Pour mener la migration du prestataire de soins de santé new-yorkais dans le cloud, Kristin Myers, DSI du Mount Sinai Health System et doyenne de l'informatique de sa faculté de médecine, a fait de la protection et de la sécurité des données sa priorité essentielle. Diplômée en droit et en informatique de l'université technologique de Queensland et titulaire d'un Master Exécutif en Santé Publique de Columbia, Mme Myers est retournée à l’université en 2019, cette fois à Carnegie Mellon, pour obtenir une certification RSSI, dans l’idée de revoir l'approche en matière de cybersécurité du réseau hospitalier de la ville de New York, né de la fusion des activités de Continuum Health Partners et du Mount Sinai Medical Center en 2013. « Cela a duré six mois. C'était très difficile, mais j'ai beaucoup appris et cela m'a préparée, en tant que DSI, à vraiment comprendre ce que devait être un programme cyber et comment nous devions évoluer à l'avenir », a-t-elle déclaré.

Cette formation a incité Mme Myers à prendre un certain nombre de mesures de sécurité en vue du transfert des applications métiers et cliniques du Mount Sinai Health System vers le cloud, en recrutant notamment, en mai 2021, le responsable de la sécurité des informations, Rishi Tripathi, dont Mme Myers a veillé à ce qu'il fasse partie du comité directeur exécutif du réseau hospitalier pour le cloud. « Certains peuvent penser que le transfert des applications vers le cloud est sans danger, mais ce n'est pas le cas », a déclaré Mme Myers, pour qui la relation entre le DPI et le DSI est extrêmement importante. « Il est impératif de s’assurer que l’on intègre la sécurité quand on effectue ces migrations », a-t-elle ajouté.

Transfert vers le cloud

Au cours du second semestre 2021, Mme Myers a commencé à élaborer l'analyse de rentabilité de sa migration vers le cloud, un processus « qui a pris pas mal de temps, car tout ne rentre pas dans le budget technologique des datacenters », a-t-elle expliqué. « Et il y a également un impact sur d'autres budgets comme les installations ». Pour évaluer ces impacts, la DSI du Mount Sinai Health System et son équipe ont effectué une analyse budgétaire ascendante par poste des coûts des datacenters, et ont demandé à la direction financière d'examiner leur analyse de rentabilité. « Quand, avec notre équipe, nous avons procédé à l'examen des installations, le constat était très clair », a encore expliqué Mme Myers, qui, avec le comité de gestion des risques d'entreprise de Mount Sinai, supervisé par le CEO, a entrepris d'évaluer « les trois » fournisseurs de cloud, pour finalement choisir Microsoft Azure, soutenu par Accenture pour ce qui est des services managés. « Ce qui nous a frappés chez Microsoft, c'est leur philosophie en matière de sécurité des données et la façon dont ils se positionnent pour aider les clients du secteur de la santé », a-t-elle ajouté.

Mme Myers a également entrepris de transférer certaines applications métiers vers le cloud d'Oracle, « notamment Oracle Financials, Supply Chain, HCM Talent Management et Learning », comme elle l’a indiqué. Mais pour migrer les autres applications métiers et cliniques dans le cloud, la DSI voulait « quelque chose de plus agnostique ». La migration vers le cloud de Mount Sinai ne fait que commencer. Mme Myers s’est donnée trois ans pour transférer la majorité des applications du fournisseur de soins de santé dans le cloud. Epic, le système de dossiers patients électroniques de Mount Sinai, fera partie des applications qui seront transférées vers Azure. Depuis qu'elle a rejoint le groupe de santé, Kristin Myers a déployé Epic dans différents départements du réseau hospitalier new-yorkais, et elle prévoit d'autres déploiements au moins jusqu'en 2025. « Cela semble sans fin, mais quand nous acquérons ou fusionnons des entreprises, nous devons nous assurer que nous sommes capables de mettre en place la technologie qui relie tous les hôpitaux ou établissements aux centres principaux », a-t-elle encore expliqué.

Mount Sinai utilise déjà plusieurs clouds pour la recherche génomique, en tirant parti des meilleures solutions, mais, selon Mme Myers, « ce n'était pas logique pour nous d’adopter une stratégie multicloud pour nos applications métiers et cliniques, en partie à cause des ressources, étant donné qu'avec les environnements multiclouds, il faut maintenir des ensembles de compétences différents, mais qui se chevauchent », a encore déclaré la DSI de Mount Sinai. « Vu le problème de lab rétention des talents et la possibilité de trouver les bonnes compétences pour gérer ces environnements, il était clair que l’on devait mettre 80 à 90 % de nos applications chez un seul fournisseur ».

Se préparer à la menace quantique

Avec le transfert d'une grande partie des opérations informatiques de Mount Sinai vers le cloud, la sécurité des données est devenue une priorité pour Mme Myers. « La sécurité doit être intégrée à l'ensemble du processus de migration », a-t-elle insisté. « La simple migration des applications vers le cloud ne les protège pas nécessairement, à moins de crypter les données ». De plus, il ne s'agit pas seulement de savoir si les données sont cryptées, mais comment. Si, avec les équipements informatiques actuels, il faudrait des années à un attaquant pour casser les algorithmes de cryptage, il ne lui faudra plus que quelques secondes s’il a accès à un ordinateur quantique opérationnel. Certes, pour l’instant, l'informatique quantique reste du domaine des expériences de laboratoire, mais le moment viendra où les ordinateurs quantiques seront plus largement disponibles et la menace qu'ils représentent plus tangible. La Maison Blanche prend la menace quantique très au sérieux, au point qu’en janvier 2022, elle a publié un décret exigeant des opérateurs de systèmes de sécurité nationale qu'ils mettent à jour leurs plans et systèmes de sécurité pour s'en protéger.

Les organismes de santé ne sont pas soumis à la même exigence, mais ils sont soumis à la même menace : si leurs données ne sont pas protégées et cryptées de manière adéquate, elles pourraient être récoltées aujourd'hui et décryptées plus tard, quand les ordinateurs quantiques opérationnels deviendront une réalité. Selon Mme Myers, cette menace quantique pourrait se manifester dans les trois à cinq prochaines années. « Cela peut sembler long, mais ce n'est pas le cas », a-t-elle déclaré. Pour se préparer, la DSI a engagé Sandbox AQ, une spin-off de Google, pour inventorier les systèmes de cryptage de Mount Sinai et les rendre sûrs sur le plan quantique. Sandbox AQ propose un outil d'audit que les entreprises peuvent exécuter sur leur réseau interne pour identifier tous les systèmes de cryptage utilisés, puis les conseiller sur leur mise à niveau. Kristin Myers espère qu’avec cet audit, elle aura identifié les mesures d'atténuation nécessaires d'ici à la fin de l'année : « Si nous commençons ce travail maintenant, nous serons en meilleure position pour traiter cette vulnérabilité avant qu'elle ne soit exploitable ». Pour la DSI, il s’agit d’une action préventive pour les actifs informatiques du Mount Sinai Health System et les données de ses patients.