Spire Healthcare sécurise l'évolution des services numériques avec F5

À mesure que Spire développait davantage de services numériques destinés aux clients, tels que son portail MySpire pour la prise de rendez-vous, la consultation d'informations personnelles et les paiements, il mettait également en ligne davantage de données sensibles sur les patients.

Le profil de risque augmentant, l’équipe technique s’est retrouvée dans une situation où elle manquait d’informations critiques sur le comportement des utilisateurs. Le système existant n’était pas en mesure d’indiquer quels appareils les clients utilisaient pour se connecter aux services de Spire, et quand ils le faisaient peut-être de manière non sécurisée. Ce manque de visibilité entravait la capacité de l’équipe à réaliser des mises à niveau de sécurité importantes.

« Par exemple, nous ne pouvions pas prendre la décision de restreindre l’accès via SSLv3, car nous ne savions pas s’il y avait des utilisateurs se connectant sur des appareils qui ne prendraient pas en charge TLSv1.0 », a rappelé Rob Sissons, responsable des opérations techniques.

En plus de manquer d’informations pour effectuer des changements techniques cruciaux, l’équipe informatique se retrouvait souvent incapable de répondre aux questions provenant de l’entreprise sur la sécurité des données. L'entreprise a également dû se préparer aux audits que les principaux assureurs et le NHS, qui orientent régulièrement leurs patients vers Spire, effectuent pour s'assurer que leurs données sont stockées en toute sécurité.

Souhaitant améliorer la sécurité de ses services numériques sans entraver la capacité des clients à y accéder, Spire a décidé de rechercher un fournisseur de services gérés pour la sécurité des application .

Pour répondre à ses besoins de sécurité en constante évolution, Spire a choisi de mettre en œuvre F5® Silverline® Web Application Firewall (WAF) et F5® Silverline® DDoS Protection en tant que services gérés, avec une assistance 24 heures sur 24 du Security Operations Center (SOC), le centre de spécialistes de la sécurité en contact avec les clients de F5.

« Le SOC est ce qui nous rapporte vraiment des dividendes », a commenté Sissons. « Cela nous donne l’assurance que, lorsque nous mettons en œuvre un changement, nous avons une deuxième paire d’yeux compétents qui l’examinent de près. Très souvent, nous recevons ensuite des recommandations de l’équipe sur la manière d’optimiser ce que nous essayons de faire.

L'équipe SOC est devenue partie intégrante de la manière dont Spire développe et implémente de nouvelles applications, y compris celles des développeurs tiers. Spire détermine les politiques WAF en commençant par un modèle vierge, puis en autorisant les faux positifs identifiés par des tests répétés.

« Lorsque nous demandons l’ouverture de quelque chose, le SOC vérifie ce que nous proposons », a expliqué Sissons. « Les applications cliniques de niche ne sont pas toujours aussi sûres qu’elles devraient l’être. À quelques reprises, les contributions de F5 nous ont amenés à faire appel à des développeurs de logiciels tiers pour signaler des problèmes avec leurs applications.

Depuis que Spire travaille avec F5, son écosystème application continue de se diversifier et de devenir plus complexe. Cela inclut l’intégration d’API qui permettent aux assureurs d’orienter les patients et de transférer leurs coordonnées plus facilement. Silverline offre la sécurité qui permet à Spire de développer et d'améliorer en permanence les services numériques qu'elle propose à ses clients, consultants et partenaires clés.

Avec le soutien du SOC, les services Silverline ont également aidé Spire à mettre en œuvre un niveau de sécurité application adapté aux données sensibles qu'il stocke, tout en répondant rapidement aux incidents majeurs occasionnels.

De plus, Silverline prend en charge l’évolution des politiques de sécurité globales de Spire, en fournissant une visibilité et des données sur le comportement des utilisateurs qui aident l’équipe informatique à affiner ses politiques de sécurité globales. Il fournit également une image détaillée de la manière dont ses clients accèdent à des services qui n’existaient pas auparavant.

« À titre d’exemple, pour le renforcement du protocole TLS, l’équipe de sécurité des informations s’est largement appuyée sur les données fournies par Silverline sur les connexions qui transitent et sur la provenance des connexions non sécurisées », a déclaré Sissons. 

Un autre avantage important de Silverline est la capacité à gérer les menaces actives sur le réseau de Spire. Lors d’une récente et importante attaque DDoS, le SOC a participé activement à la réponse, en fournissant des informations sur la source de l’attaque et en participant aux discussions avec le fournisseur de services Internet de Spire. « Avec une attaque de cette ampleur, tout se passe très vite et vous enquêtez au fur et à mesure », a rappelé Sissons. « Nous avons eu un canal de communication ouvert avec le SOC tout au long du processus, ils étaient à nos côtés lors des appels et nous ont fourni un soutien inestimable. »

Au quotidien, Spire reste convaincu que les membres experts du SOC sont toujours disponibles. « Dans des délais très courts, nous pouvons mettre à disposition des personnes très qualifiées dans le cadre du service géré », a ajouté Sissons. « Nous n’avons jamais rien demandé que le SOC n’ait pu faire. »

Silverline a également un impact positif sur l’écosystème plus large de Spire. Les références de patients par des tiers constituent une part importante de son modèle économique, et la présence de F5 en tant que fournisseur de services gérés a contribué à rassurer ces partenaires sur le fait que les politiques et protections de sécurité des données peuvent répondre à des normes rigoureuses. Silverline a même fait partie de la réponse aux audits des partenaires d’assurance, ainsi que de la boîte à outils de sécurité qui est une condition préalable pour rejoindre le réseau de santé et de soins sociaux du NHS (HSCN). « C’est une bonne chose pour nous de pouvoir dire lors d’un audit externe que nous disposons d’une équipe de sécurité spécialisée pour protéger ces services », a ajouté Sissons.