La protection des données médicales sensibles est une priorité absolue pour les établissements de santés tels que le centre médical de Meadville, en Pennsylvanie. La réglementation HIPAA impose aux organisations de santé de conserver une trace de l’identité des personnes qui accèdent aux informations médicales. Malheureusement, l’enregistrement de journaux d’accès et de données de session peut s’avérer difficile en l’absence d’outils adaptés. Le centre médical de Meadville (MMC) cherchait une nouvelle solution permettant de vérifier l’identité des utilisateurs et de suivre les modes d’utilisation de ses 2 500 employés plus efficacement. Il a fini par se tourner vers UserLock.
La problématique
Les sessions utilisateur simultanées soulèvent des questions de conformité
Dans les centres médicaux tels que le MMC, les personnels soignants s’occupent de centaines de patients chaque jour. Dans un tel contexte, on comprend facilement que l’efficacité est de mise. Au fil des consultations, les médecins et le personnel infirmier utilisent souvent plusieurs postes de travail pour prendre des notes, commander des analyses et rédiger des prescriptions. Pour les soignants, il est pénible de devoir s’identifier sur les postes de travail à chaque nouveau patient.
Dans une optique d’efficacité, beaucoup de professionnels se connectent à plusieurs ordinateurs en utilisant le même jeu d’identifiants. Même si ce fonctionnement est pratique pour les médecins et les infirmiers, les sessions utilisateur simultanées constituent un risque de sécurité majeur et vont à l’encontre de la réglementation HIPAA. Lorsqu’un même utilisateur se connecte à plusieurs ordinateurs, il devient impossible de savoir qui a accédé aux données de quel patient, ce qui risque d’exposer toutes les données de l’organisation à des accès non autorisés.
Okta, la solution de gestion des accès utilisée jusque-là par le centre médical, n’offrait pas les fonctionnalités requises pour empêcher les sessions simultanées. Cette limite a poussé l’équipe du MMC à télécharger la version d’essai gratuite d’UserLock.
La solution
Une solution de 2FA facile d’utilisation, compatible avec les flux de travail rapides et capable de réduire le risque
Si l’équipe du MMC a vite compris qu’UserLock pouvait l’aider à gérer les sessions simultanées non autorisées, elle s’est également aperçue qu’UserLock était capable de bien plus encore. L’établissement cherchait par ailleurs une solution d’authentification multifacteur capable de l’aider à renforcer sa politique de sécurité des accès sans perturber le travail de ses employés.
L’équipe voulait continuer d’utiliser sa solution d’authentification multifacteur, mais les demandes de vérification répétées gênaient les médecins et les infirmiers. La solution de 2FA de UserLock est idéale pour le MMC, car elle permet aux administrateurs de choisir à quelle fréquence la MFA doit être demandée. UserLock vérifie l’identité des utilisateurs à l’aide d’une méthode de MFA simple et uniquement quand c’est nécessaire, en leur permettant de se connecter régulièrement au fil de la journée. Ainsi, le MMC protège l’accès de ses utilisateurs Active Directory et tient à jour des journaux d’utilisation fiables sans entraver les flux de travail critiques.
Je ne peux pas avoir la certitude que quelqu’un est un utilisateur légitime ou un administrateur simplement parce qu’il a utilisé un ordinateur sur site. Aujourd’hui, grâce à UserLock, je peux vérifier qui utilise nos ordinateurs.
Mark Shorts
Responsable assistance technique, Centre médical de Meadville
Néanmoins, comme les employés du MMC utilisent parfois leurs appareils en dehors de l’hôpital, l’équipe avait également besoin de contrôles d’authentification robustes pour les utilisateurs hors site. Grâce à UserLock Anywhere, le MMC protège ses terminaux distants en déclenchant la 2FA sur chaque connexion provenant de l’extérieur du domaine réseau ou d’une machine hors ligne, même si l’utilisateur n’utilise pas de VPN ou n’est pas du tout connecté à Internet. En outre, l’équipe du MMC a jugé utile d’intégrer des restrictions de géolocalisation afin de déclencher automatiquement la 2FA pour les tentatives de connexion émanant de l’extérieur des États-Unis. Comme les employés du MMC ne sortent généralement pas des États-Unis, toute connexion provenant de l’étranger est instantanément considérée comme suspecte.
UserLock est extrêmement utile si quelqu’un perd son ordinateur portable. Si un employé égare son ordinateur et que quelqu’un tente de se connecter à l’aide de ses identifiants, la MFA l’empêche d’accéder à nos ressources.
Mark Shorts
Responsable assistance technique, Centre médical de Meadville
Équipé de nouvelles fonctionnalités d’authentification plus puissantes, le centre médical de Meadville est aujourd’hui en mesure de stopper les accès non autorisés à son environnement Active Directory sur site et de protéger ses données, même en cas de perte ou de vol de matériel. De plus, les informations détaillées sur les sessions utilisateur et les journaux d’utilisation aident l’équipe du MMC à prouver la conformité de l’établissement à la loi HIPAA et à détecter les menaces plus rapidement.
Les avantages
Un contrôle des accès par 2FA renforcé pour les 2 500 employés sur site et hors site
Après une configuration rapide et un déploiement sans encombre, le MMC a commencé à utiliser UserLock pour vérifier l’identité de ses 2 000 utilisateurs associés à Active Directory. Deux mois plus tard, l’entreprise de santé a étendu sa couverture pour intégrer 500 identités supplémentaires.
La simplicité de configuration d’UserLock est remarquable », souligne Mark Shorts. « Lorsque nous avons voulu configurer le proxy pour la MFA hors site, nous avons bénéficié d’une assistance technique exemplaire.
Mark Shorts
Responsable assistance technique, Centre médical de Meadville
Depuis la mise en œuvre de la solution, Mark Shorts apprécie la façon dont UserLock simplifie la gestion des sessions simultanées, l’authentification des utilisateurs et la gestion des modes d’utilisation dans toute l’organisation. UserLock fournit rapidement à l’équipe du MMC des renseignements pertinents qui permettent de savoir qui utilise quelle machine, quel que soit le point d’origine de la connexion. Les données médicales sensibles des patients sont ainsi bien protégées contre les accès non autorisés.
UserLock permet non seulement de renforcer la posture de cybersécurité globale du MMC, mais il réduit également les risques de non-conformité. Le MMC est désormais capable d’empêcher les sessions simultanées et d’identifier les modes d’utilisation plus précisément. L’établissement peut ainsi prouver que seuls les utilisateurs autorisés peuvent accéder aux données sensibles et assure ainsi sa conformité à la réglementation HIPAA tout en limitant le risque de compromission.
UserLock est une solution de choix pour les hôpitaux comme le MMC, car elle protège de façon fiable la connexion des utilisateurs sans compromettre l’expérience ni l’efficacité des utilisateurs.