Apree Health affine son approche de la sécurité

Fruit de la fusion entre Castlight Health et Vera Whole Health, l'entreprise Apree Health a pour mission de transformer la façon dont les patients accèdent aux soins et s'y impliquent, dont le personnel soignant prodiguent des soins, et dont les employeurs et autres acheteurs paient pour les soins. En accélérant la transformation des paiements et de la prestation des soins grâce à la technologie et à un modèle de fourniture de services cliniques unique, l'entreprise interagit avec des informations personnelles sur la santé (PHI). Pour garantir le partage rapide et sécurisé de ces informations, Apree fait appel aux solutions de son partenaire de confiance, Akamai.

Apree offre aux entreprises et à leurs employés une plateforme de navigation et une application pour mobile dédiées à la santé, qui aident les patients à trouver des soins abordables et de haute qualité, à accéder aux informations de leur couverture santé et à leurs demandes de remboursement, à gérer les avantages sociaux et même à suivre leur état de santé. Étant donné que la plateforme et l'application de l'entreprise sont activées par plus de 100 intégrations de partenaires d'API et plus de 1 000 intégrations de clients tiers, une approche descendante axée sur la sécurité et ancrée dans les meilleures pratiques est essentielle.

Comme l'explique David Quisenberry, directeur principal de la sécurité de l'information à Apree, « le seul moyen d'améliorer les résultats en matière de santé est le partage des informations. Cependant, ces informations sont très sensibles et doivent être protégées. »

Une telle sécurité est essentielle à la lumière des types d'attaques et des tendances actuelles, y compris l'ingénierie sociale et les attaques d'API activées par des bots, à grande échelle. Traiter la sécurité de manière globale et efficace dans un tel environnement nécessite une hiérarchisation et une itération continues, tout en démontrant la présence de mesures de protection solides.

Malheureusement, Apree ne disposait pas des solutions adéquates pour donner les moyens à son équipe des opérations de sécurité de satisfaire de telles exigences. Son Web Application Firewall de base informait l'équipe des problèmes potentiels, incitant les opérations de sécurité à enquêter manuellement et à déterminer la meilleure réponse. Lorsque l'entreprise a connu une attaque de credential stuffing via son application pour mobile, l'équipe a été submergée, manquant de temps et de moyens financiers pour enquêter, signaler les impacts potentiels et prendre des mesures. 

Selon Cat Schwan, analyste principale de la sécurité de l'information à Apree, « c'était comme jouer au chat et à la souris. Nous étions arrivés à la limite de notre stratégie de sécurité. »

La première priorité d'Apree était de prévenir les attaques visant les API et de bloquer les exploitations associées. La configuration des solutions de protection d'Akamai dédiées aux applications et aux API, en fonction des besoins de l'entreprise, lui a permis d'atteindre cet objectif. Avec Akamai, l'équipe de sécurité ajoute une couche de sécurité à la couche d'en-tête HTTP sur les API utilisées pour les requêtes POST et pour les intégrations de partenaires. 

Parallèlement, Akamai protège l'entreprise et son application pour mobile de la vague de bots qui a causé tant de travail et d'inquiétude. Comme cela fait 18 mois qu'Apree n'a pas connu d'attaques de credential stuffing, cela a considérablement réduit les frais généraux associés à la résolution de ces exploitations. Tout aussi important, Apree peut sécuriser en toute confiance les données sensibles que les utilisateurs, les employeurs et les partenaires lui confient. 

David Quisenberry ajoute : « Il est essentiel que nous permettions un accès rapide et sécurisé à nos applications et guides de soins. Notre équipe d'ingénieurs est ravie de pouvoir garantir cela de manière fiable, grâce à Akamai. »

Bien que la prévention des attaques visant les API ait été l'élément déclencheur du partenariat avec Akamai, Apree en a également tiré de nombreux autres avantages.

La confiance dans la sécurité, ainsi que la capacité à évoluer selon les besoins, étaient essentielles lorsque Apree (alors Castlight Health) s'est associé au Boston Children's Hospital (BCH – Hôpital pour enfants de Boston) et aux Centers for Disease Control and Prevention (CDC – Centres pour le contrôle et la prévention des maladies) afin de lancer un outil gratuit de recherche de vaccins contre la Covid-19. Le BCH a demandé à Castlight de construire l'infrastructure technologique qui alimente la solution avec des données actualisées sur le vaccin contre la Covid-19, ce qui a entraîné la première expérience non fermée que Castlight a publiée. La plateforme mondiale d'Akamai a permis de s'assurer automatiquement que l'outil de recherche de vaccins présente des informations précises et à jour.

« Akamai a protégé notre back-end des extracteurs Web non autorisés et nous a permis de gérer l'énorme volume de trafic associé à ce projet à haut risque et à haute visibilité. Il a aussi veillé à ce que l'application ne soit pas volée », explique Cat Schwan.

Les fonctionnalités de protection des applications mises en œuvre par Apree, notamment la protection contre les attaques DDoS, la défense de l'origine et la détection avancée des bots, fonctionnent de concert avec son système de détection des intrusions pour rapidement identifier les menaces et obtenir des renseignements. Grâce aux solutions Akamai intégrées à cette pile, l'entreprise peut comprendre plus rapidement et plus facilement les vecteurs d'attaque.

Par exemple, lorsqu'Apree a décelé des attaques par injection, Akamai a fourni une protection immédiate et une visibilité sur l'environnement de menace. « Akamai nous a fourni les informations dont nous avions besoin pour hiérarchiser nos vulnérabilités et corriger 98 % de nos machines virtuelles en cinq jours », explique David Quisenberry.

En outre, Akamai s'est révélé indispensable lorsqu'Apree a migré vers Google Cloud, pour renforcer sa base de sécurité. Selon Cat Schwan, « Akamai a considérablement facilité la migration lors de notre changement d'environnement ».

Assurer une sécurité plus robuste des applications Web de Vera Whole Health, lors de la fusion avec Castlight, a marqué une victoire initiale. « Il a été incroyablement facile de fusionner ces applications dans notre environnement », poursuit Cat Schwan.

En fait, Google Cloud et Akamai permettront l'automatisation (comme lors de la réalisation d'appels d'API robustes) que l'équipe des opérations de sécurité envisage. « Le fait qu'Akamai permette un contrôle automatisé des changements est extrêmement précieux pour nous, car nos équipes peuvent ainsi définir des contrôles de sécurité et partager des preuves de leur présence », poursuit Cat Schwan.

En libérant du temps à l'équipe pour qu'elle se concentre sur des mesures de sécurité encore plus abouties, Akamai aide Apree à se tourner vers l'avenir en toute confiance. « Akamai apporte la technologie, la télémétrie et les informations dont nous avons besoin pour mettre en place une architecture de sécurité agile et automatisée », conclut David Quisenberry.

Apree Health a pour mission de construire la première solution de santé de bout en bout, qui redéfinit l'expérience de soins et transforme la façon dont les patients accèdent aux soins et s'y impliquent, dont le personnel soignant prodiguent des soins, et dont les employeurs et autres acheteurs paient pour les soins. Apree Health réalise cet objectif en combinant la meilleure navigation de sa catégorie, des informations axées sur les données, le modèle de soins primaires le plus avancé ainsi que des modèles de risque basés sur la valeur, pour améliorer les résultats en matière de santé et la vie de ceux dont l'entreprise s'occupe.

Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche les expériences et les applications des utilisateurs tout en éloignant les menaces. Pour en savoir plus sur les solutions de Cloud Computing, de sécurité et de diffusion de contenu d'Akamai, rendez-vous sur akamai.com/fr et akamai.com/fr/blog, ou suivez Akamai Technologies sur X, (anciennement Twitter), etLinkedIn.