Réseaux Wi-Fi en milieu hospitalier : trois règles d’or

Par Roger Hockaday, Directeur Marketing, Aruba Networks EMEA

Une conception orientée performance et non couverture

Imaginons le scénario suivant : vous venez de recevoir les réponses que vous attendiez suite à votre appel d’offres pour votre nouveau réseau sans fil. Sauf que la lecture des propositions commerciales vous laisse un tantinet perplexe.  

La première proposition est la plus économique et table sur moins de 100 points d’accès. Une seconde proposition propose, quant à elle, 135 points d’accès. Comment expliquer cette différence alors que les deux fournisseurs disposaient des mêmes plans et qu’ils ont tous les deux visité l’hôpital ? Pourquoi un écart aussi important ? Le Wi-Fi est partout le même… non?
En concevant un réseau sans fil, il est important de comprendre la différence entre couverture du réseau sans fil et capacité du réseau sans fil. Une conception orientée couverture permet de rendre le signal Wi-Fi disponible en tous lieux, peu importent les performances des connexions au réseau. Dans ce cas, les points d’accès sont généralement utilisés à leur puissance maximale (100 mW) et sont espacés de manière à éviter toute couverture redondante, même partielle, d’un périmètre par deux points d’accès. Cette approche minime le nombre de points d’accès à déployer, et permet ainsi à la première proposition d’être moins onéreuse. Rien de mal, a priori, à économiser…

Sauf que certaines règles restent immuables en matière de conception de réseau, plus particulièrement si vous souhaitez un réseau sans fil fiable. La relation entre les performances et la couverture est inversement proportionnelle. Plus un équipement Wi-Fi s’éloigne d’un point d’accès, plus son débit est faible. Les équipements Wi-Fi en périphérie d’une zone de couverture doivent ainsi se contenter de débits médiocres et seront certainement très lents. Trop lents pour des applications Voix (qui sont pourtant nombreuses en milieu hospitalier), et trop lents pour fournir une couverture de données fiable et cohérente pour les dossiers des patients, l’imagerie médicale (systèmes PACS mobiles notamment) et autres applications cliniques.  Les points d’accès peuvent également tomber en panne, ce qui pèse lourdement sur un réseau conçu dans une optique de couverture : les points d’accès avoisinants ne pourront pas augmenter leur puissance pour se substituer au point d’accès défaillant.

Ainsi, lorsqu’un fournisseur vous propose un nombre radicalement moindre de points d’accès, sachez qu’il ne tente pas de redéfinir les lois de la physique, mais qu’il est sans doute en train d’arrondir certains angles de sa proposition.

Une conception capable de maîtriser les interférences

Les réseaux Wi-Fi dans les hôpitaux, fonctionnent dans des environnements qui hébergent des équipements à l’origine de fréquences radio et électriques susceptibles d’interférer avec les communications réseau : téléphone sans fil 2.4Ghz, fours micro-ondes, systèmes de télémesure sans fil et même les réseaux Wi-Fi avoisinants. Ces sources émettent de manière continue ou intermittente, et, dans ce dernier cas, sont plus difficiles à identifier.

Les interférences pèsent sur les réseaux sans fil et les équipementiers se sont lourdement investis pour s’assurer que ces réseaux s’adaptent de manière souple à leur environnement. C’est une des raisons fondamentales pour laquelle un réseau sans fil utilise plusieurs fréquences de communication. En cas d’interférence momentanée ou continue, le point d’accès change de fréquence automatiquement et simplement, sans intervention d’un utilisateur. Notons que tous les fournisseurs n’ont pas retenu une approche normalisée pour la gestion des canaux, mais la grande majorité des utilisateurs choisissent une approche normalisée (appelée parfois microcell) pour des raisons pertinentes :

Au Royaume-Uni par exemple, le Gloucestershire Hospital NHS Foundation a de l’expérience dans l’utilisation de réseaux sans fil normalisés et adaptatifs. Le réseau fonctionne parfaitement en dépit de centaines de réseaux avoisinants, qui sont autant de sources potentielles d’interférences. Pour Steve Edwards, Responsable des services IT de l’hôpital, « D’un point de vue de l’architecture, une solution normalisée qui utilise des microcell et une gestion adaptative de l’environnement radio constitue une solution meilleure que le modèle basée sur l’utilisation d’une fréquence unique, en matière de maîtrise des interférences et parce que la solution est normalisée et non propriétaire. La meilleure des preuves se mesure au niveau des résultats des déploiements : notre équipe estime que notre réseau sans fil est plus simple à gérer, ne requiert pas de réglages en continu et permet de maîtriser le coût total de possession ».

Une sécurité intégrée et non rajoutée

Un signal sans fil se propage. Contrairement aux réseaux filaires, il n’est possible ni de facilement limiter leur périmètre, ni de contrôler les personnes qui captent le signal. La sécurité des réseaux sans fil est essentielle pour les hôpitaux qui doivent se conformer à la réglementation en matière de confidentialité des données des patients et des dossiers médicaux.

La bonne nouvelle est qu’en combinant une authentification 802.1x pour les utilisateurs et un chiffrement WPA2-AES des données, le réseau sans fil devient invulnérable aux attaques. Pour autant, le fait qu’un réseau sans fil soit sécurisé n’implique pas nécessairement que déployer cette sécurité soit simple.

Dans le passé, de nombreuses architectures sans fil ont privilégié une sécurité rajoutée, parfois en catimini. Les pare-feux, outils de détection et de prévention d’intrusions, et parfois un contrôle d’accès au réseau, sont autant d’éléments essentiels d’un réseau sans fil. Dans ce cas, comment expliquer que ces éléments restent encore trop souvent peu pris en compte, ou rajoutés en tant que composant supplémentaire ?

Le positionnement d’un pare-feu en dehors du réseau sans fil complique en effet la conception du réseau. Les utilisateurs de services Voix ne peuvent se déplacer en toute liberté, tandis que les utilisateurs sur le réseau sans fil ne sont pas sécurisés les uns des autres de manière efficace, car seul un compartimentage par VLAN est mis en place.

La détection et la prévention d’intrusion constituent également une technologie qui devrait s’activer de manière simple, et être intégrées à l’infrastructure sans fil. Sans cette technologie, la direction informatique ne dispose d’aucune visibilité sur les attaques et menaces sans fil, et sans intégration d’un système de détection d’intrusion au sein d’un réseau sans fil, il n’y a aucune visibilité sur les données sécurisées sur le réseau, ni de possibilité de corréler les utilisateurs du réseau (affichés sur l’interface d’administration du réseau sans fil) et les menaces identifiées (affichées sur une console distincte dédiée à la détection d’intrusion).

Enfin, une solution sans fil doit offrir un déploiement et une sécurité simples, capable de rassurer les responsables informatiques occupés, et de lui permettre de se concentrer sur des tâches plus prioritaires. C’est justement ce que mentionne un des responsables informatiques du Southampton University Hospital Trust : “Le réseau fonctionne comme je l’entends et fournit un environnement transparent pour nos collaborateurs, ainsi que des avantages concrets en matière de prise en charge des patients. Mieux, le réseau sans fil n’al
ourdit pas la charge de travail de l’équipe informatique ».