Défi
Au cours de la transition d’Artisan vers le cloud, l’entreprise comptait 15 développeurs, mais aucune équipe de sécurité dédiée à la gestion de sa posture de sécurité dans le cloud.
Comme les données de santé doivent être rigoureusement protégées, Artisan devait garantir la sécurité des données des patients et des données financières avec une posture de sécurité à tolérance zéro.
L’équipe de développement d’Artisan souhaitait déployer rapidement de nouveaux produits, mais elle a été distraite par une plate-forme CSPM bruyante.
Solution
En adoptant une solution sans agent, Artisan a évité d’embaucher une équipe de sécurité dédiée et a libéré du temps pour ses développeurs tout en maintenant une posture de sécurité solide.
Artisan a rationalisé la gestion de la conformité pour SOC et HIPAA avec Wiz afin de garantir le respect des normes réglementaires et la sécurité des données des patients.
Avec Wiz, l’équipe de développement reçoit des alertes de vulnérabilité consolidées et ciblées, ce qui lui permet de résoudre directement les problèmes et de déployer plus rapidement de nouvelles fonctionnalités en toute sécurité.
Protéger les données inestimables des patients tout en construisant un processus de développement sécurisé
Artisan s'associe à des cabinets médicaux spécialisés dans le domaine de la fertilité pour simplifier les soins aux patients. Sa solution Artisan EMR stocke les données sensibles des patients telles que les antécédents médicaux, les tests de laboratoire et les protocoles de traitement. À ses débuts, Artisan était le seul système de dossiers médicaux électroniques sur l’infertilité basé sur le cloud, ce qui constituait une puissante incitation à attirer de nouvelles entreprises. “Nous somme's devenus un hub en vertu du fait que nous sommes basés sur cloud et nous avon's été capables de travailler avec d'autres fournisseurs souhaitant atteindre nos clients”, affirme le président et le PDG d'Artisan Alex Steinleitner.
Si le cloud a contribué à alimenter la croissance d’Artisan, il a également introduit de nouveaux défis. « Lorsque nous sommes passés au cloud, tout est devenu plus dispersé entre les fournisseurs, et nous avons commencé à utiliser davantage de logiciels et d'outils numériques pour communiquer, explique M. Steinleitner. Nous avons appris ce que cela signifie d’élargir la surface d’attaque, et qu’il y a beaucoup de personnes malveillantes qui vont essayer d’attaquer nos systèmes à tout prix. »
Artisan savait qu’il ne fallait pas seulement protéger ses données internes. Les patients doivent avoir l’assurance que leurs informations personnelles et financières seront sécurisées et accessibles 24 heures sur 24, 7 jours sur 7. “Si pour une raison quelconque le système tombait en panne, nous aurions' des milliers de patients qui pourraient subir une interruption de leur traitement,” affirme Steinleitner. « Ils doivent pouvoir accéder quotidiennement aux informations qu'ils nous confient. Dans certains cas, il s’agit de personnes qui subissent des traitements coûteux qui changent leur vie. Les temps d’arrêt dus à une faille de sécurité seraient catastrophiques.
Pour protéger à la fois les données sensibles des patients et leurs propres systèmes, Artisan a adopté une solution CSPM, mais il était impossible de l’utiliser efficacement. L’équipe était submergée par les alertes du système et, pour éviter d’embaucher des professionnels de la sécurité dédiés, elle perdait un temps précieux à lire les notifications. Artisan a remplacé la plateforme par Wiz pour simplifier sa gestion de la sécurité et rester concentré sur l’amélioration de l’expérience client.
Je suiI's médecin, je soigne les gens et e me suis formé en médecine préventive. Wiz est pour nous une sorte de remède préventif.
Créer une entreprise axée sur la sécurité sans une équipe de sécurité dédiée
L’équipe de 15 développeurs d’Artisan est également responsable de la gestion de la posture de sécurité de l’entreprise. L’un de leurs rôles les plus importants est de concevoir et de déployer rapidement de nouvelles fonctionnalités pour leurs clients, mais sans une équipe de sécurité dédiée pour l’assistance, ils doivent prendre des mesures supplémentaires pour maintenir un environnement sécurisé. En d’autres termes, ils avaient besoin d’une Plateforme CSPM efficace et facile à utiliser.
En fin de compte, Artisan a choisi Wiz parce qu'il offrait des alertes moins nombreuses et plus exploitables, ainsi qu'une visibilité totale de l'infrastructure de l'organisation. Plutôt que de recevoir jusqu’à 500 alertes pour chaque vulnérabilité réelle, Wiz permet à Artisan de voir l’ensemble de son environnement cloud et de comprendre exactement quelles sont ses vulnérabilités.
L’évaluation automatisée des risques donne également à Artisan la capacité de hiérarchiser les risques les plus critiques. "Le tableau de bord de Wiz affichent les menaces critiques de risque élevé, moyen et faible de manière très compréhensible," affirme Matthew Mazzariello, directeur du développement chez Artisan.
Wiz signale également les problèmes liés aux nouveaux packages avant qu’ils ne soient mis en production et donne à l’équipe des suggestions de bonnes pratiques et des informations sur la façon dont elle peut déployer de manière plus sécurisée. Grâce à la détection automatisée, l'équipe d'Artisan n'a plus besoin d'examiner manuellement les nouveaux paquets et peut se concentrer sur l'innovation pour aider ses clients.
Avec notre ancienne plateforme, nous recevions des milliers d’alertes pour chaque problème que nous résolvions. Wiz nous permet de comprendre les vulnérabilités beaucoup plus efficacement. Maintenant, nous pouvons concentrer nos efforts sur les problèmes plutôt que de simplement les identifier.
Automatisation de la gestion de la conformité pour renforcer la confiance des patients
La protection des données des clients est une priorité pour toute organisation, mais dans le secteur de la santé, la conformité n’est pas négociable. Pour Artisan, la conformité va bien au-delà de la protection de l’entreprise, il s’agit de protéger la vie privée de ses clients. Lorsque Log4shell est apparu, Artisan a été inondé d’appels de clients pour savoir ce qu'ils avaient prévu. « S’il y avait eu une brèche, nous aurions tout aussi bien pu mettre la clé sous la porte, raconte Steinleitner. Nous avons pu exécuter une analyse Wiz, voir que l’ensemble de notre système était intact, que nous étions en sécurité et que nous pouvions le signaler à nos clients. »
Sur leur ancienne plate-forme CSPM, le maintien de la conformité réglementaire avec la SOC et les Normes HIPAA était un processus actif et manuel. Grâce à Wiz, Artisan a pu automatiser les évaluations de conformité pour surveiller en permanence leur conformité aux cadres de conformité du secteur. Désormais, lors des réunions hebdomadaires de l'équipe de développement, l'équipe peut utiliser son tableau de bord de sécurité pour mettre en évidence tout problème critique susceptible d'être abordé avec la direction.
Lorsque vous exploitez une solution basée sur le cloud avec des données sensibles, la sécurité est primordiale : il est de votre devoir de protéger les données de vos clients. Si vous n’avez pas mis en place des mesures de sécurité, vous ne ferez pas long feu. Nous devons avoir une longueur d'avance et la collaboration avec Wiz nous a aidés à y parvenir.
L’amélioration de la sécurité et du respect de la conformité a également aidé Artisan à développer ses activités. Un fonds international qui a acheté l’entreprise a posé beaucoup de questions sur la structure logicielle d’Artisan au cours du processus de due diligence. « La sécurité était clairement un problème, explique Steinleitner. Mais nous avons pu tout simplement imprimer des rapports à partir des parties pertinentes de Wiz et montrer que nous n'avions pas de vulnérabilités majeures en suspens. Les consultants étaient pouvaient visualiser notre profil Wiz et voir que nous étions très conformes, et ils n'avaien't aucune préoccupation concernant la sécurité.”
Adopter une approche sécurisée dès la conception dans l’ensemble de l’entreprise
En tant qu’entreprise axée sur la technologie, Artisan n’a pas tardé à adopter le cloud, à développer de nouvelles capacités et à exposer des API afin que les fournisseurs puissent mieux servir leurs patients. Cela a également conduit l'entreprise à rapidement adopter la sécurité du cloud et à en faire une priorité au fur et à mesure de sa croissance. Il est devenu de plus en plus important pour Artisan de faire de la sécurité un élément central de toutes les conversations sur le développement et la croissance de l’entreprise.
Lorsque nos développeurs commencent à construire quelque chose, nous avons vraiment besoin qu’ils pensent à la sécurité tout de suite. Étant donné que ces solutions cloud sont accessibles de n’importe où, nous devons vraiment en tenir compte lors de la phase de développement.
Avec Wiz, Artisan a trouvé une solution pour une équipe de sécurité non dédiée. Wiz aide cette équipe à comprendre ses vulnérabilités et à se concentrer sur la simplification de la gestion de la fertilité pour les établissements de soins et les patients du monde entier. « En tant que PDG, je peux dire ceci : Wiz m’aide à dormir la nuit », confie Steinleitner.
