Cegedim, entreprise de technologies et de services spécialisée dans le domaine de la santé, utilise la solution de sécurité Qualys depuis 2007. L’expertise technique des équipes de sécurité informatique du groupe, alliée à l’optimisation de solides outils de prévention, garantissent à la fois un niveau de sécurité conforme aux normes règlementaires, et une conduite adéquate de la gestion des vulnérabilités.
La gestion des risques informatiques permet de valider la conformité de la politique de sécurité établie. Les failles applicatives constituent un risque à gérer, d’autant que le nombre de vulnérabilités publié augmente chaque jour, générant une charge conséquente de travail pour les équipes internes.
L’ensemble des données clients de Cegedim est hébergé dans des cloud privés. L’architecture ouverte de l’entreprise étendue sur ses trois principaux datacenters (Asie, États-Unis, Europe) a nécessité la mise en œuvre d’un processus précis pour surveiller un périmètre comprenant plus de 2 000 adresses IP publiques.
La gestion des vulnérabilités est fondamentale pour Cegedim, d’une part pour garantir l’intégrité et la confidentialité de ses données informatiques, d’autre part car le groupe doit être en conformité avec les exigences imposées par les certifications ISAE 3402 Type 2 et SSAE 16 ainsi que les exigences liées à son agrément d’hébergeur de données de santé. C’est pourquoi elle a mis en place un processus rigoureux et une politique dédiés, impliquant plusieurs niveaux de responsabilité dans l’entreprise. La direction générale valide et soutient les processus organisationnels, définis conjointement par la DSI et les responsables sécurité internes. Son rôle est central : elle participe notamment à l’identification des services vitaux et concourt à la définition du risque résiduel acceptable.
Au cœur du dispositif, une supervision automatisée et un traitement de l’audit permanent
Les audits de vulnérabilités en mode SaaS permettent le lancement automatique des scans depuis l’interface utilisateur de la plateforme Qualys. Pour les adresses IP non accessibles depuis Internet, la surveillance s’effectue via les appliances déployées sur les réseaux internes de Cegedim. Le pilotage s’effectue exclusivement via l’interface Web de Qualys.
La plate-forme cloud de Qualys est un élément qui vient faciliter le travail des équipes et renforcer la sécurité en temps réel. Les rapports de scans fournissent une information consolidée des correctifs, celle-ci est ensuite analysée par les équipes sécurité de Cegedim. L’entreprise paramètre et filtre le détail de l’information de manière dynamique pour réduire ou étendre la portée du rapport. Ces analyses permettent de détecter et de corriger les failles de sécurité identifiées sur le périmètre. Une fois les failles analysées et leur risque estimé, intervient la priorité de traitement, fonction de la criticité, de l’exposition et de l’impact.
Les avantages du SaaS face aux défis opérationnels
En planifiant un audit hebdomadaire, Cegedim réduit considérablement le temps de traitement de l’information par ses équipes. Ainsi, le nombre de vulnérabilités à traiter est réduit et nécessite moins de 30 minutes pour être analysé. La force du modèle tient également à l’optimisation et à la prise en compte du périmètre géographique étendu et à la détection des erreurs de configuration. Cet équilibre stratégique offre un réel gain de gestion, à un coût réduit et maîtrisé. Enfin, les rapports participent à la communication de la politique de conformité interne et externe.
Romain Vergniol, responsable sécurité informatique du groupe Cegedim, commente : « notre objectif est de réduire au maximum la fenêtre de vulnérabilité et l’impact des incidents. Nous avons défini des standards de sécurité pour la remédiation des failles, et l’action corrective s’accompagne d’une démarche opérationnelle via une plateforme de pré-production. C’est un cadre maîtrisé. Qualys est un tiers de confiance et nos clients sont en mesure de comprendre les indicateurs des rapports d’analyses. »
Le point crucial de validation de la conformité est en outre un argument de confiance pour les laboratoires pharmaceutiques,clients de Cegedim. Ces derniers sont eux-mêmes soumis aux exigences de conformité.