BYOD dans les établissements de santé ?

25787937_sJ’ai récemment publié deux billets sur l’évolution de la messagerie en établissement de santé, la fin des pagettes et les technologies de messagerie qui pourraient éventuellement prendre leur place.

Peu importe la technologie qui émergera, ou en attendant son arrivée, il est clair que les cliniciens utiliseront leurs appareils mobiles personnels pour échanger de l’information. Il est également évident que le système de santé fait face à un enjeu de sécurité et de confidentialité avec cette pratique.

Un article publié en avril décrit bien la problématique. L’information échangée par les cliniciens sur leurs appareils est bien sûr stockée sur ceux-ci, et la perte d’un appareil représente un risque pour les données personnelles de patients. Également, il est probable que cette information soit synchronisée avec un quelconque service d’infonuagique. Dans ce genre de cas, l’information personnelle, même si elle n’est pas stockée dans l’appareil, peut être facilement téléchargée avec les accès configurés dans celui-ci, ou encore peut devenir vulnérable à une brèche dans le service lui-même, comme on l’a vu à quelques reprises avec des brèches très médiatisées au courant des dernières années.

Une phrase importante de l’article est: « You can tell your employees all you want, ‘Don’t text, don’t text, don’t text,’ but they’re going to text. »

Je trouve que cette phrase illustre bien le problème: l’utilisation d’appareils personnels représente un certain risque, mais dans la situation actuelle, des failles équivalentes sinon pires existent. D’abord, l’actuelle absence de plateforme de communication (à l’exception du courriel interne, mais qui ne peut pas vraiment être utilisé dans la pratique clinique) force les cliniciens à utiliser les technologies qu’ils ont à leur disposition; ceci passe certainement par leurs appareils personnels et la messagerie texte. La combinaison pagette – téléphone fixe n’est tout simplement plus à la hauteur du niveau de productivité attendu de nos jours.

Par ailleurs, les cliniciens doivent aussi avoir de l’information clinique disponible pour eux-mêmes, surtout s’il n’y a pas de dossier informatisé en place. Ceci se manifeste par une liste de patients manuscrite ou imprimée sur papier, avec une liste de choses à faire durant la journée. Cette liste papier peut être oubliée quelque part, tomber d’une poche, etc. Les services de synchronisation dans le nuage peuvent être un risque de sécurité, mais au moins ils sont protégés par un mot de passe, un papier tombé par terre n’offre aucune sécurité !

J’ai déjà dit que je crois que la meilleure solution est un système de messagerie dédié, fonctionnant si possible à partir des serveurs d’une organisation mais qui permet aux cliniciens d’utiliser une application installée sur leurs propres appareils, qui conserve un historique limité, et qui peut encrypter les communications lorsqu’elles passent par un réseau public.

Lorsque ceci, ou un équivalent, se mettra en place, je crois que les cliniciens et les organisations seront tentées d’aller vers le modèle Bring Your Own Device (BYOD), où les appareils personnels sont reliés au réseau de l’organisation, d’une part pour une question de coûts, et d’autre part pour éviter de trimbaler plusieurs appareils. La majorité des cliniciens ont déjà un appareil personnel, de toute façon. La question des quelques personnes qui n’en ont pas se posera évidemment.

Deux enjeux de sécurité se poseront alors: d’une part l’introduction de logiciels malveillants sur le réseau par les appareils mobiles, et d’autre part une vulnérabilité des données transférées de l’organisation vers les appareils mobiles. Afin de contrôler ces risques, plusieurs applications de gestion d’appareils mobiles offrent des fonctionnalités pour « sécuriser » les appareils en BYOD, une application de premier plan dans cette gamme est par exemple AirWatch. Je n’aime pas beaucoup ces logiciels, car je trouve qu’ils donnent à un employeur un accès démesuré aux appareils personnels de leurs employés; par exemple avec un contrôle des mises à jour, de l’installation de logiciels, en permettant à l’employeur de réinitialiser à distance l’appareil, etc. Évidemment, ceci dépend de la manière dont c’est géré, puisque ces logiciels offrent quand même la possibilité de compartimenter les éléments d’entreprise et de gérer uniquement ceux-ci. Mais je comprends l’enjeu. Ce sera donc aux cliniciens de bien peser le pour et le contre de donner un accès à leur appareil personnel à leur employeur.

Crédit image: basketman23 / 123RF Stock Photo

Laisser un commentaire

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l’aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.