruire », a ajouté M. Miller.

« L’une des préoccupations de Healthfirst, lorsque nous faisons évoluer la gestion des identités de la main-d’œuvre, est la capacité à fédérer », a expliqué M. Miller. « Avec d’autres systèmes, nous dépensons beaucoup de dollars sur les licences, par exemple, pour permettre aux centres d’appels d’accéder à nos systèmes. Avec CyberArk, nous serons en mesure de fédérer grâce à leurs identités, de réduire les coûts et les frais de licence, et d’utiliser les jetons logiciels de bureau CyberArk pour la MFA. Cela nous donnera une solution très robuste et rentable. »

Étant donné que les solutions CyberArk s’intègrent dans plusieurs domaines de la gestion des accès à privilèges et de la protection des informations d’identification, Healthfirst peut désormais contrôler la sécurité plus efficacement et à moindre coût que lorsque la société disposait de plusieurs outils remplissant des fonctions similaires ; cela permet d’accroître considérablement l’efficacité des opérations dans l’entreprise.

Résultats

Zero Trust contrôle l’identité

« Si nous pouvons contrôler l’identité, nous pouvons arrêter la plupart des attaques modernes. Et si vous contrôlez l’identité, vous contrôlez chaque périmètre, application, conteneur, c’est-à-dire chaque partie de l’environnement. C’est ce que j’appelle le véritable Zero Trust et c’est pourquoi nous utilisons CyberArk. C’est ce qui m’aide à bien dormir » – Brian Miller, RSSI, HealthFirst

La collaboration avec CyberArk a été l’une des clés pour aider Healthfirst à mettre en place un système efficace de gestion des accès à privilèges et de sécurité des identités. « J’aime travailler avec des fournisseurs qui ont une culture et une vision, et qui sont motivés par ce qu’ils font », conclut M. Miller. « Je vois en CyberArk une entreprise dotée d’une culture solide visant à créer un flux de valeur pour les deux organisations. Certains membres du personnel de CyberArk sont présents dans l’entreprise depuis de nombreuses années, mais ils restent informés des nouveautés, car l’entreprise continue de croître et d’évoluer. En tant que RSSI, c’est le genre de partenariat sur lequel je vais parier. »

Principaux avantages

  • Assure une gestion complète des accès à privilèges
  • Renforce la capacité à protéger les identités humaines, machines et tiers
  • Protège les informations de santé personnelles (PHI) pour 1,8 million de membres
  • Réduit les coûts de sécurité grâce à des solutions telles que le contrôle d’identité fédéré
  • Élimine le besoin de licences logicielles de sécurité coûteuses
  • Remplace plusieurs outils par une plateforme unifiée de sécurité des identités

Parlez à un expert

Comprenez les composants clés d’une stratégie de sécurité des identités

Découvrez les solutions CyberArk

Identifiez les prochaines étapes de votre parcours de sécurité des identités