Que les dirigeants en soient conscients ou non, les équipes informatiques de tous les secteurs expérimentent le « vibe coding », ou le codage assisté par l’intelligence artificielle.
Voici cinq considérations à prendre en compte par les responsables informatiques du secteur de la santé alors que leurs équipes commencent à intégrer des outils d’IA dans leurs flux de travail de programmation.
1. Quelle est la marge d’erreur pour le codage avec l’IA ?
Les outils d’IA peuvent générer des applications en fonction des instructions de l’utilisateur, et le processus est intensif et nécessite une connaissance des normes de sécurité des réseaux organisationnels et de confidentialité des données, des exigences de conformité, des plates-formes, des outils, des bases de données et des langages de programmation préférés, des stratégies de test, des directives de documentation, etc. Tout cela doit être intégré à la solution d’IA avant qu’elle ne se lance sur un problème. Les outils de codage de l’IA peuvent sembler lire dans les pensées et évoluer rapidement. Mais si les utilisateurs ne préparent pas le terrain pour réussir, ils risquent de créer quelque chose avec un comportement incohérent, ce qui peut alors avoir un impact sur la conformité réglementaire en matière de sécurité des données.
2. Quelle formation les utilisateurs non techniques ont-ils reçue ?
La programmation reste une compétence technique. Ce n’est pas parce que des utilisateurs non experts peuvent générer des applications à l’aide d’outils d’IA que ces applications sont prêtes à être utilisées à plus grande échelle. Si une infirmière ou un administrateur crée une application discrète avec des outils d’IA pour aider une clinique, c’est formidable, mais ce n’est pas quelque chose qui peut être partagé et déployé sans qu’un programmeur technique n’y jette un coup d’œil au préalable. Cette préoccupation n’est pas si différente des problèmes de sécurité et de ressources que le shadow IT a créés dans le passé.
3. Comment l’IA affecte-t-elle la surface d’attaque de votre organisation ?
Augmenter la surface d’attaque est inévitable avec l’IA. De telles solutions de codage construisent leur code sur des bibliothèques et des outils open source préexistants. Votre nomenclature logicielle s’allongera considérablement, créant une dette technique et des dépendances à l’égard de packages nouveaux pour vous. Ceci est presque inévitable et constitue un facteur qui doit être documenté à des fins de conformité et de gestion des risques à mesure que les logiciels écrits par l’IA entrent en production.
4. Dans quelle mesure votre environnement global est-il prêt pour l’IA ?
L’IA suppose un environnement de développement moderne. Les outils de codage sont construits sur de grands modèles de langage formés sur le code moderne et les normes existantes, ce qui peut créer des frictions lors de l’interaction avec des systèmes existants tels que les anciens systèmes de dossiers de santé électroniques ou bases de données HL7. Pour tirer le meilleur parti des outils d’IA, les organisations doivent adopter des pratiques DevSecOps modernes. Une intégration continue complète/un déploiement continu n’est pas nécessaire, mais vous souhaitez faciliter le déploiement rapide de correctifs pour les failles fonctionnelles et de sécurité que vous trouvez en aval.
5. Comment l’IA peut-elle prendre en charge les améliorations de la sécurité ?
L’IA ne résout pas les problèmes de sécurité, mais elle facilite l’écriture de systèmes sécurisés. Ces outils de codage connaissent les meilleures pratiques de sécurité, telles que la conservation des informations d’identification hors de la configuration et l’utilisation du cryptage pour le trafic réseau, et ils encourageront les utilisateurs à emprunter ces voies. Mais ils n’appliqueront pas les bonnes pratiques et ne connaîtront pas les problèmes spécifiques aux soins de santé. Cela nécessite qu’un développeur soucieux de la sécurité indique aux outils d’IA des éléments tels que « Utilisez les directives HL7 FHIR dans tout le code que vous écrivez » ou « intégrez-le à notre système d’authentification unique existant pour l’authentification ». Rédiger, puis appliquer, un ensemble cohérent d’instructions de sécurité pour chaque session de vibe coding est une mesure nécessaire de réduction des risques.