L’adoption croissante des technologies d’intelligence artificielle dans le secteur de la santé offre des opportunités considérables pour améliorer les soins aux patients, optimiser les processus cliniques et administratifs, et faciliter la recherche médicale. Cependant, cette transformation numérique s’accompagne de nouveaux risques de cybersécurité que les Directeurs des Systèmes d’Information (DSI) doivent comprendre et anticiper.
Les systèmes d’IA présentent des vulnérabilités uniques qui s’ajoutent aux risques traditionnels de cybersécurité. L’ANSSI souligne dans son analyse que les attaques ciblant spécifiquement les systèmes d’IA peuvent compromettre l’intégrité des données d’entraînement, la confidentialité des informations traitées et la disponibilité des services médicaux critiques.
L’ENISA a identifié que dans le domaine de l’imagerie médicale, les algorithmes d’IA peuvent être manipulés par des attaquants pour produire des diagnostics erronés, avec des conséquences potentiellement graves pour les patients. Ces attaques par empoisonnement des données peuvent être particulièrement difficiles à détecter car elles ciblent le fonctionnement interne des modèles plutôt que leurs interfaces externes.
Le secteur de la santé est particulièrement concerné par les risques liés à la confidentialité des données. Selon le NIST, les systèmes d’IA en santé traitent d’importantes quantités de données personnelles sensibles, ce qui les rend particulièrement attractifs pour les cybercriminels. Les attaques visant l’extraction de ces données à partir des modèles d’IA constituent une menace croissante.
L’OMS alerte également sur les risques de biais algorithmiques et les problèmes de protection de la vie privée liés à l’utilisation de l’IA dans le secteur de la santé, soulignant la nécessité de mettre en place des garde-fous juridiques et techniques adaptés.
Les solutions de détection avancées spécifiquement conçues pour identifier les attaques ciblant les systèmes d’IA constituent un investissement stratégique prioritaire pour les établissements de santé. Ces technologies de nouvelle génération permettent d’identifier précocement les tentatives de manipulation des données d’entraînement, les attaques par empoisonnement algorithmique ou les techniques d’extraction d’informations confidentielles à partir des modèles déployés dans l’environnement clinique.
Le NIST recommande dans son cadre de gestion des risques liés à l’IA (AI Risk Management Framework) d’implémenter des mécanismes de surveillance continue des systèmes d’IA pour détecter les comportements anormaux qui pourraient indiquer une compromission.
L’implémentation d’environnements de test hautement sécurisés pour évaluer la robustesse des systèmes d’IA avant leur déploiement en production représente également une mesure de protection fondamentale. Ces environnements permettent aux équipes techniques de simuler différents scénarios d’attaque sophistiqués et de vérifier la résilience des solutions d’IA médicale avant leur mise en œuvre opérationnelle auprès des professionnels de santé.
L’ENISA préconise une approche de « sécurité par conception » pour les systèmes d’IA médicaux, incluant des phases de test approfondies pour identifier et corriger les vulnérabilités avant le déploiement.
L’ANSSI recommande de former et sensibiliser les équipes aux enjeux et aux risques de l’intelligence artificielle, particulièrement au niveau des directions. Une gouvernance claire des systèmes d’IA, incluant des processus de validation et d’audit réguliers, est essentielle pour maintenir un niveau de sécurité adéquat.
Le NIST souligne l’importance d’une approche multidisciplinaire de la gestion des risques liés à l’IA, impliquant non seulement les équipes techniques mais aussi les professionnels de santé, les experts en éthique et les responsables de la conformité réglementaire.
Les DSI du secteur santé doivent rester informés des évolutions réglementaires concernant l’IA. L’OMS exhorte ses membres à prendre en compte les risques potentiels liés à l’IA et à renforcer les garde-fous juridiques pour protéger les patients.
L’ENISA souligne que le secteur de la santé est particulièrement exposé aux cyberattaques, avec 54% des attaques utilisant des ransomwares, suivies par les attaques par déni de service (DDoS). L’intégration de systèmes d’IA dans cet environnement déjà vulnérable nécessite une vigilance accrue et l’application de normes de sécurité spécifiques.
Face à l’adoption croissante de l’IA dans le secteur de la santé, les DSI doivent développer une approche proactive de la gestion des risques cybersécuritaires spécifiques à ces technologies. En s’appuyant sur les recommandations des organismes de référence comme l’ANSSI, le NIST et l’ENISA, et en anticipant les évolutions réglementaires, ils pourront exploiter le potentiel de l’IA tout en préservant la sécurité des données et la confiance des patients.
ANSSI (2024). « Développer la confiance dans l’IA par une approche par les risques cyber ». https://cyber.gouv.fr/publications/developper-la-confiance-dans-lia-par-une-approche-par-les-risques-cyber
ANSSI (2024). « Développer la confiance dans l’IA à travers une approche par les risques ». https://cyber.gouv.fr/sites/default/files/document/Document_Analyse_de_risques_FR.pdf
ENISA (2025). « Cybersecurity and privacy in AI – Medical imaging diagnosis ». https://www.enisa.europa.eu/publications/cybersecurity-and-privacy-in-ai-medical-imaging-diagnosis
NIST (2025). « AI Risk Management Framework ». https://www.nist.gov/itl/ai-risk-management-framework
OMS (2025). « Selon une nouvelle étude, l’utilisation responsable de l’IA peut faire progresser la communication sur les risques et la gestion des infodémies dans les situations d’urgence ». https://www.who.int/europe/fr/news/item/23-05-2025-responsible-ai-use-can-advance-risk-communication-and-infodemic-management-in-emergencies–new-study-shows
ENISA (2025). « Health | ENISA ». https://www.enisa.europa.eu/topics/cybersecurity-of-critical-sectors/health
Panorama des menaces cyber en 2025 : Implications pour les entreprises françaises à l'ère de…
La révolution IA dans le secteur de la santé : nouveaux défis de cybersécurité La…
En tant que PME sous-traitante de grands groupes, vous connaissez trop bien ce scénario :…
Votre entreprise vient de subir une cyberattaque. Dans le feu de l'action, vous avez mobilisé…
"Mais concrètement, à quoi sert un scanner de vulnérabilité pour une entreprise comme la nôtre?"…
Depuis septembre 2025, une attaque wormable sans précédent frappe l’écosystème npm : des paquets très…
This website uses cookies.