Health-ISAC partage un guide de mise en œuvre du Zero Trust pour les RSSI du secteur de la santé
Les défis liés à l’adoption d’un modèle de sécurité Zero Trust dans le secteur de la santé se résument à deux problèmes clés : l’expansion rapide des appareils IoT et les complexités d’authentification liées à « la nature itinérante de certains professionnels de la santé », selon un rapport. nouveau livre blanc de Santé-ISAC.
Lien vers l'article:
Ces obstacles doivent être surmontés avant de passer au Zero Trust, car « mettre en œuvre une architecture Zero Trust n’est pas aussi simple que de se rendre chez un fournisseur et de choisir une solution prête à l’emploi ».
Comme indiqué précédemmentLe modèle Zero Trust est idéal pour les soins de santé, mais la majorité des organisations prestataires ont eu du mal à franchir le pas en raison de la complexité du système et d’autres obstacles.
Mais alors que le ministère de la Santé et des Services sociaux continue de faire des progrès en matière d’interopérabilité, qui repose largement sur les API, Adoption du modèle Zero Trust devrait être une priorité pour que les hôpitaux puissent mieux s’adapter aux réseaux tentaculaires.
L’identité est le « cœur du Zero Trust », qui comprend l’authentification multifactorielle, la gouvernance des autorisations et « la mise en place appropriée de rôles et d’attributs pour l’accès », a souligné Health-ISAC. « Les règles d’accès doivent être aussi granulaires que possible pour permettre le moindre privilège et tous les sujets, actifs et flux de travail doivent être explicitement authentifiés et autorisés. »
Par exemple, le modèle Zero Trust garantit que les employés n'ont accès qu'aux éléments nécessaires à l'exécution de leurs tâches. Le modèle garantit que le réseau est segmenté en fonction de l'accès avec le moindre privilège, offrant un accès minimal basé sur des politiques de confiance adaptées à l'utilisateur.
Le papier vise à aider les responsables de la sécurité des systèmes d'information dans le secteur de la santé à mieux comprendre la sécurité zero-trust et l'approche recommandée pour l'architecture du modèle afin de construire une approche de la cybersécurité centrée sur l'identité.
Health-ISAC souligne que le guide est conçu pour former les RSSI sur le zero trust et ses fondements nécessaires, ainsi que sur les principes de base, les défis courants liés aux migrations zero trust et la manière de démarrer le changement. Le guide a été rédigé pour des entités de toutes tailles et de tous niveaux de maturité dans l'espoir que ces RSSI comprendront l'importance d'une approche centrée sur l'identité en matière de cybersécurité.
Les responsables de la sécurité trouveront une définition pour zero trust, les implications du modèle de sécurité et les étapes spécifiques à suivre pour mettre en œuvre la confiance zéro dans l'environnement des soins de santé. Le document ajoute également des composants de confiance zéro au Cadre de travail de gestion de l'identité de Health-ISAC publié en 2020.
Le cadre a été mis à jour avec des concepts de confiance zéro et « intègre des contrôles supplémentaires pour fournir les éléments essentiels d'une architecture de confiance zéro », y compris des normes pour la sécurisation des communications, la surveillance des actifs, les périmètres d'octroi d'accès, l'autorisation basée sur des politiques et l'ajout d'appareils aux systèmes et ressources cibles.
Les responsables de la sécurité des systèmes d'information du secteur de la santé peuvent s'appuyer sur ce guide pour évaluer les défis spécifiques auxquels leur organisation peut être confrontée lorsqu'elle tente d'adopter le modèle. Health-ISAC sollicite également l'avis des parties prenantes du secteur.
« Les critères peuvent paraître intimidants au début, mais ils permettront en fin de compte d’améliorer la sécurité des organisations à long terme », a conclu Health-ISAC. « L’époque où l’on laissait entrer quelqu’un, lui donnait un rôle avec des privilèges d’accès et le laissait ensuite vaquer à ses occupations est révolue. »
- Ressources et actualités connexes
- Santé-Piratage du système de santé par l'ISAC 5/11/2026
- Guide du RSSI, volume 2 : Vulnérabilité du jeton 0Auth à l’origine de la faille de sécurité chez Salesforce
- Newsletter mensuelle – Mai 2026
- Analyse trimestrielle des menaces – T1 2026
- Ce que l'attaque Stryker révèle sur la sécurité des dispositifs médicaux
- Politiques et garanties pour une utilisation sûre de l'IA
- HSCC dévoile un guide sur les risques liés à l'IA tierce et la transparence de la chaîne d'approvisionnement
- Anthropic dévoile un dieu informatique magique 0-Day
- Le secteur de la santé dans le collimateur : les cybermenaces liées à l'Iran accroissent les risques pour les hôpitaux, les technologies médicales et les chaînes d'approvisionnement des soins.
- Health-ISAC signale des lacunes en matière de cyber-résilience et de réponse aux incidents…