{"id":48168,"date":"2024-04-01T11:23:42","date_gmt":"2024-04-01T09:23:42","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=48168"},"modified":"2024-05-02T16:59:15","modified_gmt":"2024-05-02T14:59:15","slug":"la-cybersecurite-en-sante-en-dix-points-cles","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/la-cybersecurite-en-sante-en-dix-points-cles\/","title":{"rendered":"La cybers\u00e9curit\u00e9 en sant\u00e9 en dix points cl\u00e9s"},"content":{"rendered":"Temps de lecture\u00a0: <\/span> 11<\/span> minutes<\/span><\/span>

Un rapport de l\u2019indice X-force Threat Intelligence de 2024 a r\u00e9v\u00e9l\u00e9 une augmentation de 71\u2009% des cyberattaques ciblant les identit\u00e9s vol\u00e9es en 2023 par rapport \u00e0 2022\u00a0[1]. De mai 2021 \u00e0 juin 2022, l\u2019Agence de l\u2019Union europ\u00e9enne pour la cybers\u00e9curit\u00e9 \u2013 European Union Agency for Cybersecurity (ENISA) \u2013 a recens\u00e9 623\u00a0incidents de ran\u00e7ongiciel (ransomware)<\/i> dans les \u00c9tats membres, les soins de sant\u00e9 constituant le cinqui\u00e8me secteur le plus cibl\u00e9\u00a0[2].\u00a0<\/span><\/p>\n

1\u2009\u2022\u2009Les protocoles de s\u00e9curit\u00e9<\/h1>\n

Les protocoles de s\u00e9curit\u00e9 en cybers\u00e9curit\u00e9 sont des processus bas\u00e9s sur des r\u00e8gles int\u00e9grant les composantes de s\u00e9curit\u00e9 op\u00e9rationnelle d\u2019un syst\u00e8me afin de contr\u00f4ler et de prot\u00e9ger les infrastructures essentielles contre les d\u00e9faillances accidentelles et les cybermenaces. Ces processus incluent l\u2019\u00e9valuation des syst\u00e8mes pour g\u00e9n\u00e9rer des niveaux d\u2019int\u00e9grit\u00e9 de s\u00e9curit\u00e9 et des niveaux d\u2019assurance de s\u00e9curit\u00e9\u00a0[3].<\/p>\n

Des politiques et des protocoles efficaces dans les syst\u00e8mes de sant\u00e9 exigent un leadership favorable, des politiques propres aux soins de sant\u00e9 int\u00e9gr\u00e9es dans tous les services \u2013 y compris les ressources humaines, les soins infirmiers, les services juridiques et la s\u00e9curit\u00e9 \u2013, ainsi que la cr\u00e9ation d\u2019une \u00e9quipe d\u2019\u00e9valuation des menaces\u00a0[4].<\/p>\n

>><\/strong>\u2009En 2023, Ardent Health Services, \u00e0 Nashville (Tennessee), a \u00e9t\u00e9 touch\u00e9e par une attaque de ran\u00e7ongiciel. L\u2019organisation a adopt\u00e9 de mani\u00e8re proactive un protocole de s\u00e9curit\u00e9 en mettant son r\u00e9seau hors ligne et en suspendant l\u2019acc\u00e8s des utilisateurs aux applications et aux serveurs, minimisant ainsi les perturbations dans les soins aux patients\u00a0[5], tout en maintenant sans encombre ses op\u00e9rations commerciales.<\/p>\n

Tous les acteurs de la sant\u00e9 au sein d\u2019une organisation peuvent contribuer \u00e0 l\u2019\u00e9laboration de protocoles de s\u00e9curit\u00e9 num\u00e9rique. Des protocoles devraient \u00eatre \u00e9tablis pour la planification des incidents, permettant une intervention imm\u00e9diate en cas d\u2019attaque\u00a0[6].\u00a0<\/span><\/p>\n

2\u2009\u2022\u2009La protection des donn\u00e9es<\/h1>\n

La confidentialit\u00e9 des donn\u00e9es, \u00e9l\u00e9ment essentiel, concerne le stockage, l\u2019acc\u00e8s, la conservation et la s\u00e9curisation des donn\u00e9es sensibles ou personnelles, impliquant des cadres juridiques, des politiques et des interactions s\u00e9curis\u00e9es avec des tiers\u00a0[7]. Les garde-fous sont des mesures de protection qui assurent une utilisation responsable des technologies\u00a0[8]. Les attaques de donn\u00e9es ont co\u00fbt\u00e9 au secteur de la sant\u00e9 mondial environ 7,13 millions de dollars\u00a0[9].\u00a0<\/span><\/p>\n

>><\/strong>\u2009En janvier 2024, le D\u00e9partement de la sant\u00e9 et des services humains des \u00c9tats-Unis a signal\u00e9 8 800 875\u00a0violations de dossiers m\u00e9dicaux, 4 cyberattaques et 2\u2009385\u2009646\u00a0donn\u00e9es de personnes compromises\u00a0[10].\u00a0<\/span><\/p>\n

Aux \u00c9tats-Unis et en Europe, des r\u00e9glementations telles que la Children\u2019s Online Privacy Protection Act, la Health Insurance Portability and Accountability Act (HIPAA) et le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es ont \u00e9t\u00e9 adopt\u00e9es pour assurer la s\u00e9curit\u00e9 des donn\u00e9es.<\/p>\n

Les exemples de violations comprennent les ransomwares<\/i> et les attaques DDoS (Distributed Denial of Service), o\u00f9 des donn\u00e9es de patients ou d\u2019employ\u00e9s sont utilis\u00e9es \u00e0 des fins frauduleuses. Le logiciel malveillant vise \u00e0 perturber, endommager ou acc\u00e9der ill\u00e9galement \u00e0 un syst\u00e8me informatique, tandis que le ransomware<\/i> implique une infection crypt\u00e9e qui reste active jusqu\u2019au paiement d\u2019une ran\u00e7on. Une attaque DDoS consiste en une s\u00e9rie de fausses demandes de connexion pour d\u00e9connecter un serveur\u00a0[11].<\/p>\n

Une strat\u00e9gie compl\u00e8te de confidentialit\u00e9 des donn\u00e9es exige la connaissance des lois r\u00e9gionales, la restriction stricte de l\u2019acc\u00e8s ill\u00e9gal aux donn\u00e9es confidentielles et l\u2019optimisation de l\u2019architecture de s\u00e9curit\u00e9. Les m\u00e9thodes telles que le piratage \u00e9thique, impliquant l\u2019embauche de hackers<\/i> pour am\u00e9liorer la s\u00e9curit\u00e9, sont elles aussi importantes\u00a0[1].<\/p>\n

3\u2009\u2022\u2009L\u2019\u00e9valuation des risques li\u00e9s \u00e0 l\u2019intelligence artificielle<\/h1>\n

Les \u00e9valuations des risques sur les donn\u00e9es et les mod\u00e8les d\u2019intelligence artificielle (IA) dans le domaine de la sant\u00e9 impliquent l\u2019examen des risques potentiels li\u00e9s \u00e0 l\u2019utilisation des algorithmes et des donn\u00e9es d\u2019IA dans le diagnostic, le traitement et la gestion m\u00e9dicale. Ces \u00e9valuations visent \u00e0 identifier et \u00e0 att\u00e9nuer les probl\u00e8mes li\u00e9s \u00e0 la qualit\u00e9 des donn\u00e9es, \u00e0 la pr\u00e9cision du mod\u00e8le, aux biais et \u00e0 la g\u00e9n\u00e9ralisation, afin de garantir la s\u00e9curit\u00e9, l\u2019efficacit\u00e9 et la fiabilit\u00e9 des syst\u00e8mes d\u2019IA\u00a0[12]. Il est crucial de surveiller et de mettre \u00e0 jour r\u00e9guli\u00e8rement les mod\u00e8les d\u2019IA, en particulier face aux maladies \u00e9mergentes, pour pr\u00e9venir les erreurs et s\u2019adapter aux nouveaux d\u00e9fis.<\/p>\n

>><\/strong>\u2009En 2020, l\u2019h\u00f4pital g\u00e9n\u00e9ral de l\u2019Arm\u00e9e populaire chinoise a rencontr\u00e9 un d\u00e9fi majeur lorsque 21 patients atteints de Covid-19 ont \u00e9t\u00e9 incorrectement diagnostiqu\u00e9s comme pr\u00e9sentant des nodules de cancer du poumon \u00e0 haut risque par un syst\u00e8me d\u2019IA, en raison de son incapacit\u00e9 \u00e0 reconna\u00eetre la nouvelle pr\u00e9sentation d\u2019imagerie associ\u00e9e \u00e0 la Covid-19\u00a0[13].<\/p>\n

Les mesures d\u2019att\u00e9nuation incluent la formation des mod\u00e8les sur des ensembles de donn\u00e9es repr\u00e9sentatifs de diverses populations et maladies, afin d\u2019\u00e9viter les biais et d\u2019assurer la g\u00e9n\u00e9ralisation.\u00a0<\/span><\/p>\n

Il est \u00e9galement essentiel de mettre r\u00e9guli\u00e8rement \u00e0 jour les donn\u00e9es avec de nouvelles informations et tendances \u00e9mergentes. Pour promouvoir l\u2019\u00e9quit\u00e9 en IA dans les \u00e9tablissements de sant\u00e9, il est n\u00e9cessaire de d\u00e9velopper des strat\u00e9gies pour lutter contre les biais\u00a0[14].\u00a0<\/span><\/p>\n

L\u2019IA ne doit pas remplacer les m\u00e9decins, mais bien compl\u00e9ter leur expertise dans une approche collaborative. Les syst\u00e8mes doivent \u00eatre con\u00e7us pour que les humains puissent examiner et outrepasser les d\u00e9cisions prises par l\u2019IA\u00a0[15]. Il est crucial de former les professionnels de la sant\u00e9 sur les limites de l\u2019IA et son utilisation responsable.<\/p>\n

4\u2009\u2022\u2009Les comit\u00e9s d\u2019\u00e9thique\u00a0<\/span><\/h1>\n

Les comit\u00e9s de responsabilit\u00e9 et d\u2019\u00e9thique jouent un r\u00f4le majeur en tant qu\u2019organes de gouvernance pour garantir que les activit\u00e9s technologiques respectent les principes \u00e9thiques, fournissant ainsi un cadre pour le d\u00e9veloppement \u00e9thique, le d\u00e9ploiement et l\u2019\u00e9valuation continue des technologies d\u2019IA dans les soins de sant\u00e9\u00a0[16]. Ces comit\u00e9s sont essentiels pour r\u00e9soudre les dilemmes \u00e9thiques et assurer une utilisation responsable de la technologie dans les soins de sant\u00e9\u00a0[17].<\/p>\n

>><\/strong>\u2009Dans les ann\u00e9es 1980, l\u2019appareil de radioth\u00e9rapie Therac-25 a pr\u00e9sent\u00e9 des erreurs logicielles, entra\u00eenant au moins six cas de patients ayant re\u00e7u des doses l\u00e9tales de rayonnement. Ce tragique incident a mis en lumi\u00e8re des lacunes dans la surveillance r\u00e9glementaire\u2009: la machine n\u2019avait pas \u00e9t\u00e9 soumise \u00e0 des tests ind\u00e9pendants suffisants avant sa mise en service. L\u2019affaire Therac-25 a soulign\u00e9 l\u2019importance d\u2019une conception responsable de l\u2019interface utilisateur, de tests logiciels approfondis, de garanties mat\u00e9rielles et de la n\u00e9cessit\u00e9 de comit\u00e9s d\u2019\u00e9thique et de protocoles robustes pour superviser le d\u00e9veloppement et le d\u00e9ploiement des dispositifs m\u00e9dicaux, en veillant \u00e0 ce que la s\u00e9curit\u00e9 et l\u2019\u00e9thique soient prioritaires pour pr\u00e9venir de telles trag\u00e9dies\u00a0[18].<\/p>\n

5\u2009\u2022\u2009La surveillance continue<\/h1>\n

Ces derni\u00e8res ann\u00e9es, 55 % des attaques contre les syst\u00e8mes de sant\u00e9 ont perturb\u00e9 les r\u00e9seaux et les services hospitaliers, et 18 % ont endommag\u00e9 des \u00e9quipements m\u00e9dicaux essentiels tels que des implants, des dispositifs IoT et des appareils connect\u00e9s \u00e0 des logiciels, entra\u00eenant de graves blessures chez des patients\u00a0[9].\u00a0<\/span><\/p>\n

Les vuln\u00e9rabilit\u00e9s peuvent \u00eatre corrig\u00e9es d\u00e8s leur d\u00e9tection gr\u00e2ce \u00e0 la gestion et au blocage des correctifs\u00a0[19], tandis que la surveillance continue filtre les activit\u00e9s d\u00e9viant de la norme. Les syst\u00e8mes de s\u00e9curit\u00e9 IA peuvent analyser les donn\u00e9es et alerter les parties prenantes en cas d\u2019activit\u00e9 anormale. Les applications de syst\u00e8mes d\u2019IA comprennent l\u2019utilisation de l\u2019apprentissage automatique pour la d\u00e9tection des anomalies, l\u2019analyse comportementale bas\u00e9e sur des mod\u00e8les pr\u00e9\u00e9tablis et la surveillance des syst\u00e8mes d\u00e9ploy\u00e9s pour surveiller l\u2019acc\u00e8s et les activit\u00e9s des utilisateurs\u00a0[20].<\/p>\n

>><\/strong>\u2009En octobre 2014, la base de donn\u00e9es des patients du centre de sant\u00e9 de l\u2019universit\u00e9 de Californie, \u00e0 Los\u00a0Angeles, a \u00e9t\u00e9 compromise, entra\u00eenant une amende de 7,5 millions de dollars pour violation du protocole de notification des violations de la loi HIPAA en raison d\u2019un retard dans la notification de la violation\u00a0[21]. Cet incident souligne la n\u00e9cessit\u00e9 d\u2019une surveillance et d\u2019alertes continues en temps r\u00e9el, ainsi que la n\u00e9cessit\u00e9 d\u2019un protocole clair pour r\u00e9pondre aux exigences r\u00e9glementaires en signalant les incidents d\u00e8s leur d\u00e9tection.<\/p>\n

Le National Institute of Standards and Technology SP 800-37 sugg\u00e8re qu\u2019un programme de surveillance continue efficace devrait mettre en \u0153uvre des politiques et des protocoles pour la surveillance continue, y compris des processus de gestion et de contr\u00f4le de la configuration ; des analyses des impacts sur la s\u00e9curit\u00e9 des changements propos\u00e9s ou r\u00e9els au syst\u00e8me d\u2019information et \u00e0 son environnement op\u00e9rationnel ; l\u2019\u00e9valuation des contr\u00f4les de s\u00e9curit\u00e9 utilis\u00e9s dans le syst\u00e8me d\u2019information et h\u00e9rit\u00e9s de celui-ci, et enfin la g\u00e9n\u00e9ration de rapports sur l\u2019\u00e9tat de la s\u00e9curit\u00e9 \u00e0 l\u2019intention des responsables organisationnels appropri\u00e9s [22].\u00a0<\/span><\/p>\n

Garder une longueur d\u2019avance sur les menaces gr\u00e2ce \u00e0 la recherche est l\u2019une des meilleures strat\u00e9gies pour prot\u00e9ger un syst\u00e8me de sant\u00e9.<\/p><\/blockquote>\n

6\u2009\u2022\u2009La conformit\u00e9 r\u00e9glementaire<\/h1>\n

La conformit\u00e9 r\u00e9glementaire dans les organisations de soins de sant\u00e9 implique le respect d\u2019un ensemble complexe de lois, r\u00e8glements et normes visant \u00e0 assurer la s\u00e9curit\u00e9, la confidentialit\u00e9 et la qualit\u00e9 des soins aux patients.\u00a0<\/span><\/p>\n

La conformit\u00e9 n\u2019est pas seulement une exigence l\u00e9gale, c\u2019est aussi une composante essentielle de la gestion des risques et de la confiance des patients\u00a0[23]. Les organisations de soins de sant\u00e9 doivent mettre en \u0153uvre des programmes de conformit\u00e9 complets et veiller \u00e0 ce que tout le personnel re\u00e7oive une formation ad\u00e9quate sur les protocoles et les r\u00e9glementations pour pr\u00e9venir les sanctions juridiques, les pertes financi\u00e8res et les dommages \u00e0 la r\u00e9putation.<\/p>\n

>>\u2009<\/strong>En ao\u00fbt 2013, Advocate Health Care a \u00e9t\u00e9 victime d\u2019une violation de donn\u00e9es qui a compromis 4,03 millions d\u2019informations sur les patients, y compris les cartes de cr\u00e9dit et les d\u00e9tails de l\u2019assurance maladie, en raison d\u2019une faute professionnelle et de n\u00e9gligence lors de la mise en \u0153uvre du chiffrement de base des donn\u00e9es, constituant une violation des normes de protection des donn\u00e9es de la HIPAA. Par la suite, le minist\u00e8re am\u00e9ricain de la Sant\u00e9 et des Services sociaux a impos\u00e9 une amende de 5,55 millions de dollars. La pr\u00e9vention de tels incidents est possible gr\u00e2ce aux contr\u00f4les de s\u00e9curit\u00e9 sp\u00e9cifi\u00e9s dans la norme ISO 27001, qui mettent en \u00e9vidence les processus de cryptage des donn\u00e9es sensibles\u00a0[21].<\/p>\n

L\u2019att\u00e9nuation implique la r\u00e9alisation d\u2019audits de conformit\u00e9 r\u00e9guliers pour identifier les lacunes et permettre des mesures correctives en temps opportun. Des organisations telles que Saif Check effectuent des audits et \u00e9valuent les risques. Une autre strat\u00e9gie consiste \u00e0 prot\u00e9ger les informations avec un cryptage et des mises \u00e0 jour r\u00e9guli\u00e8res des correctifs\u00a0[24].<\/p>\n

7\u2009\u2022\u2009La transparence<\/h1>\n

La transparence dans les syst\u00e8mes d\u2019IA de soins de sant\u00e9 fait r\u00e9f\u00e9rence \u00e0 la capacit\u00e9 de comprendre et d\u2019interpr\u00e9ter les processus d\u00e9cisionnels de ces syst\u00e8mes. Il s\u2019agit de rendre les algorithmes, les donn\u00e9es et le raisonnement derri\u00e8re les d\u00e9cisions d\u2019IA clairs pour les utilisateurs finaux et de valider la pr\u00e9cision du diagnostic\u00a0[25]. La transparence vise \u00e0 am\u00e9liorer l\u2019exp\u00e9rience des patients et la prestation de soins.<\/p>\n

>><\/strong>\u2009En 2018, Nature Medicine a publi\u00e9 le cas d\u2019une application de diagnostic du cancer de la peau bas\u00e9e sur l\u2019IA, pr\u00e9sentant une pr\u00e9cision diagnostique \u00e9lev\u00e9e par rapport aux homologues humains. Cependant, l\u2019examen du mod\u00e8le a r\u00e9v\u00e9l\u00e9 qu\u2019il se fondait sur la pr\u00e9sence d\u2019une r\u00e8gle ou d\u2019une pi\u00e8ce de monnaie dans l\u2019image pour effectuer un diagnostic, cr\u00e9ant ainsi un biais involontaire \u00e0 partir des donn\u00e9es d\u2019entra\u00eenement et rendant l\u2019application peu fiable pour les sc\u00e9narios r\u00e9els\u00a0[26]. Le manque de transparence dans le processus d\u00e9cisionnel du mod\u00e8le d\u2019IA a rendu difficile pour les dermatologues de faire confiance aux diagnostics pos\u00e9s et a cr\u00e9\u00e9 des probl\u00e8mes de confiance entre les patients et les dermatologues, illustrant l\u2019importance de l\u2019interpr\u00e9tabilit\u00e9 dans les interfaces utilisateur. Dans ce cas, le manque de transparence a conduit \u00e0 une d\u00e9pendance \u00e0 l\u2019\u00e9gard d\u2019une caract\u00e9ristique peu fiable, entra\u00eenant ainsi des diagnostics erron\u00e9s\u00a0[27]. Les mod\u00e8les explicables utilisent des techniques pour fournir des informations statistiques sur les processus de prise de d\u00e9cision\u00a0[28], rendant ainsi le syst\u00e8me d\u00e8s le d\u00e9part compr\u00e9hensible\u00a0[29].<\/p>\n

8\u2009\u2022\u2009\u2009La surveillance humaine<\/h1>\n

Bien que la technologie, y compris les syst\u00e8mes d\u2019IA, joue un r\u00f4le crucial dans l\u2019am\u00e9lioration des mesures de s\u00e9curit\u00e9, l\u2019\u00e9l\u00e9ment humain reste irrempla\u00e7able pour garantir la bonne ex\u00e9cution et le respect de ces protocoles\u00a0[30]. La surveillance humaine implique la participation active des \u00e9quipes informatiques, des experts en s\u00e9curit\u00e9 et du leadership organisationnel dans l\u2019\u00e9tablissement, l\u2019application et l\u2019examen continu des mesures de s\u00e9curit\u00e9 telles que l\u2019authentification multifactorielle (MFA) et la gestion des acc\u00e8s privil\u00e9gi\u00e9s\u00a0[31]. En favorisant une culture de sensibilisation et de responsabilisation en mati\u00e8re de s\u00e9curit\u00e9, les organisations peuvent att\u00e9nuer les risques et se pr\u00e9munir contre les menaces potentielles\u00a0[32].<\/p>\n

>><\/strong>\u2009En janvier 2022, lors d\u2019une violation de donn\u00e9es, Broward Health a impact\u00e9 1,3 million de patients, ses employ\u00e9s n\u2019ayant pas mis en \u0153uvre l\u2019authentification multifactorielle et un fournisseur m\u00e9dical tiers ayant obtenu un acc\u00e8s ill\u00e9gal \u00e0 la base de donn\u00e9es patients. Les composantes de surveillance humaine auraient pu att\u00e9nuer cette violation de donn\u00e9es, par exemple, par des \u00e9quipes des syst\u00e8mes d\u2019information insistant sur l\u2019authentification multifactorielle des employ\u00e9s et la s\u00e9curisation de l\u2019acc\u00e8s au r\u00e9seau priv\u00e9\u00a0[21]. Les logiciels et les syst\u00e8mes d\u2019IA sont capables d\u2019ex\u00e9cuter des fonctions rapides, mais la fourniture de protocoles et la surveillance restent une responsabilit\u00e9 humaine qui, si elle est n\u00e9glig\u00e9e, cr\u00e9e un environnement propice au piratage.<\/p>\n

9\u2009\u2022\u2009\u2009L\u2019\u00e9ducation et la sensibilisation aux technologies<\/h1>\n

L\u2019\u00e9ducation technologique dans le milieu de la sant\u00e9 facilite l\u2019acquisition de connaissances, am\u00e9liore les comp\u00e9tences d\u00e9cisionnelles, et renforce la perception de la variabilit\u00e9, de la coordination et de la pratique lors d\u2019\u00e9v\u00e9nements rares ou critiques\u00a0[33]. L\u2019erreur humaine est identifi\u00e9e comme l\u2019un des principaux risques de cybers\u00e9curit\u00e9 pour les h\u00f4pitaux, selon le Pr\u00a0Sabina Magalini\u00a0[2], soulignant ainsi l\u2019importance de la conscience humaine pour pr\u00e9venir les risques potentiels.<\/p>\n

La plupart des erreurs de m\u00e9dication sont li\u00e9es \u00e0 des doses incorrectes, ce qui incite le projet de d\u00e9veloppement de mesures de s\u00e9curit\u00e9 des m\u00e9dicaments de l\u2019Agency for Healthcare Research and Quality (AHRQ) \u00e0 \u00e9laborer des mesures valid\u00e9es pour pr\u00e9venir les erreurs telles que les mauvais patients, les mauvaises doses, les mauvais m\u00e9dicaments, les mauvaises routes et les mauvaises fr\u00e9quences de prescription dans les syst\u00e8mes de dossiers de sant\u00e9 \u00e9lectroniques (DSE), afin de mieux comprendre et de saisir les \u00e9v\u00e9nements li\u00e9s \u00e0 la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information en sant\u00e9\u00a0[34]. Un autre risque pour les employ\u00e9s r\u00e9side dans l\u2019hame\u00e7onnage, avec l\u2019ouverture d\u2019un e-mail contenant des liens malveillants, permettant \u00e0 des logiciels malveillants de s\u2019introduire dans le syst\u00e8me.<\/p>\n

Les strat\u00e9gies d\u2019att\u00e9nuation compren\u00adnent une formation continue sur l\u2019utilisation s\u00e9curitaire de la technologie, offerte \u00e0 tout le personnel de l\u2019h\u00f4pital, pouvant \u00eatre facilit\u00e9e par des webinaires. Les utilisateurs finaux doivent aussi changer fr\u00e9quemment leurs mots de passe pour des mots de passe forts, s\u2019abstenir de laisser les appareils sans surveillance, et \u00e9viter de se connecter \u00e0 un wifi non s\u00e9curis\u00e9. Les administrateurs hospitaliers sont encourag\u00e9s \u00e0 organiser des exercices de simulation chaque ann\u00e9e, o\u00f9 les le\u00e7ons tir\u00e9es des attaques r\u00e9centes devraient \u00eatre enseign\u00e9es pour \u00e9viter de r\u00e9p\u00e9ter des erreurs similaires\u00a0[35].<\/p>\n

10\u2009\u2022\u2009La contribution \u00e0 la recherche<\/h1>\n

En s\u2019engageant dans des publications de recherche \u00e0 jour, les h\u00f4pitaux peuvent \u00eatre \u00e0 l\u2019avant-garde de la connaissance des menaces potentielles et de la fa\u00e7on dont d\u2019autres ont att\u00e9nu\u00e9 ces menaces. C\u2019est \u00e9galement une opportunit\u00e9 de d\u00e9velopper des solutions innovantes en collaboration avec d\u2019autres organisations.\u00a0<\/span><\/p>\n

Garder une longueur d\u2019avance sur les menaces gr\u00e2ce \u00e0 la recherche est l\u2019une des meilleures strat\u00e9gies pour prot\u00e9ger un syst\u00e8me de sant\u00e9. Une tendance est d\u2019utiliser l\u2019IA pour identifier et r\u00e9soudre les vuln\u00e9rabilit\u00e9s du syst\u00e8me, une autre est d\u2019utiliser la blockchain<\/i> pour stocker des donn\u00e9es crypt\u00e9es. La recherche en cryptographie quantique explore \u00e9galement des m\u00e9thodes de s\u00e9curit\u00e9 cryptographique de haut niveau pour assurer la s\u00e9curit\u00e9 des syst\u00e8mes.<\/p>\n

La confiance des patients est fondamentale pour l\u2019offre de services des \u00e9tablissements de sant\u00e9, et les violations de donn\u00e9es et les menaces \u00e0 la s\u00e9curit\u00e9 engendrent un sentiment de m\u00e9fiance entre les professionnels de la sant\u00e9 et les patients. \u00c0 l\u2019\u00e8re de l\u2019IA, la s\u00e9curit\u00e9 doit tenir compte des tendances de la recherche, des \u00e9quipements m\u00e9dicaux connect\u00e9s, des syst\u00e8mes d\u2019information hospitaliers, de l\u2019\u00e9ducation et de la formation sur la cybers\u00e9curit\u00e9, et de la sensibilisation avanc\u00e9e \u00e0 des types d\u2019attaques sp\u00e9cifiques.<\/p>\n

Traduction de Jean-Pierre Nordmann\u00a0<\/span><\/strong><\/p>\n

 <\/p>\n

\n

R\u00e9f\u00e9rences<\/strong><\/p>\n

[1] IBM, \u201cWhat is Penetration Testing?\u201d, 2024. www.ibm.com<\/a><\/p>\n

[2] T. Cassauwers, \u201cThe race to make hospitals cybersecure. Horizon\u201d, The EU Research & Innovation Magazine<\/i>, 2023, 24 May.<\/p>\n

[3] M. \u015aliwi\u0144ski, E. Piesik, J. Piesik, \u201cIntegrated functional safety and cyber security analysis\u201d, IFAC-PapersOnLine<\/i>, vol. 51, issue 24, 2018, 1263-1270.<\/p>\n

[4] J. Ferenc, \u201cEstablishing a hospital security plan that works\u201d, Healthcare Facilities Management<\/i>, Oct. 20, 2016.<\/p>\n

[5] H. Landi, \u201cArdent Health Services hit with ransomware attack, forcing hospitals in multiple states to divert ambulances\u201d, Fierce Healthcare<\/i>, Nov. 27, 2023.<\/p>\n

[6] P.F. Edemekong, P.\u2009Annamaraju, M.J. Haydel, \u201cHealth Insurance Portability and Accountability\u201d, StatPearls Publishing, 2024 Jan.<\/p>\n

[7] S.J. Bigelow, \u201cData privacy (information privacy)\u201d, August 2022 – www.techtarget.com<\/a><\/p>\n

[8] A. McFarland, \u201cGuarding the Future: The Essential Role of Guardrails in AI\u201d – www.unite.ai<\/a><\/p>\n

[9] L. Wasserman,Y. Wasserman, \u201cHospital cybersecurity risks and gaps: Review (for the non-cyber professional)\u201d, Front. Digit. Health<\/i>, 11 August 2022, vol.4, 202.<\/p>\n

[10] S. Alder, \u201cJanuary 2024 Healthcare Data Breach Report\u201d, The HIPAA Journal<\/i>, 21 Feb 2024.<\/p>\n

[11] B. Lutkevich, \u201cDistributed denial-of-service (DDoS) attack\u201d – www.techtarget.com<\/a><\/p>\n

[12] A.L. Beam, I.S. Kohane, \u201cBig Data and Machine Learning in Health Care\u201d, JAMA<\/i>, 2018;319(13), 1317-1318.<\/p>\n

[13] X.Y. Wu, F. Ding, K. Li, W.C. Huang, Y. Zhang, J. Zhu, \u201cAnalysis of the Causes of Solitary Pulmonary Nodule Misdiagnosed as Lung Cancer by Using Artificial Intelligence: A Retrospective Study at a Single Center\u201d, Diagnostics<\/i>, 2022;12(9), 2218.<\/p>\n

[14] D. Ueda, T. Kakinuma, S. Fujita, K. Kamagata et al.<\/i>, \u201cFairness of artificial intelligence in healthcare: review and recommendations\u201d, Japanese Journal of Radiology,<\/i> 2024;42(1), 3-15.<\/p>\n

[15] L. Chen, J. Wang, B. Guo, \u201cHuman-in-the-loop machine learning with applications for population health\u201d, CCF Transactions on Pervasive Computing and Interaction<\/i>, 2023;5(1), 1-12.<\/p>\n

[16] World Health Organization, \u201cEthics and governance of artificial intelligence for health: WHO guidance\u201d, 2021.<\/p>\n

[17] C. Nunes, P. Gomes, J. Santana, \u201cTransparencia, accountability e governance: revis\u00e3o sistem\u00e1tica da literatura nos hospitais p\u00fablicos\u201d, Revista De Administra\u00e7\u00e3o P\u00fablica<\/i>, 2023;57(2).<\/p>\n

[18] N.G. Leveson, C.S. Turner, \u201cAn investigation of the Therac-25 accidents\u201d, Computer<\/i>, July 1993,18-41.<\/p>\n

[19] ASPR, \u201cHealthcare System Cybersecurity. Administration for Strategic Preparedness and Response\u201d, Oct. 2022.<\/p>\n

[20] HPE, \u201cWhat is AI Security?\u201d, 2024.\u00a0<\/span><\/p>\n

[21] E. Kost, \u201c14 Biggest Healthcare Data Breaches\u201d, UpGuard<\/i>, 2024.<\/p>\n

[22] J. Broad, Risk Management Framework,<\/i> Chapter 10, \u201cPhase 2: Selecting Security Controls\u201d, Syngress, 2013.<\/p>\n

[23] F.R. Cabar, M.A.D. Oliveira, M.L. Gorga, \u201cHealthcare compliance: pioneer experience in a public hospital\u201d, Revista da Associa\u00e7\u00e3o M\u00e9dica Brasileira<\/i>, 2023;69(2), 203-206.<\/p>\n

[24] K. Abouelmehdi, A. Beni-Hessane, H.\u00a0Khaloufi, \u201cBig healthcare data: preserving security and privacy\u201d, J Big Data<\/i> 2018, 5, 1.<\/p>\n

[25] J. Bernal, C. Mazo, \u201cTransparency of Artificial Intelligence in Healthcare: Insights from Professionals in Computing and Healthcare Worldwide\u201d, Applied Sciences<\/i>, 2022; 12(20):10228.<\/p>\n

[26] A. Esteva, B. Kuprel, R. Novoa et al.<\/i>, \u201cDermatologist-level classification of skin cancer with deep neural networks\u201d, Nature,<\/i>
\n2017, 542, 115-118.\u00a0<\/span><\/p>\n

[27] M. Lewis, \u201cAn artificial intelligence tool that can help detect melanoma\u201d, MIT News<\/i>, April 2, 2021.<\/p>\n

[28] D. Gunning, D. Aha, \u201cDARPA\u2019s explainable artificial intelligence (XAI) program\u201d, AI Magazine<\/i>, 2019;40(2), 44-58.<\/p>\n

[29] A. Holzinger, C. Biemann, C.S. Pattichis, D.B. Kell, \u201cWhat do we need to build explainable AI systems for the medical domain?\u201d, 2017.<\/p>\n

[30] S. Khanna, S. Srivastava, \u201cAI Governance in Healthcare: Explainability Standards, Safety Protocols, and Human-AI Interactions Dynamics in Contemporary Medical AI Systems\u201d, Empirical Quests for Management Essences<\/i>, 2021;1(1), 130-143.<\/p>\n

[31] C. Nobles, \u201cEstablishing human factors programs to mitigate blind spots in cybersecurity\u201d, MWAIS 2019 Proceedings, 22.<\/p>\n

[32] L.H. Yeo, J. Banfield, \u201cHuman Factors in Electronic Health Records Cybersecurity Breach: An Exploratory Analysis\u201d, Perspectives in Health Information Management<\/i>, 2022;19(Spring), 1i.<\/p>\n

[33] P.A. Guze, \u201cUsing Technology to Meet the Challenges of Medical Education\u201d, Transactions of the American Clinical and Climatological Association<\/i>, 2015;126, 260-270.<\/p>\n

[34] A.J. Holmgren, S. McBride, B. Gale, S. Mossburg, \u201cTechnology as a Tool for Improving Patient Safety\u201d, Patient Safety Network<\/i>, March 29, 2023.<\/p>\n

[35] S.T. Argaw, N.E. Bempong, B. Eshaya-Chauvin, A. Flahault, \u201cThe state of research on cyberattacks against hospitals and available best practice recommendations: a scoping review\u201d, BMC Med Inform Decis Mak<\/i> 2019;19, 10.<\/p>\n