Sécurité de l'IA en Santé : 6 Lignes Directrices pour une Adoption Sûre

Face à la pénurie persistante de cliniciens et à l’escalade des coûts des soins, les outils d’intelligence artificielle émergent comme une solution convaincante pour les organisations de santé. Ces technologies promettent d’augmenter les capacités des médecins, des infirmières, des équipes informatiques et du personnel de soutien, rationalisant les flux de travail quotidiens et améliorant l’efficacité. Cependant, l’intégration de l’IA dans les milieux de soins de santé a des implications significatives pour la sécurité des données des patients, nécessitant une approche rigoureuse de la mise en œuvre pour sauvegarder les informations sensibles et, surtout, les résultats des patients.

Clara Lin Hawking, cofondatrice et directrice exécutive de Kompass Education, souligne que la sécurité de l’IA transcende les mesures traditionnelles comme les pare-feu ou les mots de passe robustes. Au lieu de cela, elle met en évidence l’impératif d’une compréhension holistique des risques, opportunités et limitations inhérents associés au déploiement de l’IA, notant que cette prise de conscience doit imprégner chaque niveau d’une organisation.

Une stratégie fondamentale pour sécuriser l’IA dans les hôpitaux implique le déploiement d’instances privées ou hautement contrôlées d’outils d’IA. Pete Johnson, CTO de terrain pour l’intelligence artificielle chez CDW, préconise des solutions internes qui permettent aux cliniciens et au personnel d’expérimenter les applications d’IA sans exposer les données des patients à des plateformes publiques. Alternativement, les organisations peuvent tirer parti des modèles de cloud public de fournisseurs leaders comme Amazon, Microsoft et Google, qui incluent souvent des accords robustes de confidentialité des données. Johnson souligne que ces accords garantissent généralement que les données fournies par l’utilisateur, telles que les invites ou les requêtes, ne seront pas utilisées pour réentraîner les modèles d’IA sous-jacents, offrant une couche de protection même lorsque le programme d’IA n’est pas hébergé directement sur les locaux d’une organisation.

Au-delà des mesures préventives, un plan d’action robuste pour les incidents de sécurité potentiels est primordial. Ce plan doit détailler méticuleusement les réponses aux événements tels que les violations de données ou les tentatives généralisées de phishing visant la fraude financière. Hawking souligne le besoin critique pour les professionnels de l’informatique de comprendre en profondeur ces surfaces d’attaque en évolution et de construire des cadres complets pour y faire face. De tels cadres doivent englober toutes les facettes de l’écosystème informatique — matériel, logiciel, architecture — ainsi que des politiques et réglementations claires conçues pour atténuer ces menaces émergentes.

Alors que les organisations de santé s’engagent dans leur parcours avec l’IA, une approche mesurée et progressive est conseillée. Plutôt que d’exposer de vastes dépôts de données sensibles à de nouveaux systèmes d’IA, Johnson suggère de commencer modestement et de se concentrer sur des problèmes spécifiques et bien définis. Des exemples incluent l’utilisation de technologies d’écoute ambiante ou de systèmes de documentation intelligents, qui peuvent réduire considérablement la charge administrative des médecins et cliniciens sans intégrer immédiatement l’intégralité des avoirs de données d’une organisation.

Une autre mesure de sécurité cruciale implique d’exiger l’utilisation de comptes organisationnels pour toutes les interactions avec les outils d’IA. Hawking met en garde contre l’utilisation de comptes de messagerie personnels, car cela peut créer par inadvertance des points d’entrée non autorisés pour le partage de données, permettant potentiellement l’utilisation d’informations sensibles pour la formation de modèles sans consentement ou supervision explicites.

De plus, une équipe de supervision dédiée est essentielle pour valider tous les outils d’IA, indépendamment de l’endroit ou de la manière dont ils sont utilisés au sein de l’organisation. Hawking recommande que cette équipe soit multidisciplinaire, incorporant des parties prenantes des TI, des départements cliniques et même des groupes de défense des patients. L’objectif n’est pas d’étouffer l’innovation en verrouillant toute l’IA, mais plutôt d’assurer une compréhension approfondie des outils précisément utilisés et pourquoi, favorisant une culture d’adoption éclairée et responsable.

Enfin, une évaluation complète des risques associée à un audit complet des systèmes d’IA constitue la pierre angulaire d’une gouvernance solide. Cela permet aux organisations de santé d’identifier de manière proactive les risques potentiels de conformité réglementaire et de développer des politiques et des procédures appropriées pour l’utilisation responsable de l’IA générative et d’autres outils avancés. Hawking affirme qu’un tel aperçu approfondi est le point de départ indispensable pour établir une gouvernance efficace de l’IA au sein de toute institution de santé.