Le parcours de Mount Sinai pour sécuriser les données de santé dans le cloud

Kristin Myers, CIO du Mount Sinai Health System et doyenne de l’informatique de son école de médecine, emmène le fournisseur de soins de santé de New York vers le cloud, faisant de la protection des données et de la sécurité des priorités clés.

Myers, qui est titulaire d’un diplôme en droit et en informatique de l’Université de technologie du Queensland et d’une maîtrise exécutive en santé publique de Columbia, attribue un retour à l’école en 2019, cette fois à Carnegie Mellon, pour obtenir une certification CISO pour avoir suscité son désir de réviser Mount L’approche du Sinaï en matière de cybersécurité.

« C’était six mois. C’était très difficile, mais j’ai beaucoup appris et cela m’a préparée, en tant que DSI, à vraiment comprendre ce que devrait être un cyberprogramme et comment nous devions mûrir pour aller de l’avant », dit-elle.

Cette formation a incité Myers à prendre un certain nombre de mesures de sécurité en vue de déplacer les applications commerciales et cliniques de Mount Sinai vers le cloud, y compris, en mai 2021, le recrutement du responsable de la sécurité de l’information Rishi Tripathi, dont Myers s’est assuré qu’il faisait partie du comité directeur exécutif de Mount Sinai. pour le nuage.

« Certains peuvent penser que vous déménagez [applications] au cloud et c’est sûr, et ce n’est pas correct », déclare Myers, qui décrit la relation CIO-CISO comme extrêmement importante. « Vous devez vous assurer que vous construisez la sécurité pendant que vous effectuez ces transitions. »

Emmener le mont Sinaï vers le cloud

Myers a commencé à élaborer l’analyse de rentabilisation de sa migration vers le cloud au cours du second semestre 2021, un processus « qui a pris un certain temps car tout ne rentre pas dans le budget technologique des centres de données », dit-elle. « Cela a également un impact sur d’autres budgets comme les installations. »

Pour évaluer ces impacts, Myers et son équipe ont effectué une analyse budgétaire ascendante des coûts du centre de données et ont demandé au service financier d’examiner leur analyse de rentabilisation.

«Lorsque nous avons effectué l’examen avec notre équipe des installations, l’analyse était très claire», déclare Myers, qui, avec le comité des risques d’entreprise de Mount Sinai, supervisé par le PDG, a entrepris d’évaluer «les trois» fournisseurs de cloud, choisissant finalement Microsoft Azure. , pris en charge par Accenture pour l’élément de services gérés.

« Ce qui nous a marqués en ce qui concerne Microsoft, c’était leur philosophie en matière de sécurité des données, et aussi la façon dont ils se positionnent pour aider les clients dans le domaine de la santé », dit-elle.

Myers déplace également certaines applications commerciales vers le cloud d’Oracle, notamment Oracle Financials, Supply Chain, HCM Talent Management et Learning, dit-elle. Mais pour les autres applications cloud professionnelles et cliniques, « ce que je voulais faire, c’était avoir quelque chose de plus, je dirais, agnostique. »

La migration vers les nuages ​​du mont Sinaï n’en est qu’à ses débuts. L’objectif de Myers est d’avoir la majorité des applications des prestataires de soins de santé dans le cloud d’ici trois ans.

Le système de dossier de santé électronique de Mount Sinai, Epic, fera partie des applications qui passeront à Azure. Myers a déployé Epic dans diverses parties du mont Sinaï depuis qu’elle a rejoint l’organisation et prévoit d’autres déploiements au moins jusqu’en 2025.

« Cela semble interminable, mais au fur et à mesure que nous acquérons ou fusionnons des organisations, nous devons nous assurer que nous sommes en mesure d’y installer la technologie qui relie tous les hôpitaux ou installations aux principaux centres », dit-elle.

Mount Sinai utilise déjà plusieurs clouds pour la recherche en génomique, tirant parti des meilleures solutions, mais, déclare Myers, « cela n’avait pas de sens pour nous d’avoir une stratégie multicloud pour nos applications commerciales et cliniques.

Cela s’explique en partie par le talent, étant donné qu’avec des environnements multicloud, des compétences différentes mais qui se chevauchent doivent être maintenues, explique-t-elle. « Lorsque vous pensez à la rétention des talents et à la capacité de trouver les bons membres d’équipe pour gérer ces environnements, il était clair que nous voulions avoir 80 % à 90 % de nos applications sur un seul fournisseur. »

Se préparer à la menace quantique

Avec la migration d’une grande partie des opérations informatiques de Mount Sinai vers le cloud, la sécurité des données est devenue une priorité pour Myers.

« La sécurité doit être intégrée à l’ensemble du processus de migration », dit-elle. « Le simple fait de migrer des applications vers le cloud ne les protège pas nécessairement, à moins que vous ne cryptiez les données.

Et il ne s’agit pas seulement de savoir si les données sont cryptées, mais comment. Les algorithmes de chiffrement qui prendraient des années à se fissurer avec l’équipement informatique d’aujourd’hui pourraient être brisés en quelques secondes par un attaquant ayant accès à un ordinateur quantique en état de marche.

Alors que l’informatique quantique reste dans le domaine des expériences de laboratoire de courte durée, le temps viendra où les ordinateurs quantiques seront plus largement disponibles et la menace qu’ils représentent plus tangible. La Maison Blanche, par exemple, prend la menace quantique au sérieux, publiant un décret exécutif en janvier 2022 obligeant les opérateurs de systèmes de sécurité nationale à mettre à jour leurs plans et systèmes de sécurité pour s’en protéger.

Les organisations de santé ne sont pas soumises à la même exigence, mais elles sont soumises à la même menace : si leurs données ne sont pas correctement protégées et cryptées, elles pourraient être récoltées aujourd’hui et décryptées plus tard, lorsque les ordinateurs quantiques fonctionnels deviendront une réalité.

Myers voit cette menace quantique venir dans les trois à cinq prochaines années. « Cela semble long pour commencer à regarder cela, mais ce n’est vraiment pas le cas », dit-elle.

Pour se préparer, Myers a engagé Sandbox AQ, une spin-off de Google, pour inventorier les systèmes de cryptage de Mount Sinai et aider à les rendre sûrs quantiques.

Sandbox AQ propose un outil d’audit que les entreprises peuvent exécuter sur leur réseau interne pour identifier tous les systèmes de chiffrement utilisés, puis les conseiller sur leur mise à niveau.

Myers s’attend à avoir identifié les mesures d’atténuation nécessaires d’ici la fin de l’année : « Si nous commençons ce travail maintenant, cela nous place dans une meilleure position pour traiter cette vulnérabilité avant qu’elle ne soit exploitable. »

Considérez cela comme des soins préventifs pour les actifs informatiques de Mount Sinai – et les données de ses patients.