Retour 
L’IA a poussé les décideurs du milieu médical dans une situation pour le moins incertaine. Tandis que le débat sur l’utilisation de cette technologie se poursuivait, son intérêt était si manifeste pour certains que de nombreuses équipes n’ont pas attendu qu’elle soit officiellement examinée, réglementée ou protégée pour s’en servir.
Des praticiens utilisent ChatGPT pour leurs comptes rendus afin de gagner en efficacité, des équipes opérationnelles expérimentent des chatbots basés sur des agents pour fluidifier les processus, et les data scientists insèrent des outils SaaS au cœur de leurs chaînes de traitement. Compte tenu de son potentiel infini et de sa polyvalence, l’IA ne suit aucun plan préétabli : elle s’est simplement imposée un matin dans un onglet de navigation.
Cette dualité entre l’expérimentation spontanée et la rigueur de la gouvernance a constitué le point central du récent webinaire Cyber Strategies for Securing the AI Influx, destiné aux directeurs des systèmes d’information de la santé.
Au cours de cet échange, nous avons tracé une voie permettant de passer d’une « IA omniprésente et non gérée » à une « IA exploitée avec discernement et stratégie ». Dans cet article, je reviens sur les points clés du webinaire pour aider les acteurs de la santé à transformer l’IA en un avantage stratégique maîtrisé, en évitant qu’elle ne devienne une faille de sécurité.
Passer d’une utilisation par opportunité à une utilisation par conviction
La première erreur que commettent de nombreuses structures est de céder à l’appel de l’IA au seul motif de sa présence sur le marché.
Le groupe d’experts a assimilé cela aux balbutiements de la télémédecine durant la crise sanitaire, période où la rapidité de mise en service primait sur la structuration de la gouvernance et l’analyse des risques à long terme. C’est le scénario que redoute tout CISO : des données confidentielles s’échappent vers des outils d’IA et commencent à influencer des décisions cliniques ou opérationnelles sans aucun contrôle approprié. Par conséquent, vous ne risquez pas uniquement de compromettre les données de santé protégées (PHI), mais également vos modèles opérationnels, vos plans de développement et, plus grave encore, la résilience de vos systèmes et l’intégrité des soins prodigués.
Dès lors, avant de déployer l’IA, interrogez-vous sur la place de ses résultats au sein de vos flux opérationnels et sur l’impact d’une éventuelle défaillance. Des mesures automatiques, comme le verrouillage de compte par l’IA, bien qu’utiles en théorie, ne doivent en aucun cas perturber une opération chirurgicale ou inciter le personnel médical à contourner les règles de sécurité par nécessité.
Il ne faut pas pour autant basculer dans l’excès, d’un côté comme de l’autre. Si vous choisissez de « tout interdire », l’innovation s’arrête ; si vous choisissez de « tout permettre », votre maîtrise de la situation disparaît. L’objectif est de trouver un compromis : adopter des règles évolutives et une IA encadrée, tout en fixant des balises précises pour garantir la sécurité des données et la rapidité d’exécution.
Du « Département du Non » au « Département du Savoir »
Si l’IA impose un changement profond, c’est au cœur même de la culture de la gouvernance.
L’ancien modèle, bien connu de tous, fait de la sécurité le « bureau des refus » : un goulot d’étranglement où les requêtes sont si longuement retardées que l’on finit par renoncer à toute demande. Ce modèle est inadapté au milieu médical : les équipes soignantes passeront outre les blocages pour avancer, et les risques encourus dépassent de loin ceux d’un lancement de produit différé.
Plutôt que d’être associée au blocage, imaginez que la sécurité devienne l’endroit où l’on cherche des réponses : le « pôle de la connaissance », et non plus celui du refus. Des experts en sécurité capables d’identifier la localisation des données, leur parcours inter-systèmes, les solutions d’IA qui y accèdent et le cadre contractuel qui régit ces échanges.
Ce modèle implique que la sécurité gère un tiers des décisions de risque, tandis que les deux tiers restants sont répartis entre la conformité et la gouvernance des données. Adopter ce principe de répartition par tiers assure qu’aucune entité ne puisse agir seule en tant que juge et partie. Cette approche rompt avec l’idée que « le CISO est le seul responsable » et instaure une culture où la perception des risques de l’IA est authentiquement commune à tous.
La conversation change alors de nature. L’enjeu n’est plus de savoir « si c’est possible », mais plutôt de définir « ce qui doit être mis en place pour que ce soit réalisable sans risque »
« Le rôle de la sécurité ne doit pas être de tout imposer, de tout verrouiller et de décider seul de la stratégie à suivre sur tous les fronts. Il est nécessaire d’intégrer d’autres acteurs clés à la prise de décision. »
— Steven Ramirez, VP et Directeur de la Sécurité des Systèmes d'Information et de la Technologie (CISTO), Renown Health
Il est impossible de sécuriser ce que l’on feint d’ignorer
Après avoir privilégié la transformation numérique, l’IA impose désormais au secteur médical une nouvelle priorité : la transformation et la gouvernance des données. La puissance de l’IA dépend entièrement des données sous-jacentes ; dès lors, leur intégrité, leur appartenance et leur classification deviennent des impératifs absolus.
Même si de nombreuses structures retardent encore la découverte exhaustive de leurs données, rappelez-vous que l’IA tirera ses enseignements de la moindre donnée accessible. Par conséquent, fermer les yeux sur certaines vulnérabilités ne réduit pas le danger ; cela vous condamne simplement à constater les dégâts plus tard, à un stade où ils seront bien plus complexes à maîtriser.
Protéger l’IA exige de protéger la donnée à la source ; vous devez localiser les informations sensibles à l’arrêt, en circulation et en usage, puis déployer des protocoles de sécurité homogènes sur l’ensemble de la chaîne. Une telle approche exige une collaboration étroite entre la sécurité et la gestion des données : de même qu’il est impossible de sécuriser l’inconnu, les directeurs de données ne sauraient déployer l’IA sereinement sans une solide compréhension des enjeux de risque et de vie privée.
Le recours à des exercices de simulation d’incidents de sécurité IA en direct favorise une meilleure appréhension des menaces et une gestion plus rigoureuse de la qualité des informations. À plus grande échelle, cela consiste à délaisser une posture de blocage pour une posture d’accompagnement, la sécurité apportant alors la transparence et les cadres de référence permettant aux détenteurs de données de piloter sereinement l’usage de l’IA.
Le partenariat avec les utilisateurs l’emporte toujours sur l’interdiction : ceux qui sont au cœur de l’activité identifient mieux les exceptions et remonteront les alertes précocement s’ils considèrent la sécurité comme un allié et non comme un frein.
« L’IA nous impose en quelque sorte, après l’étape de la transformation digitale, de franchir le cap de la transformation des données, ce qui nécessite d’ancrer davantage la gouvernance et l’appropriation des données au sein de chaque pôle. »
— Steven Ramirez, VP et Directeur de la Sécurité des Systèmes d'Information et de la Technologie (CISTO), Renown Health
L’IA, entre vecteur d’attaque démultiplié et partenaire stratégique de protection
Au-delà de l’évolution des soins, l’IA transforme radicalement les cybermenaces. Les attaques de spear-phishing automatisées surpassent désormais les campagnes standards en efficacité, alors que des groupes étatiques injectent de l’IA dans chaque maillon de la chaîne d’attaque (kill chain), optimisant tout, de la reconnaissance à la charge utile.
Dès lors, les équipes de cybersécurité n’ont d’autre choix que de répliquer avec l’IA pour observer les flux, modéliser les comportements habituels et déceler toute anomalie suspecte de façon quasi instantanée. L’enjeu n’est plus de juxtaposer des outils déconnectés, mais de déployer un écosystème digital intégré où les plateformes interagissent nativement, garantissant une gouvernance uniforme et l’imbrication de l’IA dans le socle de votre dossier médical partagé.
Face à l’urgence, la gouvernance se renforce et le contrôle délaisse le rythme trimestriel au profit d’un suivi mensuel ou hebdomadaire. L’accélération des déploiements d’IA impose désormais d’évaluer les outils en un temps record, sans jamais renoncer à l’homogénéité des politiques de sécurité.
Le webinaire s’est achevé par la présentation de quatre mesures simples que vous pouvez mettre en œuvre dès maintenant :
- Ne vous contentez pas de corriger les bugs ; pensez aussi à des mesures de contrôle compensatoires : demandez-vous ce qui vous protège d’un incident grave si une nouvelle faille de sécurité exploitée par l’IA est découverte demain.
- Adoptez une posture de partenaire et de pédagogue, et non de censeur : pour maintenir votre influence, vous devez démontrer comment la sécurisation de l’IA sert concrètement les ambitions stratégiques de l’entreprise.
- Gérez l’expansion anarchique de l’IA et du SaaS : comprenez quels services sont sollicités, suivez le parcours des données et localisez les fonctions d’IA afin de déployer des mesures préventives avant qu’une perte de données ne survienne.
- Adoptez une posture proactive : soyez un moteur pour l’organisation, gardez le contrôle et concevez l’IA comme un programme de collaboration permanent plutôt que comme un chantier isolé.
Au bout du compte, évoluer d’une culture de l’interdiction vers une culture de la connaissance est ce qui vous permettra de canaliser la déferlante de l’IA : d’un facteur de désordre, elle deviendra un outil maîtrisé au service de la sécurité patient, de la gouvernance et d’une innovation éclairée.
« La mise en place d’une gouvernance et d’une protection des données solides assure la propreté des informations, nous donnant ainsi l’assurance d’exploiter des sources de données saines et parfaitement tracées. Cette approche oblige chacun à s’impliquer pour que l’attribution des rôles aux intendants et aux détenteurs de données soit effective et rigoureusement respectée. »
— Steven Ramirez, VP et Directeur de la Sécurité des Systèmes d'Information et de la Technologie (CISTO), Renown Health
Accédez au replay du webinaire et apprenez comment les décideurs cyber transforment leur fonction pour passer de censeurs à alliés stratégiques de la croissance. Découvrez comment imposer une stratégie Zero Trust et acquérir la visibilité instantanée requise pour protéger durablement le futur du secteur de la santé.
Vous allez au HIMSS 2026 ? Venez explorer le futur de la cybersécurité médicale et profitez d’une démonstration interactive en direct sur le stand Netskope n° 10107. Suivez toute l’actualité de Netskope au salon HIMSS en cliquant ici.
Lire le blog