Passeport numérique du personnel NHS : Pentest et DevOps

L’hôpital universitaire de Blackpool NHS Foundation Trust est situé sur la côte ouest du Lancashire et opère au sein d'un bassin de santé régional qui s'étend sur le Lancashire et le sud de la Cumbria. Trust fournit des services de soins aux 352 000 habitants de la côte de Fylde, et aux quelques 18 millions de visiteurs annuels de la touristique station balnéaire de Blackpool.

Le défi

La pandémie mondiale de coronavirus a accéléré la transformation numérique de nombreuses organisations du NHS. Dans de nombreux cas, ce qui aurait normalement pris plusieurs années a été développé en seulement quelques semaines.

Durant la pandémie, le NHS a dû déployer en urgence et temporairement, du personnel hautement qualifié entre le NHS et l'hôpital pour continuer à fournir les meilleurs soins aux patients. Auparavant, chaque fois qu'un membre du personnel devait être temporairement muter, la procédure administrative impliquait la création de contrats d'honoraires et la vérification des informations personnelles et professionnelles, le tout effectué manuellement.

Cependant, pendant la pandémie, le temps étant compté, il était donc impératif de simplifier ces processus et d'utiliser la technologie dans la mesure du possible.

"Le processus d'intégration du personnel était manuel, avec des vérifications physiques des documents avant qu'un membre du personnel puisse travailler sur un nouveau site. Mais lorsque la pandémie a éclaté, la nécessité de numériser le processus est clairement apparue. Il était impératif de réduire la charge administrative des cliniciens et de maximiser le temps qu'ils pouvaient consacrer aux patients."
Toute application que nous utilisons pour accéder aux données et aux systèmes du NHS doit être testée de manière approfondie afin de garantir que nous appliquons une bonne sécurité des données et que les informations personnelles sont traitées correctement.."
Andrew Temple, Chef de projet senior à Blackpool Teaching Hospitals

La solution

Plusieurs équipes se sont réunies pour développer un passeport numérique du personnel NHS COVID-19. Il s'agit d'une solution sûre, sécurisée et efficace utilisant la technologie blockchain, une application et un portail RH. Les informations sur le personnel sont transférées de manière transparente depuis un dossier appartenant à l'employé sur un smartphone, vers le dossier du personnel de l'employeur.

Le passeport a été testé de manière approfondie tout au long de l'année dernière afin de réduire le temps nécessaire à l'intégration du personnel. Cela s'est avéré essentiel pendant et après la pandémie de COVID-19, lorsque le personnel s'est porté volontaire pour être déployé rapidement entre les organisations du NHS.

Lorsqu'un membre du personnel est affecté à une autre organisation du NHS, il peut désormais vérifier son identité et ses références professionnelles à l'aide d'un QR code sur son appareil. En validant les justificatifs cryptographiques des membres du personnel, le NHS peut être sûr de l'identité et de l'emploi des membres du personnel. Il offre un cryptage de pointe des données personnelles sensibles, qui a fait l'objet de tests approfondis avant d'être mis en service.

Toute application que nous utilisons pour accéder aux données et aux systèmes du NHS doit être testée de manière approfondie afin de garantir que nous appliquons une bonne sécurité des données et que les informations personnelles sont traitées correctement."
Andrew Temple, chef de projet principal aux Blackpool Teaching Hospitals

Claranet continue d'être sollicité pour effectuer de nouveaux tests de pénétration au fur et à mesure que l'application est affinée et que de nouvelles itérations sont développées, et ce, presque chaque mois.

Le passeport numérique provisoire COVID-19 pour le personnel a permis de placer les bonnes personnes au bon endroit, au bon moment. Notre rôle a été d'assurer un déploiement sécurisé de la technologie".
Dave Ashton, Directeur CyberSécurité, Claranet UK

C'est là que l'expertise de Claranet est intervenue. Avec plus de 20 ans d'expérience dans les tests de pénétration, l'équipe a examiné la solution pour s'assurer qu'elle était conçue et construite en prenant en compte la sécurité dès le début du projet. Les contrôles de sécurité, tels que ceux relatifs aux vérifications d'authentification et d'autorisation, ont fait l'objet d'un examen approfondi afin de garantir que seuls les membres du personnel devant accéder au système puissent le faire.

Le résultat

Claranet a veillé à ce que toutes les données nouvelles et existantes soient stockées de manière robuste et ne puissent pas être partagées entre les appareils.

Pour sécuriser davantage le processus, Claranet a veillé à ce que toute personne délivrant elle-même des informations d'identification dispose d'un compte unique et qu'une authentification à deux facteurs soit utilisée à chaque connexion.
En plus de tester l'application elle-même, Claranet s'est également assuré que tous les services dorsaux étaient robustes en les soumettant à des tests de pénétration rigoureux.

"À bien des égards, Claranet fournit le "Sec" de notre DevSecOps", déclare Andrew. "Leurs tests de pénétration sont dynamiques, se concentrent sur les nouvelles fonctionnalités, et rationalisent donc le processus de développement."

Claranet a travaillé de manière très flexible tout au long du projet pour s'adapter aux délais accélérés auxquels le projet devait se conformer. L'équipe a travaillé les week-ends lorsque cela était nécessaire, et a veillé à ce que les rapports soient renvoyés à l'équipe projet dans les 24 heures, afin que chaque phase du développement de l'application puisse être mise en service en temps voulu.

" Le passeport numérique provisoire du personnel COVID-19 a permis de placer les bonnes personnes au bon endroit, au bon moment ", ajoute Dave Ashton, Directeur CyberSécurité, Claranet UK "Notre rôle a été d'assurer un déploiement sécurisé de la technologie, et nous sommes ravis de soutenir les Blackpool Teaching Hospitals dans leur travail fantastique."