Étiquette : byod

BYOD dans les établissements de santé ?

25787937_sJ’ai récemment publié deux billets sur l’évolution de la messagerie en établissement de santé, la fin des pagettes et les technologies de messagerie qui pourraient éventuellement prendre leur place.

Peu importe la technologie qui émergera, ou en attendant son arrivée, il est clair que les cliniciens utiliseront leurs appareils mobiles personnels pour échanger de l’information. Il est également évident que le système de santé fait face à un enjeu de sécurité et de confidentialité avec cette pratique.

Un article publié en avril décrit bien la problématique. L’information échangée par les cliniciens sur leurs appareils est bien sûr stockée sur ceux-ci, et la perte d’un appareil représente un risque pour les données personnelles de patients. Également, il est probable que cette information soit synchronisée avec un quelconque service d’infonuagique. Dans ce genre de cas, l’information personnelle, même si elle n’est pas stockée dans l’appareil, peut être facilement téléchargée avec les accès configurés dans celui-ci, ou encore peut devenir vulnérable à une brèche dans le service lui-même, comme on l’a vu à quelques reprises avec des brèches très médiatisées au courant des dernières années.

Une phrase importante de l’article est: « You can tell your employees all you want, ‘Don’t text, don’t text, don’t text,’ but they’re going to text. »

Je trouve que cette phrase illustre bien le problème: l’utilisation d’appareils personnels représente un certain risque, mais dans la situation actuelle, des failles équivalentes sinon pires existent. D’abord, l’actuelle absence de plateforme de communication (à l’exception du courriel interne, mais qui ne peut pas vraiment être utilisé dans la pratique clinique) force les cliniciens à utiliser les technologies qu’ils ont à leur disposition; ceci passe certainement par leurs appareils personnels et la messagerie texte. La combinaison pagette – téléphone fixe n’est tout simplement plus à la hauteur du niveau de productivité attendu de nos jours.

Par ailleurs, les cliniciens doivent aussi avoir de l’information clinique disponible pour eux-mêmes, surtout s’il n’y a pas de dossier informatisé en place. Ceci se manifeste par une liste de patients manuscrite ou imprimée sur papier, avec une liste de choses à faire durant la journée. Cette liste papier peut être oubliée quelque part, tomber d’une poche, etc. Les services de synchronisation dans le nuage peuvent être un risque de sécurité, mais au moins ils sont protégés par un mot de passe, un papier tombé par terre n’offre aucune sécurité !

J’ai déjà dit que je crois que la meilleure solution est un système de messagerie dédié, fonctionnant si possible à partir des serveurs d’une organisation mais qui permet aux cliniciens d’utiliser une application installée sur leurs propres appareils, qui conserve un historique limité, et qui peut encrypter les communications lorsqu’elles passent par un réseau public.

Lorsque ceci, ou un équivalent, se mettra en place, je crois que les cliniciens et les organisations seront tentées d’aller vers le modèle Bring Your Own Device (BYOD), où les appareils personnels sont reliés au réseau de l’organisation, d’une part pour une question de coûts, et d’autre part pour éviter de trimbaler plusieurs appareils. La majorité des cliniciens ont déjà un appareil personnel, de toute façon. La question des quelques personnes qui n’en ont pas se posera évidemment.

Deux enjeux de sécurité se poseront alors: d’une part l’introduction de logiciels malveillants sur le réseau par les appareils mobiles, et d’autre part une vulnérabilité des données transférées de l’organisation vers les appareils mobiles. Afin de contrôler ces risques, plusieurs applications de gestion d’appareils mobiles offrent des fonctionnalités pour « sécuriser » les appareils en BYOD, une application de premier plan dans cette gamme est par exemple AirWatch. Je n’aime pas beaucoup ces logiciels, car je trouve qu’ils donnent à un employeur un accès démesuré aux appareils personnels de leurs employés; par exemple avec un contrôle des mises à jour, de l’installation de logiciels, en permettant à l’employeur de réinitialiser à distance l’appareil, etc. Évidemment, ceci dépend de la manière dont c’est géré, puisque ces logiciels offrent quand même la possibilité de compartimenter les éléments d’entreprise et de gérer uniquement ceux-ci. Mais je comprends l’enjeu. Ce sera donc aux cliniciens de bien peser le pour et le contre de donner un accès à leur appareil personnel à leur employeur.

Crédit image: basketman23 / 123RF Stock Photo

La fin des pagettes approche-t-elle ?

90s items

J’écoutais récemment un bon épisode du podcast Healthcare Tech Talk à propos de l’utilisation des téléavertisseurs dans les hôpitaux. Le podcast est une entrevue avec un dirigeant d’une entreprise offrant une plateforme de messagerie texte sécurisée pour les hôpitaux, réalisée à la conférence HIMSS16 qui a eu lieu au début mars. Si on fait abstraction de l’aspect commercial de l’entrevue, il s’agit d’une bonne analyse de la situation actuelle et des alternatives qui commencent à être utilisées. En particulier, une partie de la discussion concerne plusieurs alternatives qui ont été développées au fil des ans et qui n’ont pas réussi à percer en raison de problèmes d’intégration au flot de travail; menant à un retour en force des pagettes. On commence heureusement à voir des alternatives viables apparaître sur le marché. Il faut souligner que la première utilisation des pagettes dans les hôpitaux remonte à 1956 à New York !

Quelques points intéressants:

  • Une étude (commanditée par la compagnie en question, il faut le dire…) a été menée sur environ 200 hôpitaux américains pour établir les coûts d’utilisation des pagettes; on parle d’environ 9$ par mois par appareil pour le service, et près de 180 000$ par année par hôpital pour les coûts de service et de maintenance de ces appareils désuets. Je me demande quels sont les coûts au Québec.
  • Plusieurs alternatives tentées au fil des ans n’ont pas été un succès, notamment des systèmes VoIP avec appareil portatif dédié, des téléphones portables de type « dumbphone » intégrés au réseau téléphonique de l’hôpital, etc. Un point important qui a mené à l’échec de ces solutions est qu’ils ne représentent pas une grande évolution par rapport au pagette; si la personne ne répond pas, on ne sait pas si c’est parce qu’elle est occupée ou si l’appareil est déchargé ou égaré. On se retrouve souvent à avoir un pagette en plus de cet autre appareil.
  • En pratique, on constate déjà que les cliniciens se textent à propos des patients, en utilisant leurs appareils personnels. Ce n’est bien sûr pas idéal du point de vue de la confidentialité, mais le gain d’efficience réalisé en n’ayant pas besoin de trouver un téléphone disponible, et en pouvant répondre en différé si on est occupé incite à utiliser ce mode de communication.
  • La meilleure alternative pour se débarasser des pagettes semble être le texto, probablement un système de messagerie multiplateforme disponible sur les ordinateurs de l’établissement (application desktop), et ayant une application disponible pour les appareils mobiles des cliniciens. Il est tout à fait possible pour un tel système d’être encrypté d’un bout à l’autre, et même de ne conserver aucune donnée sur les appareils personnels des cliniciens (à la Snapchat).
  • Un gain important d’un tel système est la confirmation de livraison des messages; avec le pagette on n’est jamais certain que le message s’est bien rendu à destination.
  • Bien sûr, ceci ramène au premier plan la controverse du BYOD.

J’ai bien hâte de voir si ces nouveaux systèmes de messagerie permettront de finalement laisser de côté cette technologie antique. Il faut quand même souligner qu’au Québec, cela fait moins de 5 ans que les téléphones cellulaires sont permis dans les hôpitaux, et qu’on est en général très en retard pour l’adoption de technologies, surtout dans le système de santé !

Prochaine étape, le fax ?

Crédit image: vintagio / 123RF Stock Photo

Plateformes de technologie en établissement de santé: BYOD, tablettes et sécurité

Pas de long billet aujourd’hui, vie oblige. Je prends quand même une minute pour mentionner un podcast que j’ai bien apprécié: l’épisode 49 de Healthcare Tech Talk.

C’est une entrevue avec un directeur des produits de santé chez VMWare. La discussion tourne autour des plateformes sur lesquelles sont installées les technologies et les applications cliniques en établissement de santé.

Quelques points tirés de cette entrevue avec lesquels je suis d’accord:

  • Le développement des applications cliniques devrait se faire d’une manière aussi « device-agnostic » que possible. Cela permet d’éviter d’être, par exemple, prisonnier d’un système de tablettes d’un manufacturier particulier dans le futur, ou de permettre l’utilisation sur un appareil mobile pour les gens qui le veulent vraiment.
  • Les tablettes sont souvent très décevantes lorsqu’on tente de les utiliser réellement en pratique clinique. La plupart des applications spécialisées que l’on utilise ne sont simplement pas conçues pour ça.
  • Les stratégies de sécurité basées sur un seul pare-feu, qui une fois franchi donne accès au réseau en entier, présentent un risque important.
  • Les systèmes devraient supporter l’authentification à deux facteurs.
  • Le temps où l’on pouvait déployer des applications sans se soucier d’avoir un plan en cas de défaillance est terminé. Auparavant, on pouvait se permettre de « revenir au papier » lorsque le système plantait. Si l’on veut vraiment utiliser l’informatique comme outil de travail central en santé, on ne peut plus se permettre cela. La fiabilité et la redondance doivent être une priorité.

Un point avec lequel je suis moins d’accord:

  • Le BYOD (bring your own device), que plusieurs personnes interprètent comme la permission d’apporter leur téléphone ou leur tablette personnelle pour accéder aux applications cliniques. Le podcast laisse entendre cela. Pourtant, ce qui risque d’arriver dans un mode BYOD, c’est que l’employeur va installer une application comme AirWatch pour verrouiller en profondeur l’appareil de l’employé afin de le « sécuriser ». L’employé se retrouve à avoir payé un appareil qui devient à toutes fins pratiques la propriété de l’employeur. Regardez par exemple la vidéo sur iOS 9 sur cette page pour voir toutes les possibilités qu’une installation de AirWatch sur un iPhone ou un iPad donnerait à un employeur.