Comment Mediquest sécurise les données des patients avec Aikido

A propos de l'entreprise

Mediquest transforme les données en informations claires pour prendre les meilleures décisions en matière de soins de santé. Ils transforment les données sur les patients en informations utiles pour les patients et les prestataires de soins. Par exemple, l'une des solutions de Mediquest met en relation les patients avec le bon spécialiste en fonction de facteurs tels que le temps d'attente, la proximité et la qualité. Du côté des soignants, Mediquest a développé un portail comprenant plusieurs applications (telles que des tableaux de bord, des questionnaires, des analyses de données, etc.) permettant aux prestataires de soins de surveiller le bien-être de leurs patients. Mediquest sert plusieurs milliers de clients à travers les Pays-Bas. 

Le défi : maintenir la sécurité des données de santé

La gestion des données des patients représente un défi majeur : la sécurité. Dans le secteur de la santé, la confidentialité et la sécurité des données sont essentielles. Mediquest, comme de nombreuses entreprises du secteur, doit s'assurer que les données des patients sont conservées en toute sécurité, de manière confidentielle et conformément aux réglementations de l'industrie. L'entreprise a subi des audits de sécurité rigoureux depuis 2015, obtenant les certifications ISO9001, ISO 27001 et NEN 7510, cette dernière étant une norme pour les organisations néerlandaises traitant des données de santé des patients. Malgré cela, ils ont réalisé que se tenir au courant des normes de sécurité en constante évolution, en particulier avec leurs plus de 100 services basés sur le cloud, était une tâche continue et complexe. Non seulement pour l'entreprise elle-même, mais surtout pour pouvoir mieux servir les clients et les patients. Mediquest avait besoin d'une solution fiable et rationalisée pour gérer et améliorer continuellement sa sécurité sans épuiser les ressources. Dans sa quête pour anticiper les attentes continues concernant la robustesse de sa posture de sécurité, Erwin Rooijakkers, ingénieur logiciel chez Mediquest, et son équipe ont souhaité introduire un outil qui aiderait à la surveillance continue et au pentesting.

La solution Aikido : une plateforme unique pour tous les besoins de sécurité 

Après avoir abandonné l'idée de développer leur propre outil en s'appuyant sur Trivy et ZAP (en raison de priorités conflictuelles et de la nécessité d'investissements supplémentaires pour acquérir l'expertise adéquate), l'équipe DevOps de Mediquest a exploré divers outils de sécurité. Cependant, beaucoup de ces solutions étaient soit trop complexes, soit excessivement coûteuses, entraînant fréquemment un trop grand nombre de faux positifs et manquant de fonctionnalités essentielles. C'est alors que l'équipe a découvert Aikido, une plateforme complète et rentable qui intègre plusieurs outils de sécurité open source dans une interface intuitive.

« En cherchant des outils de sécurité, nous sommes tombés sur Aikido grâce à une recommandation sur Reddit. Quelqu'un a partagé son expérience positive, et cela nous a incités à l'essayer. Il s'est avéré être exactement ce dont nous avions besoin — abordable, complet et doté de plus de fonctionnalités que les autres outils que nous avions examinés », se souvient Erwin Rooijakkers, ingénieur logiciel chez Mediquest.

Aikido a fourni la solution parfaite, répondant au défi de Mediquest avec un tableau de bord unifié qui couvre plusieurs de leurs priorités clés :

• Gestion des vulnérabilités
• Gestion de la Posture de Sécurité Cloud
• Analyse d’images de conteneurs
• Analyse des dépendances open source
• Tests d'intrusion

Aikido s'est avéré être exactement ce dont nous avions besoin – abordable, complet et doté de plus de fonctionnalités que les autres outils que nous avions examinés. La plateforme nous a aidés à nous concentrer d'abord sur les vulnérabilités les plus critiques, ce qui était essentiel pour maintenir la sécurité de nos applications.

Aikido a offert à Mediquest une vue complète de sa posture de sécurité. La plateforme a permis à l'équipe de prioriser les vulnérabilités et d'améliorer leurs systèmes sans avoir à construire leurs propres contrôles de sécurité. « Avec Aikido, nous n'avons plus eu à construire tous nos contrôles de sécurité à partir de zéro », déclare Rooijakkers. « La plateforme nous a aidés à nous concentrer d'abord sur les vulnérabilités les plus critiques, ce qui était essentiel pour maintenir la sécurité de nos applications. »

« Aikido fait tout ce que j'essayais de mettre en place manuellement », poursuit Rooijakkers. « Si vous devez gérer la sécurité de 50 applications, vous êtes constamment en train de coder et de mettre à jour. Nous manquions simplement de temps et d'expertise pour maintenir des points de contrôle de sécurité suffisants. Aikido nous a déchargés de ce fardeau, grâce à sa solution tout-en-un. »

Le support en temps réel était essentiel pour nous. Avec Aikido, j'obtiens des réponses en moins d'une heure, parfois même en quelques minutes. Cela m'a donné confiance, sachant que leur équipe de support pouvait justifier pourquoi une vulnérabilité potentielle était — ou n'était pas — signalée comme un risque.

Ce qui a vraiment distingué Aikido, c'est la qualité de son support client. « Le support en temps réel était essentiel pour nous. Avec Aikido, j'obtiens des réponses en moins d'une heure, parfois même en quelques minutes. Cela m'a donné confiance, sachant que leur équipe de support pouvait justifier pourquoi une vulnérabilité potentielle était — ou n'était pas — signalée comme un risque », déclare Rooijakkers.

De plus, la capacité d'Aikido à intégrer rapidement les retours était un avantage clé. « J'ai fait part de problèmes qui n'étaient pas signalés mais qui auraient dû l'être. En quelques jours, Aikido a apporté des ajustements — non seulement pour nous, mais pour tous les clients. Cela m'a montré qu'ils prennent au sérieux les retours des clients et les utilisent pour améliorer leur produit », ajoute Rooijakkers.

Quand on considère le taux horaire des développeurs et le temps qu'Aikido nous fait gagner, la décision d'ajouter Aikido à notre pile d'outils était une évidence

Le résultat : sécurité améliorée, charge de travail réduite

Avec Aikido, Mediquest n'est plus confrontée à la tâche écrasante de gérer manuellement la sécurité sur de multiples applications. Au lieu de cela, l'entreprise bénéficie d'une solution intégrée qui combine divers outils de sécurité, simplifiant le processus tout en augmentant l'efficacité. L'un des moments marquants pour Rooijakkers a été lorsqu'Aikido lui a permis d'effectuer un test d'intrusion derrière un mur de connexion — une tâche qu'il avait auparavant passé des jours à essayer de gérer lui-même sans succès.

« Que cela fonctionne simplement via Aikido a été la cerise sur le gâteau », déclare Rooijakkers, faisant référence à la capacité de réaliser avec succès un pentest derrière un mur de connexion. « Toutes les pièces du puzzle de la sécurité se sont soudainement mises en place. Nous avons maintenant plus de contrôle et une image complète de ce qui peut être amélioré. Lors des futurs audits (et en parlant de notre posture de sécurité en général), nous pourrons démontrer avec confiance que nous avons tout sous contrôle. »

L'efficacité obtenue grâce à l'utilisation d'Aikido a été un véritable tournant pour Mediquest, permettant à l'équipe de développement de se concentrer sur des problèmes plus urgents et rendant le calcul coût-bénéfice une décision claire et facile.

« Quand on considère le taux horaire des développeurs et le temps qu'Aikido nous fait gagner, la décision d'ajouter Aikido à notre pile d'outils était une évidence », souligne Rooijakkers.