L’avènement de l’intelligence artificielle générative (Generative Artificial Intelligence)

Comme pour toutes les autres activités, le secteur des soins de santé apprend à s’adapter avec l’émergence de l’IA générative mais contrairement à d’autres secteurs, l’impact peut être une question de vie ou de mort !

Certaines organisations, qui ne savent pas comment se protéger des risques de sécurité potentiels, choisissent la voie de la moindre résistance en essayant de bloquer des produits d’IA tels que Bard et ChatGPT.

Mais ériger des barrières sous la forme de nouveaux pare-feu ou de règles de procuration est une bataille perdue d’avance.
En effet de plus en plus d’applications d’intelligence artificielle sont mises en ligne et de nombreux employés ignorent les mises en garde contre l’utilisation de services numériques non autorisés ou d’appareils qui ne sont pas officiellement approuvés et pris en charge par le service informatique.
Qu’on le veuille ou non, l’expérience montre que les utilisateurs trouveront différents moyens de contourner le service informatique, quel que soit le nombre de messages qu’ils reçoivent de la direction.

Quel est le problème?

Plusieurs applications dans le domaine des soins de santé et des sciences utilisent déjà l’intelligence artificielle, ce qui pose aux opérateurs une multitude de nouveaux défis en matière de protection de sécurité et de la vie privée.
Prenons comme exemple la routine quotidienne d’un clinicien très occupé, qui termine la visite d’un patient et qui ne dispose que de quelques minutes pour passer à au suivante sur sa liste. À l’aide de ChatGPT ou d’un autre outil d’IA générative, il pourrait choisir de copier et de coller la transcription de la visite dans le système afin d’obtenir une version résumée avec une orthographe corrigée qui sera ensuite collée dans le dossier médical officiel du patient. Facile, n’est-ce pas ?

Pas si vite !

L’IA générative peut avoir un impact sur votre cybersécurité de plusieurs façons !
Celle-ci est de plus en plus utilisée par des acteurs malveillants pour concevoir de meilleures attaques et des courriels hameçons. Il existe aujourd’hui de faux portails d’IA générative (faux sites internet) qui attirent des utilisateurs peu méfiants, sans parler de l’amélioration de la conception des logiciels malveillants et des contrefaçons de plus en plus réalistes.

Nous n’avons aucune idée de la durée de conservation des données par les services. C’est une perspective inquiétante si l’on considère que ChatGPT a déjà connu plus d’une violation de données (en raison d’une vulnérabilité en open source qui a révélé l’historique des conversations d’autres utilisateurs).

De plus, il n’y a aucune garantie que les informations de santé protégées contenues dans le texte soient protégées contre les fuites de données.
Où vont ces informations ? Comment sont-elles stockées ? Autre problème potentiel en matière de protection de la vie privée : les conditions générales d’un service indiquent clairement que toutes les données qui lui sont présentées deviennent sa propriété et peuvent être examinées par son personnel.

Pour ajouter du désordre à la confusion, il convient de noter qu’en ce qui concerne les résultats de l’IA générative, il existe un consensus juridique croissant selon lequel tout ce qui est généré y compris les images ou les textes générés ne peut faire l’objet d’un droit d’auteur, car il est pratiquement impossible d’en attribuer la source !

Le phénomène de l’IA générative n’en est qu’à ses débuts, mais comme vous pouvez le constater, le manque de transparence des données collectées n’est pas évident. Quand les données qu’un prestataire de soins de santé soumet au modèle généré, sont-elles conservées et font-elles partie de la formation du modèle ? Quand cela n’est-il pas le cas ? Comment ces données sont-elles traitées ? Comment les décisions sont-elles prises ?

Par exemple, Microsoft intègre la fonction d’assistant Co-pilot, qui est en fait le ChatGPT, pour le système d’exploitation Windows 11 et Office 365. Cette fonction va permettre d’accomplir de nombreuses tâches, de la comparaison de documents à la transcription d’appels Skype, en passant par l’analyse de votre calendrier ou la synthèse d’un document Word dans une présentation PowerPoint.
C’est une excellente chose du point de vue de la productivité, mais cela soulève également toute une série de nouvelles questions en matière de protection de la vie privée concernant les données des patients qui sont traitées dans les courriels ou les Tchats.
Comment toutes ces données seront-elles protégées ou segmentées entre les organisations ?

Ces questions sont tout à fait valables et tant qu’il n’y a pas de réponses claires, c’est aux prestataires de prendre des mesures préventives pour atténuer les risques.

Se préparer au tsunami à venir !

Comme indiqué précédemment, le blocage ne fonctionnera pas !C’est un peu comme le jeu du chat et de la souris, car les employés trouveront un moyen d’intégrer la nouvelle technologie en contournant les règles.
En plus de Microsoft, Google ajoute l’IA à Google Cloud, MakerSuite et Workspace; LinkedIn, Slack et Teams utilisent déjà ChatGPT, tandis que Box l’a également intégré.
Dans la mesure du possible, les prestataires de soins de santé devraient essayer de manière proactive de déterminer comment gérer les nouvelles questions relatives aux données qui apparaissent avec la diffusion des déploiements de l’IA générative.

Voici trois éléments à prendre en compte pour se préparer :

1. De nombreux accords avec des vendeurs, partenaires, clients et fournisseurs comportent des dispositions relatives aux logiciels tiers et aux licences de logiciels libres. Assurez-vous de vérifier les conditions avant de traiter au hasard les données de quelqu’un d’autre. (OpenAI et Chat GPT ont tous deux déclaré qu’ils concluraient des accords d’association commerciale pour les clients du secteur de la santé).

2. Si vous optez pour le partage de données dans le cadre d’un accord API, examinez attentivement les règles d’accès aux données. Comprenez qui aura accès aux informations PHI et à quelles fins. Cela est particulièrement important pour les fournisseurs dont les clients résident dans l’Union européenne, qui est en train de voter la loi sur l’intelligence artificielle, qui comprendra des règles contraignantes pour ce qui est considéré comme des utilisations à haut risque, y compris les soins de santé.

3. Ecoutez et collaborez d’avantage avec vos responsables de la protection de la vie privée. Comprendre le concept de protection de la vie privée dès la conception. En pratique, cela signifie que les organisations doivent prendre en compte les questions de protection de la vie privée et des données dès les premières étapes de la conception des produits et services, et ne pas attendre que les produits et services soient utilisés.
Les concepts de protection de la vie privée dès la conception s’intègrent très bien dans un environnement d’IA dès la conception.
Apprenez donc comment les données sont collectées et utilisées. D’où viennent-elles ? Où sont-elles stockées et où vont-elles ? Qui y aura accès et comment comptez-vous les contrôler ?

Broadcom a récemment organisé un webinaire dans lequel sont approfondis, les tactiques plus techniques que vous pouvez adopter pour limiter vos risques.
Quelle que soit la manière dont vous envisagez de relever le défi, sachez qu’aucun prestataire de soins de santé n’a le luxe de repousser l’échéance plus longtemps.
Que vous soyez prêt ou non, l’IA générative se dirige vers vous et lorsqu’elle arrivera, elle frappera comme un tsunami.

Source : Broadcom

Pour en savoir plus concernant la solution.