La conformité n’est pas une liste de contrôle
Comment les établissements de santé peuvent-ils gérer la boîte noire qu’est une solution d’IA tierce dans leur environnement ? C’est là qu’une approche innovante de l’atténuation des risques doit être adoptée. Les organisations ne peuvent pas considérer la conformité comme une simple liste de contrôle à remplir. Dans une liste de 20 éléments obligatoires, un seul « non » peut signifier qu’une organisation n’est pas conforme. Les cadres de gestion des risques appartiennent à la catégorie « -ish », ce qui signifie que les organisations peuvent être « plutôt conformes » ou plutôt conformes. C’est mieux que la non-conformité totale.
Néanmoins, le fait qu’une organisation adopte un certain cadre de gestion des risques liés à l’IA dépend de la culture actuelle du risque dans son environnement. Est-ce beaucoup plus conservateur ? A-t-il des exigences plus strictes en raison d’une violation de données antérieure ?
Les fournisseurs bénéficient d’une grande confiance, notamment parce qu’il n’existe aucun organisme de certification capable de délivrer un « badge » indiquant qu’une certaine solution d’IA est configurée pour gérer un certain niveau de risque. Il s’agit d’un véritable défi, car il n’est pas certain que ces solutions soient pleinement approuvées. Il incombe alors à l’organisation de soins de santé de renforcer sa stratégie d’atténuation des risques afin que l’innovation puisse continuer à prospérer. C’est un équilibre délicat à trouver.
C’est pourquoi il est utile pour les organismes de santé de partager les connaissances et les expériences qu’ils ont acquises avec certaines solutions ; mais bien sûr, il est plus difficile de partager des expériences qui n’ont peut-être pas été aussi positives.
Les organisations doivent faire confiance mais vérifier les solutions d’IA
Lorsqu’une organisation mature souhaite adopter de nouveaux appareils destinés aux patients, il existe généralement un laboratoire ou une sorte de terrain d’essai pour un essai confiné permettant de surveiller le trafic et d’autres aspects. Par exemple, les équipes techniques voudront comprendre comment cet appareil communique, car il sera en service dans l’environnement pendant des années, voire des décennies, et il repose donc sur un processus réfléchi de gestion du cycle de vie.
Les solutions d’IA doivent être traitées de la même manière. Testez le logiciel de documentation clinique ambiante dans un environnement contrôlé avant un déploiement plus large. Construisez des structures de gouvernance qui impliquent de travailler en étroite collaboration avec le partenaire ou le fournisseur. En tant que RSSI du secteur de la santé, je préfère de loin opter pour le produit A, qui divulgue entièrement son fonctionnement mais n’est peut-être pas haut de gamme, plutôt que pour le produit B, qui peut être la meilleure solution technologiquement mais ne partage rien sur son fonctionnement. Si je veux exposer mon organisation au risque, je préférerais entretenir cette relation de travail avec un partenaire disposé à être plus ouvert sur le produit.
52%
Le pourcentage d’organisations possédant des identités non humaines (telles que des agents IA) avec des autorisations excessives critiques, contre 37 % pour les utilisateurs humains
Source : Rapport 2026 sur les risques de sécurité Tenable, Cloud et IA, février 2026
La gestion des risques liés à l’IA est un effort d’équipe
La gestion des risques liés à l’IA doit impliquer des négociations interfonctionnelles au sein de l’organisation. Cela ne peut pas venir uniquement du côté clinique ou technologique. Juridique, marketing, opérations : la plupart des départements doivent être en phase, car l’adaptation d’une nouvelle solution peut avoir un impact financier sur l’organisation, il doit donc y avoir une communication claire sur les risques.
Les dirigeants doivent contrôler le plan de risque et disposer de cette visibilité pour savoir quand l’utilisation de la solution s’écarte de ce sur quoi toutes les parties prenantes ont convenu. Les politiques d’utilisation acceptable avec le fournisseur ont-elles changé à tout moment ? L’organisation effectue-t-elle une évaluation des risques à un moment précis ou doit-elle établir un ensemble de contrôles pour une conformité continue et une mesure des risques ?
C’est ici que les organisations peuvent commencer à intégrer certains de leurs indicateurs de risque clés autour des solutions d’IA, afin qu’ils soient toujours actifs et omniprésents. S’il ne s’agit que d’un instantané sur lequel les organisations doivent se pencher, cela n’a plus aucune pertinence. Ces solutions évoluent probablement plus rapidement que prévu, elles doivent donc disposer de contrôles en temps réel.
En fin de compte, comprendre et gérer les risques dans le domaine des soins de santé est primordial. Si les organisations ne parviennent pas à y parvenir et que les patients reçoivent une notification indiquant que leurs données ont été compromises, ils chercheront à se faire soigner ailleurs. Cette violation de confiance aura un impact à long terme sur un fournisseur.
De même, les cadres de risque disponibles en matière d’IA doivent gagner en fiabilité dans le secteur des soins de santé. Si les prestataires veulent adopter et adapter le cadre établi, soit par un organisme indépendant, soit par une agence gouvernementale, il doit y avoir plus de collaboration et de transparence sur la manière dont ces contrôles fonctionneront dans un établissement de soins de santé.
Ayant des dizaines d’années d’expérience dans le domaine de la sécurité des soins de santé, je sais à quelle vitesse la posture d’une organisation peut changer. Un instant, un fournisseur est sécurisé, et l’instant d’après, il y a une faille. La fiabilité ne se gagne pas seulement, elle se démontre. C’est l’un des facteurs les plus importants de ces cadres de gestion des risques et des plateformes qui les sous-tendent.