Doctolib

Doctolib fornisce servizi di e-health sicuri e affidabili nell'UE con Cloudflare

Doctolib è il servizio di e-health in più rapida crescita in Europa. Fondata in Francia nel 2013, l'azienda si è espansa rapidamente, e attualmente serve pazienti anche in Germania e in Italia. I pazienti possono utilizzare la piattaforma per fissare appuntamenti e visite di telemedicina con i fornitori di servizi sanitari.

Doctolib era un servizio di e-health ben consolidato prima del 2019, ma la pandemia di COVID-19 ha fatto da motore a una crescita rapida e significativa. Prima della pandemia, la piattaforma aveva circa 1.000 dipendenti, un numero che è cresciuto fino a 3.000 in un paio d'anni. Doctolib consente inoltre a oltre 390.000 fornitori di servizi sanitari di servire 90 milioni di pazienti in Francia, Germania e Italia.

Problema: garantire l'accessibilità dei servizi e la privacy e la sicurezza dei dati

Doctolib ha affrontato numerose problematiche nel proteggere i dati sensibili in un ambiente cloud complesso, adattandosi a una forza lavoro ibrida in crescita. Con l'inserimento di oltre 200 dipendenti al mese, Doctolib doveva assicurarsi di mantenere la sua solida posizione di sicurezza e la conformità normativa. L'organizzazione aveva accesso a grandi volumi di dati sensibili di pazienti e dipendenti ed era soggetta ai rigorosi requisiti del GDPR in materia di protezione e localizzazione dei dati.

"Durante la pandemia, ci siamo dovuti adattare a un nuovo modello di lavoro, che offriva opzioni full office, ibride o remote", spiega Cédric Voisin, CISO di Doctolib. "Garantire la conformità e la gestione delle minacce informatiche è diventato ancora più fondamentale man mano che navigavamo in questo nuovo ambiente di lavoro. Una grande sfida era garantire che, indipendentemente da dove lavorassero i nostri dipendenti, potessero accedere alle risorse in modo sicuro".

Inoltre, dovevano proteggere i dati sensibili su un'ampia gamma di applicazioni SaaS, tra cui Google Workspace, Microsoft 365 e Salesforce. Viste le numerose integrazioni, erano preoccupati per l'accesso sicuro, la gestione delle configurazioni errate e la potenziale esposizione dei dati su queste piattaforme.

Oltre a questi problemi di sicurezza quotidiani, l'azienda doveva anche garantire la disponibilità della sua piattaforma durante i picchi di traffico durante la pandemia di COVID-19. Una maggiore visibilità ha aumentato i visitatori della piattaforma e l'ha resa un obiettivo più appetitoso per i criminali informatici.

Gestire la rapida crescita e i picchi di traffico improvvisi

Durante la pandemia di COVID-19, l'interesse per Doctolib è cresciuto rapidamente. L'azienda fornisce servizi sanitari online e ha preso parte allo sforzo di vaccinazione in Francia e Germania. Di conseguenza, il traffico verso il sito dell'azienda è cresciuto notevolmente in quel periodo di tempo. Questa crescita del traffico è stata uno dei fattori principali del passaggio di Doctolib dal piano gratuito a quello aziendale di Cloudflare. Questa transizione ha assicurato che l'infrastruttura dell'azienda potesse scalare e tenere il passo con la domanda, fornendo protezione contro il maggior numero di attacchi informatici causato dalla maggiore visibilità dell'azienda.

Questa ulteriore scalabilità e resilienza è stata particolarmente importante di fronte a picchi improvvisi nel traffico verso la pagina dell'azienda. Di tanto in tanto, il CEO di Doctolib appariva in diretta televisiva, il che faceva triplicare il traffico del sito poco dopo.

Tuttavia, questi picchi sono stati insignificanti rispetto a quelli registrati quando la società è stata menzionata in diretta televisiva dal presidente francese. Secondo Cédric Voisin, CISO di Doctolib, "Quando il presidente francese ha parlato di noi, il nostro traffico è decuplicato senza preavviso. Avevamo bisogno di una soluzione in grado di sostenere il carico di lavoro aggiuntivo che non potevamo prevedere, ed è qui che Cloudflare è venuta in nostro soccorso".

Garantire la sicurezza dei dati e la conformità normativa

Zero Trust è un componente chiave della strategia di sicurezza dei dati e conformità normativa di Doctolib. Voisin afferma: "Non vogliamo fidarci implicitamente dell'hardware o delle persone in nessun momento della connessione. Se qualcuno vuole accedere a una delle nostre risorse, deve dimostrare che sia chi dichiara di essere e che stia utilizzando il dispositivo che dichiara di utilizzare".

Per raggiungere questi obiettivi Zero Trust, Doctolib utilizza il servizio Zero Trust Network Access (ZTNA) di Cloudflare. A tutti i dipendenti e appaltatori viene fornito un laptop aziendale in cui è precaricato l'agente del dispositivo di Cloudflare. In questo modo, l'organizzazione può controllare l'accesso ai dati dei pazienti e ad altre risorse in conformità con i requisiti normativi e i propri criteri di sicurezza.

Per integrare queste difese a livello di rete, Doctolib utilizza anche Crowdstrike per la sicurezza degli endpoint. Nell'ambito del processo di convalida Zero Trust, Cloudflare verifica che Crowdstrike sia attivo e aggiornato, proteggendo il dispositivo da malware e altre minacce alla sicurezza degli endpoint. Voisin afferma: "Lavoriamo con fornitori che hanno accesso a risorse molto sensibili. Insieme, Cloudflare e Crowstrike si assicurano che siano chi affermano di essere e che i loro dispositivi siano sicuri.

Anche il servizio di localizzazione dei dati (DLS) di Cloudflare è fondamentale per la strategia di conformità dell'azienda, consentendole di dimostrare ai clienti e alle autorità di regolamentazione che i dati dei pazienti non lasciano mai l'UE. L'archiviazione e l'elaborazione dei dati dei soggetti interessati dell'UE all'interno dell'UE contribuiscono a semplificare la conformità al GDPR. DLS garantisce inoltre che i fornitori non UE e i soggetti esterni non abbiano accesso ai dati dei pazienti, che solo gli utenti autorizzati da Doctolib possano accedere e visualizzare i dati, i registri o gli indirizzi IP dei pazienti e che questi metadati non lascino mai l'UE. Secondo Voisin, "DLS è prezioso per noi perché ci consente di utilizzare Cloudflare rimanendo conformi. E nessun altro in Europa ha le capacità e la capacità di Cloudflare di gestire l'enorme quantità di traffico che abbiamo".

Aumentare la visibilità dei dati e dei rischi di configurazione errata

"La visibilità fornita Cloudflare è importante per aiutarci a ridurre il rischio di violazioni dei dati", afferma Voisin. "I suoi prodotti ci consentono di affrontare rapidamente gli errori di configurazione e garantire la conformità alle normative sulla protezione dei dati come il GDPR."

Voisin spiega che Cloudflare è stata determinante nel migliorare la sicurezza dei dati di Doctolib e che prevedono di continuare a collaborare a stretto contatto con gli esperti di Cloudflare per rafforzare la protezione dei propri dipendenti e clienti. Cloudflare apre la strada a una crescita futura accelerata con un approccio scalabile alla conformità "Inoltre, vogliamo espandere la nostra attività in più paesi. Quindi dovremo adattarci a una maggiore regolamentazione. Questo è un dato di fatto. Ma ci basiamo su Cloudflare, che ci sarà utile per entrare rapidamente nel mercato senza troppi oneri".

Per saperne di più su come Cloudflare aiuta Doctolib oltre la sicurezza e la conformità dei dati, leggi questo articolo di Medium sui nostri servizi applicativi.