Un leader du secteur de la santé accélère la protection de ses API

L'un des principaux prestataires de santé en Inde gère plus d'une vingtaine d'hôpitaux, et se développe rapidement grâce à des acquisitions et au lancement de nouveaux établissements. Pour prendre en charge des millions d'interactions quotidiennes, il s'appuie sur des applications personnalisées et tierces pour tout, de la réservation des patients aux dossiers médicaux informatisés en passant par la télémédecine et la facturation. Mais avec l'augmentation de son empreinte digitale, sa surface d'attaque s'est également développée, en particulier autour des API. Les API formant la colonne vertébrale de son environnement de santé interconnecté, l'organisation s'est tournée vers Akamai pour sécuriser son environnement d'applications hybrides. Résultat : une protection en temps réel, une visibilité complète des API et une réponse plus rapide aux menaces, sans interruption des soins aux patients.

Reposant sur des plateformes mobiles et Web, les services digitaux de ce prestataire de soins de santé permettent aux patients de prendre rendez-vous, d'accéder aux résultats de laboratoire, de consulter des médecins et de gérer les paiements. Au niveau du back-end, les cliniciens et le personnel s'appuient sur des API pour connecter les systèmes EHR, les systèmes de diagnostic, les fournisseurs d'assurance et plus encore. Avec plus de 500 millions de visites mensuelles dans son écosystème digital, l'entreprise avait besoin d'une stratégie de cybersécurité capable de s'adapter.

Mais cette échelle s'est accompagnée de défis. « Certaines de nos API étaient exposées publiquement et nous ne disposions pas de normes cohérentes », explique le RSSI de l'entreprise.

L'organisation disposait d'un Web Application firewall (WAF) existant qui produisait fréquemment des faux positifs, ce qui compliquait la gestion des règles. De plus, elle disposait d'une visibilité limitée sur ses API. « Tout cela était inacceptable dans un paysage cybernétique de plus en plus hostile », poursuit le RSSI.

Avec un tiers de son trafic Web signalé comme malveillant (bots, abus d'API et attaques DDoS), l'entreprise avait besoin de plus qu'une défense périmétrique traditionnelle. « Nous avions besoin d'un partenaire de sécurité professionnel capable de fournir à la fois une protection de pointe et une expertise approfondie du secteur », explique le RSSI.

Lorsque le contrat WAF est arrivé à expiration, le prestataire de santé a évalué ses options. Il a choisi Akamai plutôt qu'un fournisseur de cybersécurité pour son architecture cloud native, ses capacités de défense à plusieurs niveaux et son intégration fluide dans des environnements hybrides.

En seulement 48 heures, Akamai a déployé sa solution App & API Protector sur les applications les plus critiques de l'organisation. Selon son RSSI, « le déploiement a démontré la force de l'équipe des services professionnels d'Akamai et la puissance de sa technologie ».

Comme la solution a rapidement protégé l'entreprise contre les attaques par injection, les bots et les abus, le déploiement n'a pas eu d'impact sur les opérations du prestataire de santé, ni sur les soins aux patients. « Akamai a immédiatement amélioré notre stratégie de sécurité en nous protégeant contre les menaces Web », indique le RSSI.

L'organisation a également déployé Akamai API Security pour obtenir une meilleure visibilité et un meilleur contrôle sur son écosystème d'API. L'un des résultats les plus transformables a été la découverte d'environ 6 000 API non documentées précédemment, dont beaucoup étaient mal configurées ou présentaient des failles de sécurité.

API Security n'a pas seulement révélé les API fantômes, elle a également signalé l'exposition aux données sensibles, y compris les informations d'identification personnelle (PII), les informations de santé protégées (PHI) et les jetons d'authentification, dans les environnements de préparation. Cette visibilité a permis au prestataire de santé de mettre en œuvre des contrôles d'accès stricts basés sur des jetons et des zones géographiques, et de corriger rapidement les erreurs de configuration.

Dès le déploiement d'App & API Protector et d'API Security, les vulnérabilités critiques des API ont été réduites de 60 à 70 %.

L'association d'API Security et d'App & API Protector a permis à l'organisation de disposer d'une stratégie de défense à plusieurs niveaux stratégiques. API Security a permis d'obtenir des informations approfondies sur les flux de données et les menaces potentielles, tandis qu'App & API Protector a fourni un blocage en ligne des attaques par injection, des abus et des bots, ainsi que des événements DDoS en bordure de l'Internet. Cette protection intégrée a soutenu les efforts d'identification et de neutralisation des menaces avant qu'elles n'aient un impact sur l'organisation.

« Les solutions d'Akamai nous ont permis de bénéficier d'une visibilité approfondie sur notre écosystème d'API et d'une protection en temps réel contre les attaques. En identifiant et en corrigeant rapidement les vulnérabilités et en bloquant le trafic malveillant en bordure de l'Internet, ils ont réduit les risques d'interruption de l'activité liée aux menaces d'API », déclare le RSSI.

La collaboration avec Akamai ne s'est pas arrêtée après le déploiement. L'équipe des services professionnels d'Akamai a continué à proposer des conseils pratiques, une analyse des menaces et une assistance à la configuration. De plus, le centre de commande des opérations de sécurité (SOCC) 24 h/24, 7 j/7 d'Akamai a fourni une surveillance et une réponse aux incidents en temps réel, ce qui a permis au prestataire de santé de maintenir une protection continue sur son vaste réseau.

« Dans le secteur de la santé, la disponibilité, la protection des données des patients et la réactivité ne sont pas négociables », explique le RSSI. « Le SOCC d'Akamai nous garantit une assistance, de jour comme de nuit. »

Un autre avantage de travailler avec Akamai ? Le prestataire de santé a simplifié sa sécurité. Grâce à des informations en temps réel sur les menaces et à la gestion centralisée des règles, l'équipe de cybersécurité de l'entreprise a pu réduire de 40 % le temps consacré au tri des faux positifs. L'équipe a ainsi pu se concentrer sur la recherche proactive des menaces et la stratégie à long terme.

Plus important encore, l'équipe a réduit de moitié le temps de réponse aux incidents, ce qui représente une amélioration essentielle pour tout prestataire de santé gérant des données sensibles conformément aux réglementations HIPAA et ISO 27001.

Alors que le prestataire de santé continue à étendre ses services digitaux et sa présence en Inde, Akamai reste un partenaire stratégique dans son parcours de cybersécurité. « Nous construisons un écosystème de soins de santé centré sur le patient, qui met la sécurité au premier plan », déclare son RSSI. « Les solutions adaptatives et basées sur le cloud d'Akamai nous aident à atteindre cet objectif tout en répondant aux attentes réglementaires et en protégeant la confiance. »

Ses conseils aux autres leaders du secteur de la santé ? « Traiter la sécurité des applications et des API dans le cadre de la sécurité des patients. La visibilité est essentielle. Ensuite, construisez des défenses en couches et travaillez avec des partenaires qui connaissent parfaitement votre secteur », conclut-il.