Meilleures pratiques de gestion des risques liés aux données dans le secteur de la santé
Alors que les organisations de soins de santé adoptent l’intelligence artificielle pour la prise de décision clinique, les diagnostics et l’engagement des patients, elles sont confrontées à un examen de plus en plus minutieux de la manière dont elles gèrent les données sous-jacentes à ces avancées.
Alors que les données de santé de grande valeur sont de plus en plus ciblées par les cybercriminels – et que les systèmes internes sont sous pression pour prendre en charge l’interopérabilité, la modélisation de l’IA et l’analyse à grande échelle – le besoin d’ une gestion robuste et proactive des risques liés aux données atteint un point critique.
Les DSI et les responsables informatiques du secteur de la santé doivent non seulement garantir la protection des informations sensibles des patients, mais également créer des environnements sécurisés et conformes qui permettent aux données de circuler en toute sécurité dans les modèles d'IA et les outils d'aide à la décision qui définissent la médecine moderne.
Cela nécessite que les systèmes de santé intègrent la protection des données à chaque couche de leur architecture , non pas comme un obstacle à l’innovation mais comme un catalyseur.
Les organisations de santé qui s’efforcent d’ exploiter les outils d’IA et l’analyse prédictive étendent souvent leur utilisation du cloud, de l’accès à distance et des services numériques, ce qui augmente la complexité de la sécurisation des données des patients.
« L'IA ne peut fonctionner efficacement sans accès à des ensembles de données fiables et de haute qualité », explique Shannon Murphy, responsable senior de la stratégie mondiale de sécurité et de risque chez Trend Micro . « Mais plus vous lui fournissez de données, plus vous augmentez la surface d'exposition aux risques. »
Elle prévient que les stratégies de gestion des risques doivent évoluer au rythme de ces ambitions, car l’IA crée davantage d’opportunités d’exposition avec chaque nouvel outil ou point de terminaison.
Henry Vernov, chef de produit principal pour les soins de santé chez Citrix , souligne l'urgence de réduire les points d'exposition, en particulier pour les environnements où les cliniciens et le personnel accèdent à des systèmes sensibles à partir de plusieurs appareils ou emplacements.
« Lorsque les données des patients circulent entre les appareils, les applications et les clouds, chaque étape présente un risque si elle n'est pas verrouillée au niveau de l'espace de travail », explique-t-il.
Pour les organisations de soins de santé qui déploient l’IA dans plusieurs flux de travail cliniques , l’intégrité et la protection de ces échanges de données sont primordiales.
Les défis des données auxquels sont confrontées les organisations de santéLes organisations de santé sont confrontées à quatre défis majeurs en matière de données, explique Nicholas Jackson, directeur des services de cybersécurité chez Bitdefender . Il s'agit notamment de systèmes hérités fragmentés, de réalités opérationnelles générant des risques inhabituels, de données hautement sensibles et d'une lourde charge de conformité.
« Les environnements de santé reposent sur un mélange d' infrastructures obsolètes et d'outils plus récents provenant de différents fournisseurs », explique-t-il. Ces systèmes communiquent souvent mal, ce qui crée des silos de données et des normes incohérentes qui compliquent l'intégration et la gouvernance.
Jackson note que dans un environnement critique comme une salle d'opération, il est souvent peu pratique pour chaque clinicien de se connecter à ses comptes personnels au milieu d'une procédure.
« L’accès partagé ou générique est parfois utilisé par nécessité, ce qui augmente les risques liés à l’intégrité des données, aux menaces internes et à la responsabilité », explique-t-il.
Parallèlement, la loi HIPAA, le règlement général sur la protection des données et d’autres mandats exigent un contrôle strict des données de santé.
« L’application cohérente de ces principes à des systèmes fragmentés dans des environnements sur site et dans le cloud, ainsi que des pratiques utilisateur variées, constitue un défi permanent important », déclare Jackson.
Nicolas Jackson Directeur des services de cybersécurité, Bitdefender
Adam Winston, directeur technique de WatchGuard , affirme que les politiques qui régissent l'utilisation des applications d'IA doivent être mises en œuvre en interne au sein des organisations.
« Les outils à usage général employés par les utilisateurs finaux ne doivent pas être utilisés pour traiter ou télécharger des informations de santé protégées ou de la propriété intellectuelle ; recherchez plutôt des produits spécialement conçus qui adhèrent aux règles HIPAA ou qui sont destinés à automatiser certaines de ces tâches », dit-il.
Jackson affirme que les organisations devraient commencer par classer et cartographier leurs données : « Si vous ne savez pas ce que vous avez ou où elles se trouvent, vous travaillez à l'aveugle. »
« À partir de là, intégrez la confidentialité et la sécurité, telles que la protection des points de terminaison et la détection et la réponse étendues , dans vos systèmes dès le départ, et non pas comme une réflexion après coup », explique-t-il.
Des évaluations régulières des risques, des contrôles d’accès stricts , un cryptage et une formation continue de sensibilisation du personnel (pas une fois par an) devraient être des pratiques courantes.
« Ces mesures ne sont pas facultatives ; elles doivent être considérées comme obligatoires pour protéger les données de santé sensibles et constituent des éléments clés de la gestion de la sécurité », explique Jackson.
Aligner la gestion des risques avec l'innovation et la conformitéDu point de vue de Murphy, les avantages de l’ingéniosité et de l’adoption de l’IA dans le secteur de la santé semblent l’emporter sur les risques.
« Je suis extrêmement encouragée par l'innovation qui se produit au sein de ma clientèle du secteur de la santé, notamment les hôpitaux de recherche et les hôpitaux universitaires », déclare-t-elle. « Ces établissements ne se montrent pas désinvoltes dans leur adoption, mais très dynamiques. »
Sur le plan opérationnel, et en tenant compte de la cybersécurité, une gestion complète de la posture de sécurité des données tout au long du cycle de vie génère deux résultats positifs : un potentiel de violation réduit et des expériences d'IA plus fluides.
« La gestion des risques est une stratégie proactive, et la proactivité permet de rester à la pointe de la technologie », explique Murphy. « C'est une stratégie philosophique qui peut s'étendre à vos pratiques de sécurité et de conformité, à partir de vos pratiques d'innovation. »
De cette façon, dit-elle, la sécurité est un facteur d’innovation majeur, permettant aux organisations d’évoluer rapidement et en toute sécurité, avec moins de dette technique.
Jackson ajoute que lorsque les cadres de gestion des risques sont intégrés dès les premières phases de conception et de développement, ils favorisent une innovation plus rapide et plus sûre.
« La conformité devient un résultat naturel, et non une course de dernière minute, ce qui réduit les difficultés et les difficultés à long terme », explique-t-il. « L'objectif doit toujours être que la sécurité, la gestion des risques et la conformité fonctionnent ensemble de manière harmonieuse, et non comme des opérations séparées. »
healthtechmagazine
