HealthFirst applique une approche de la sécurité des identités avant tout pour mettre en œuvre le Zero Trust

Profil de l’entreprise

Healthfirst est le plus grand assureur santé à but non lucratif de l’État de New York. Il propose des régimes de santé abordables de haute qualité pour s’adapter à toutes les étapes de la vie, incluant Medicaid, Medicare Advantage, les soins de longue durée, l’assurance santé QHP (Qualified Health Plan) et les régimes individuels et collectifs en groupes restreints. L’avantage unique de Healthfirst est de donner la priorité aux membres en s’associant étroitement à des objectifs communs avec son vaste réseau de fournisseurs. Healthfirst est également un pionnier du modèle de soins basé sur la valeur, où les hôpitaux et les médecins sont payés en fonction de l’évolution de la santé des patients.

Recettes annuelles : 14 milliards de dollars américains Employés : 5 000

Défis

Brian Miller, RSSI chez Healthfirst, ne se fait pas d’illusions sur l’écosystème des menaces de cybersécurité ni même sur le fait de savoir où cibler la protection. « Il existe un nombre infini de variables en matière de cyberattaques. Pensez à une armée qui traverse un désert. Pour relever ce défi, nous aurions besoin d’une clôture de sécurité dans le désert », a déclaré Miller. « Mais sur un col de montagne, nous pouvons arrêter toute l’armée avec 300 personnes seulement. L’identité est le « col de montagne » de votre environnement et c’est là que Healthfirst investit massivement. »

M. Miller a rejoint Healthfirst, la plus grande compagnie d’assurance-maladie à but non lucratif de l’État de New York, car l’entreprise voulait faire évoluer ses opérations de cybersécurité. Fondée il y a près de 30 ans, Healthfirst a travaillé avec son réseau de systèmes hospitaliers, de fournisseurs communautaires et de partenaires pour améliorer continuellement les résultats en matière de santé et faire progresser l’égalité en matière de santé grâce à un meilleur accès aux soins, en particulier pour les communautés défavorisées.

Grâce à ce succès, Healthfirst a connu une croissance rapide et compte aujourd’hui près de 1,8 million de membres dans l’État de New York. Mais la croissance et les besoins et exigences de plus en plus complexes auxquels est confronté un assureur de santé moderne exigent un programme de cybersécurité tout aussi robuste.

Membres ayant accès au numérique

Healthfirst dispose de l’une des bases de données les plus complètes d’informations relatives aux adhérents, incluant l’inscription et la facturation, le service client, les règlements, le traitement des réclamations et les données relatives à la santé. La protection des enregistrements et des identités hautement sensibles de 1,8 million de personnes et de 5 000 employés est primordiale. Pour son environnement informatique, l’entreprise a adopté une stratégie axée sur le cloud. Environ 70 % des systèmes et des applicatifs sont désormais déployés dans le cloud et l’entreprise dispose de 10 000 terminaux, dont 70 % à distance, nécessitant une sécurité sophistiquée et fiable. « Healthfirst vise à transformer le secteur en permettant à ses membres d’accéder au numérique », a déclaré M. Miller. « Une partie intégrante de ce schéma offre la sécurité et des garanties élevées. Nous avons beaucoup investi dans nos applications numériques, dans nos bureaux communautaires virtuels et dans de nombreuses solutions de mobilité. Qu’un membre prenne contact via une application, par téléphone ou en entrant dans un bureau communautaire, tous les chemins mènent à l’identité. »

Solutions

Because of the market-leading position of CyberArk, Healthfirst had already deployed a range of CyberArk products including Privileged Access Manager and Vendor Privileged Access Manager. The insurer trusted CyberArk to provide best-of-breed privileged access management and decided to adopt additional technologies from the Identity Security provider to secure its digital transformation. For example, Healthfirst has also migrated several legacy secrets management apps to Secrets Manager (formerly Conjur Secrets Manager) because it integrates seamlessly with developer workflows and can handle a large volume of secrets.

Business importance of security

Alongside the CyberArk solution, Healthfirst ran an education and adoption program to help staff understand the risk and impact that modern cyberattacks, like ransomware, could have on the organization and its members. “After implementing CyberArk, we went through a period of having to educate the business about privileged access management,” recalled Miller. “But it was really a change management effort to help people understand the value of security. Then there is a tipping point where you stop pushing through resistance and people realize the importance of security for them as a business.”

Having recognized identity as one of the critical elements in building an effective cybersecurity infrastructure, Healthfirst has now turned to the CyberArk portfolio of workforce identity management solutions. The company recently deployed CyberArk Identity to provide staff with simple yet extremely secure access to business resources using single sign-on and multi-factor authentication (MFA). “The objective is to make it as hard as possible to break into systems, software and development chains from inside the system, as it is from outside on the internet. Strong identity control is a part of that Zero Trust idea where it does not matter where the bad guy is; they cannot harm anything,” added Miller.

“One of the things Healthfirst is very excited about as we evolve workforce identity management is the ability to federate,” disclosed Miller. “With other systems we are spending lots of dollars on licenses, for example, to allow call centers to access our systems. With CyberArk, we will be able to federate with their identities, cut costs and licensing fees, and use CyberArk desktop soft tokens for MFA. That will give us a very robust and cost-effective solution.”

Because CyberArk solutions are integrated across several areas of privileged access management and identity protection, Healthfirst can now control security more efficiently and cost effectively than when it had multiple tools performing similar functions, thereby driving significant operational efficiencies in the company.

Résultats

Zero Trust contrôle l’identité

« Si nous pouvons contrôler l’identité, nous pouvons arrêter la plupart des attaques modernes. Et si vous contrôlez l’identité, vous contrôlez chaque périmètre, application, conteneur, c’est-à-dire chaque partie de l’environnement. C’est ce que j’appelle le véritable Zero Trust et c’est pourquoi nous utilisons CyberArk. C’est ce qui m’aide à bien dormir » – Brian Miller, RSSI, HealthFirst

La collaboration avec CyberArk a été l’une des clés pour aider Healthfirst à mettre en place un système efficace de gestion des accès à privilèges et de sécurité des identités. « J’aime travailler avec des fournisseurs qui ont une culture et une vision, et qui sont motivés par ce qu’ils font », conclut M. Miller. « Je vois en CyberArk une entreprise dotée d’une culture solide visant à créer un flux de valeur pour les deux organisations. Certains membres du personnel de CyberArk sont présents dans l’entreprise depuis de nombreuses années, mais ils restent informés des nouveautés, car l’entreprise continue de croître et d’évoluer. En tant que RSSI, c’est le genre de partenariat sur lequel je vais parier. »

Principaux avantages

• Assure une gestion complète des accès à privilèges
• Renforce la capacité à protéger les identités humaines, machines et tiers
• Protège les informations de santé personnelles (PHI) pour 1,8 million de membres
• Réduit les coûts de sécurité grâce à des solutions telles que le contrôle d’identité fédéré
• Élimine le besoin de licences logicielles de sécurité coûteuses
• Remplace plusieurs outils par une plateforme unifiée de sécurité des identités