A propos de l'entreprise
Mediquest transforme les données en informations claires pour prendre les meilleures décisions en matière de soins de santé. L'entreprise prend des données sur les patients et les transforme en informations utiles à la fois pour les patients et les prestataires de soins de santé. Par exemple, l'une des solutions de Mediquest met en relation les patients avec le bon spécialiste en fonction de facteurs tels que le temps d'attente, la proximité et la qualité. Du côté des soignants, Mediquest a développé un portail comprenant de multiples applications (comme des tableaux de bord, des questionnaires, des analyses de données, et plus encore) pour permettre aux soignants de surveiller le bien-être de leurs patients. Mediquest compte plusieurs milliers de clients aux Pays-Bas.
Le défi : sécuriser les données de santé
Le traitement des données des patients s'accompagne d'un défi de taille : la sécurité. Dans le secteur des soins de santé, la confidentialité et la sécurité des données sont essentielles. Mediquest, comme de nombreuses entreprises du secteur, doit veiller à ce que les données des patients soient conservées en toute sécurité, confidentielles et conformes aux réglementations du secteur. Ils ont subi des audits de sécurité rigoureux depuis 2015, obtenant les certifications ISO9001, ISO 27001 et NEN 7510, cette dernière étant une norme pour les organisations aux Pays-Bas qui traitent les données de santé des patients. Malgré cela, ils ont réalisé que le respect des normes de sécurité en constante évolution, en particulier avec leurs plus de 100 services basés sur le cloud, était une tâche permanente et complexe. Non seulement pour l'entreprise elle-même, mais surtout pour être en mesure de mieux servir les clients et les patients. Mediquest avait besoin d'une solution fiable et rationalisée pour gérer et améliorer continuellement sa sécurité sans épuiser ses ressources. Dans sa quête pour anticiper les attentes continues concernant la robustesse de sa posture de sécurité, Erwin Rooijakkers, ingénieur logiciel chez Mediquest, et l'équipe voulaient introduire un outil qui aide à la surveillance continue et au pentesting.
La solution Aikido : une plateforme unique pour tous les besoins en matière de sécurité
Après avoir mis de côté l'idée de construire un outil propre en s'appuyant sur Trivy et ZAP (en raison de priorités contradictoires et de la nécessité d'investir davantage pour acquérir l'expertise adéquate), l'équipe DevOps de Mediquest a exploré divers outils de sécurité. Cependant, beaucoup de cessolutions étaient soit trop complexes, soit d'un coût prohibitif, entraînant fréquemment trop de faux positifs et manquant de fonctionnalités essentielles. C'est alors que l'équipe a découvert Aikido, une plateforme complète et rentable qui intègre plusieurs outils de sécurité open-source dans une interface intuitive.
"Alors que nous cherchions des outils de sécurité, nous sommes tombés sur Aikido grâce à une recommandation sur Reddit. Quelqu'un nous a fait part de son expérience positive, ce qui nous a incités à l'essayer. Il s'est avéré être exactement ce dont nous avions besoin : abordable, complet et doté de plus de fonctionnalités que les autres outils que nous avions examinés", se souvient Erwin Rooijakkers, ingénieur logiciel chez Mediquest.
Aikido a fourni la solution parfaite, répondant au défi de Mediquest avec un tableau de bord unifié qui couvre plusieurs de leurs priorités clés :
- Gestion de la vulnérabilité
- Gestion de la sécurité de l'informatique dématérialisée
- Container image scanning
- Analyse des dépendances des logiciels libres
- Tests de pénétration
Aikido s'est avéré être exactement ce dont nous avions besoin - abordable, complet et doté de plus de fonctionnalités que les autres outils que nous avons examinés. La plateforme nous a permis de nous concentrer d'abord sur les vulnérabilités les plus critiques, ce qui était essentiel pour assurer la sécurité de nos applications.
Aikido a donné à Mediquest une vue complète de son niveau de sécurité. La plateforme a permis à l'équipe de prioriser les vulnérabilités et d'améliorer ses systèmes sans avoir à créer ses propres contrôles de sécurité. "Avec Aikido, nous n'avons plus eu à créer tous nos contrôles de sécurité à partir de zéro", explique Rooijakkers. "La plateforme nous a aidés à nous concentrer d'abord sur les vulnérabilités les plus critiques, ce qui était essentiel pour assurer la sécurité de nos applications."
"Aikido fait tout ce que j'essayais de mettre en place manuellement", poursuit M. Rooijakkers. "Si vous devez gérer la sécurité de 50 applications, vous devez constamment coder et mettre à jour. Nous manquions tout simplement de temps et d'expertise pour maintenir un nombre suffisant de points de contrôle de sécurité. Aikido nous a débarrassé de ce fardeau grâce à sa solution tout-en-un."
L'assistance en temps réel était essentielle pour nous. Avec Aikido, j'obtiens des réponses dans l'heure, parfois même dans les minutes qui suivent. Cela m'a donné confiance de savoir que leur équipe de support pouvait justifier pourquoi une vulnérabilité potentielle était - ou n'était pas - signalée comme un risque.
Ce qui a permis à Aikido de se démarquer, c'est la qualité de son assistance à la clientèle. "Le support en temps réel était essentiel pour nous. Avec Aikido, j'obtiens des réponses dans l'heure, parfois même dans les minutes qui suivent. Cela m'a donné confiance de savoir que l'équipe d'assistance pouvait justifier pourquoi une vulnérabilité potentielle était - ou n'était pas - signalée comme un risque", explique M. Rooijakkers.
En outre, la capacité de l'Aikido à intégrer rapidement le retour d'information a été un avantage clé. "J'ai donné mon avis sur certains problèmes qui n'étaient pas signalés alors qu'ils auraient dû l'être. En quelques jours, Aikido a procédé à des ajustements, non seulement pour nous, mais pour tous les clients. Cela m'a montré que l'entreprise prenait au sérieux les commentaires des clients et les utilisait pour améliorer son produit", ajoute M. Rooijakkers.
Lorsque l'on considère le taux horaire des développeurs et le temps qu'Aikido nous fait gagner, la décision d'ajouter Aikido à notre pile d'outils s'est imposée d'elle-même.
Résultat : une sécurité accrue et une charge de travail réduite
Avec Aikido, Mediquest n'est plus confronté à la tâche écrasante de gérer manuellement la sécurité de plusieurs applications. Au lieu de cela, ils bénéficient d'une solution intégrée qui combine différents outils de sécurité, simplifiant le processus tout en augmentant l'efficacité. L'un des moments les plus marquants pour Rooijakkers a été lorsque Aikido lui a permis d'effectuer un test de pénétration derrière un mur de connexion - ce qu'il avait auparavant passé des jours à essayer de gérer lui-même, sans succès.
"Le fait que cela fonctionne simplement grâce à Aikido a été la cerise sur le gâteau", déclare M. Rooijakkers, en faisant référence à la possibilité de réaliser avec succès un pentest derrière un mur de connexion. "Toutes les pièces du puzzle de la sécurité se sont soudain mises en place. Nous avons maintenant plus de contrôle et une image complète de ce qui peut être amélioré. Lors des futurs audits (et lorsque nous parlerons de notre posture de sécurité en général), nous pourrons démontrer en toute confiance que nous avons tout sous contrôle."
L'efficacité de l'utilisation d'Aikido a changé la donne pour Mediquest, permettant à l'équipe de développement de se concentrer sur des questions plus urgentes et faisant du calcul coût-bénéfice une décision claire et facile à prendre.
%201.svg)
