Conformité HIPAA et efficacité opérationnelle d'Omada Health

Omada Health change la forme des soins de santé, une personne à la fois

Omada Health est à la tête de la révolution numérique dans la prévention et la gestion des maladies chroniques. Spécialisée dans la prévention et le traitement des maladies chroniques liées à l’obésité, Omada propose également un programme d’hypertension et a récemment lancé une application de santé mentale axée sur l’anxiété et la dépression.

Fonctionnant sous les exigences de conformité HIPAA, Omada est hautement réglementé et accorde une grande importance à la sécurité des données et des systèmes. Bill Dougherty, vice-président de l'informatique et de la sécurité, l'exprime ainsi : « En tant que principal fournisseur de soins numériques, la protection des informations de santé de nos participants est de la plus haute importance. « La confiance et la sécurité sont au cœur de notre marque. »

Les défis d’Omada pour concilier les soins de santé, la technologie et la conformité HIPAA

Les principaux défis d’Omada sont centrés sur la nécessité de respecter des normes de conformité rigoureuses, de fournir une sécurité des données et des systèmes exigeante et de gérer une hyper-croissance continue, dépassant 50 % par an de sa clientèle.

La clientèle d'Omada, composée de grands employeurs et de compagnies d'assurance, est extrêmement sensible aux risques de sécurité et à la conformité HIPAA, ce qui oblige Omada à prouver en permanence le niveau de sécurité de son code et de ses systèmes et à démontrer une surveillance 24h/24 et 7j/7 de ses systèmes. De plus, comme Omada ajoute des participants à son programme au rythme de plusieurs dizaines de milliers chaque mois, l’entreprise a besoin d’une technologie capable d’évoluer rapidement et en douceur pour s’adapter à cette croissance.

Avant d’adopter Threat Stack, Omada travaillait avec un fournisseur qui analysait uniquement les fichiers journaux et fournissait un centre d’opérations de sécurité externalisé (SOC). La combinaison de données de mauvaise qualité et d’analyses externalisées a obligé Omada à passer d’innombrables heures chaque jour à passer au crible des centaines de faux positifs ainsi que des alertes escalades qui n’étaient pas exploitables.

Lorsque Omada a décidé de changer de fournisseur, ses exigences étaient très nombreuses. Plus précisément, ils souhaitaient une plateforme capable de collecter des données provenant de l’ensemble de leur infrastructure, notamment des journaux, des appels système et des analyses comportementales basées sur une compréhension contextuelle de leur environnement, tout en offrant la possibilité de créer des règles personnalisées selon les besoins. Ils souhaitaient également une technologie soutenue par un centre d’opérations de sécurité qui analyserait leur télémétrie de sécurité, ferait remonter les alertes importantes, fournirait des recommandations concrètes sur les mesures correctives, les aiderait à améliorer l’efficacité opérationnelle et réduirait de manière proactive leur profil de risque.

Pour se conformer à la loi HIPAA, Omada Health adopte Threat Stack comme solution complète

Lorsque Omada a adopté la plateforme de sécurité cloud Threat Stack® ainsi que les services de cybersécurité gérés Oversight℠ et Insight℠ de Threat Stack, ils ont commencé à constater un retour sur investissement immédiat.

Les spécialistes de la sécurité et des opérations d'Omada affirment que la plateforme Threat Stack est plus complète et plus fiable que celle du fournisseur précédent. Selon Bill Dougherty, Threat Stack dispose d'une « pile technologique vraiment intéressante pour résoudre les problèmes de détection d'intrusion, qui filtre rapidement les informations exploitables et qui est soutenue par un centre d'opérations de sécurité sur lequel je peux compter ». Il a poursuivi en disant que l'interface utilisateur est « propre et facile à comprendre, me fournissant les bonnes informations au bout des doigts afin que j'obtienne un aperçu exploitable de l'endroit où je me trouve, avec la possibilité d'approfondir mes recherches ».

Grâce à Threat Stack, Omada récupère deux à quatre heures du temps d’au moins un analyste de sécurité par jour. Et comme ils ne reçoivent que des informations hautement prioritaires, fiables et exploitables, les ingénieurs gagnent également du temps : Lorsqu’un problème est signalé, ils savent qu’il s’agit d’un problème sur lequel il faut vraiment agir et ils ont des recommandations spécifiques sur la manière de résoudre le problème.

Selon Omada, la plupart des autres fournisseurs ne soutiennent pas leur technologie avec un quelconque type de service d’analyse ou un SOC qui surveille l’activité et les alertes. Et sans cette surveillance et cette analyse, explique Dougherty, « la responsabilité incombe au client de déterminer quelles alertes représentent de véritables menaces et lesquelles sont de faux positifs. La seule façon de gérer une équipe réduite et efficace est de s'appuyer sur des partenaires solides comme Threat Stack. Il n’y a tout simplement pas d’autre solution.

En résumé, Dougherty considère la protection de l’infrastructure applicative et les services gérés de Threat Stack comme une solution complète : « Nous aimons travailler avec Threat Stack car ils offrent une solution complète. Threat Stack appuie sa technologie avec des informations et une expertise en matière de sécurité grâce à ses services Insight and Oversight, alors que la plupart de ses concurrents s'appuient sur des partenaires pour fournir des services.

Extension du partenariat d'Omada avec Threat Stack

Alors qu'Omada planifie sa croissance future, la société a l'intention d'étendre son partenariat avec Threat Stack en s'appuyant sur l'historique démontré par la société de cybersécurité en matière d'enrichissement de sa plateforme et de ses services pour intégrer de nouvelles technologies, optimiser l'efficacité opérationnelle, maintenir la conformité HIPAA et affiner les analyses de sécurité qu'elle fournit aux clients.

Selon Dougherty, cela soutiendra Omada alors que la taille de son équipe doublera au cours de l’année prochaine et que le nombre de ses serveurs augmentera de 30 à 40 %. Il est également convaincu que la plateforme Threat Stack sera là pour l’aider à surveiller la sécurité des conteneurs alors qu’Omada accélère l’adoption des conteneurs.

Omada recommande Threat Stack comme un véritable partenaire

Lorsqu'on lui a demandé s'il recommanderait Threat Stack, Bill a déclaré qu'il l'avait déjà fait, en se basant sur la « pile technologique complète de détection d'intrusion de l'entreprise, qui permet d'obtenir rapidement des informations exploitables et qui est soutenue par un centre d'opérations sur lequel je peux compter ».

Alors qu'Omada continue de mûrir et de faire évoluer son infrastructure technique, elle prévoit de tirer parti des solutions de protection de l'infrastructure applicative et SOC de Threat Stack pour renforcer la sécurité et la conformité HIPAA, optimiser les opérations et atteindre son objectif de fournir un « programme de soins numériques qui permet aux personnes de tout le spectre des maladies chroniques de définir et d'atteindre leurs objectifs de santé en proposant un programme dynamique pour plusieurs conditions ».

À propos d'Omada Health

Nommée l'une des « 50 entreprises les plus innovantes au monde » par Fast Company, Omada compte parmi ses employés des personnes de Google, IDEO, Harvard, Stanford et Columbia. Leur approche a été adoptée par de grands employeurs à travers le pays, notamment Costco et Iron Mountain, ainsi que par des régimes de santé de premier plan, tels que Kaiser Permanente et Humana. Fondée en 2011, Omada a son siège à San Francisco et compte environ 500 employés.

Pile de menaces : Fait maintenant partie de F5

Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP) .