Toujours à propos du BYOD, quelques éléments de réflexion

24 nov. 2014 - 12:48,

Tribune

- Cédric Cartau
On l'avait compris, la connexion d'un matériel non maîtrisé par l'institution au réseau interne a tendance à me donner de l'urticaire. Cela étant, il existe tout de même des pistes de travail, pour peu que certains principes restent respectés. Dans l'idéal, il faut raisonner par couches ou catalogue de services : on va découper l'approche BYOD en plusieurs strates, chacune correspondant à un service mis en œuvre par la DSI et implémentant également des règles de sécurité. L'idée est que plus on autorise, sur un terminal non maîtrisé, l'accès aux fonctionnalités du SIH, et plus les contraintes de sécurité doivent être respectées.

L'offre de services de base.
Il s'agit de mettre en œuvre la connexion automatique des smartphones personnels des agents à deux outils dont l'impact sur la productivité n'est plus à démontrer : la messagerie et l'agenda partagé. Cela n'a l'air de rien, mais bon nombre d'établissements n'ont pas encore mis cela en route sauf pour les smartphones acquis et déployés par l'établissement, la plupart du temps pour les directeurs ou cadres supérieurs. Qu'un médecin dans un établissement ne dispose pas de ce service semble totalement anachronique de nos jours. Cela va de pair avec la consultation de la messagerie en mode Webmail depuis le domicile. Le degré zéro de la sécurité consiste à autoriser la synchronisation mais se heurte au risque de vol ou perte du terminal : dans un monde parfait, il faut mettre en place un système d’appariement du terminal par des technologies de types clé (PKI), qui fonctionnent par exemple sur DropBox (le titulaire d'un compte peut, à distance, désappareiller un terminal et en effacer à distance les données).

L'offre avancée
Dans un second temps, il est possible d'autoriser la connexion des matériels individuels mais surtout pas au réseau interne : à un réseau Wifi totalement étanche du reste du LAN, séparé par un pare-feu et connecté à l'annuaire (AD) de l'établissement pour la gestion des connexions. Dans ce mode, seuls les personnels disposant d'un compte AD autorisé (dans le bon groupe) peuvent se connecter à ce réseau (qui est vu comme un VLAN) et accéder à un bouquet de services restreint et maîtrisé par la DSI : l'Intranet, le webmail (accessible sans passer par une connexion 3G), voire certaines applications en mode Web telle que la GED, le Vidal électronique, etc. Rien de bien différent avec l'accès par un réseau 3G si ce n'est que la DSI se positionne en « opérateur telco » interne et que le lien est filtré (derrière un pare-feu), passe par une rupture de flux (un reverse-proxy ou équivalent) et délivré uniquement aux personnels qui sont dans le bon groupe AD (dans un premier temps le corps médical, les cadres, etc.). Cela s'applique essentiellement aux applications en mode Web : certes il est possible de publier des applications C/S en mode TSE mais cela demande plus de mise en œuvre et les clients TSE ne sont pas disponibles sur toutes les plateformes. Là il devient quasi indispensable de mettre en place un appariement des terminaux, ce qui demande certes une gestion (maîtrisable) et augmente sérieusement le niveau de sécurité.

L'offre hi-tech
L'hôpital ne pourra pas être numérique sans l'accès à l'information partout, tout le temps et pour tout le monde, y compris les partenaires extérieurs (médecins, laboratoires de ville, etc.). De fait, l'établissement va devoir mettre en place des « portes d'accès » à son SIH pour permettre aux médecins de villes de consulter les données médicales de leurs patients, récupérer les comptes rendus, accéder aux agendas des confrères pour de la prise de rendez-vous, etc. Mettre en place ces accès et les ouvrir, en sus, aux personnels internes par le même réseau Wifi sécurisé que plus haut, ou par des liens sécurisés de type VPN lorsque ces mêmes personnels sont en situation de mobilité n'est pas un effort additionnel démesuré. Dans cette situation, l'appariement des terminaux connectés au SSID Wifi internet est indispensable, de même que la mise en place d'une authentification à deux facteurs (login / password plus mot de passe temporaire de type code SMS ou bataille navale) pour les connexions provenant de l'extérieur.

Conclusion
Dans chacune de ces offres, pas de connexion au LAN en direct, mais le respect de principes simples : rupture de flux, appariement des matériels, contrôle des connexions à partir d'AD, filtrage, etc. Si ces principes sont respectés, alors on peut envisager la connexion de matériels non maîtrisés mais uniquement à partir de zones contrôlées (VLAN, SSID identifiés, etc. Il y a là, me semble-t-il, pas mal de grain à moudre pour les cinq prochaines années et suffisamment de pistes de réflexions en termes de services rendus aux utilisateurs.

 

Avez-vous apprécié ce contenu ?

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

Contact

Nos marques

Logo DSIHLogo Thema Radiologie