Poursuite de nos chroniques pour décrypter les enjeux du numérique santé. Cette semaine on s’intéresse aux enjeux de cybersécurité autour de l’intelligence artificielle en santé. Derrière les promesses d’efficacité et de transformation numérique de l’IA, une autre réalité émerge : celle d’un paysage cyber profondément bouleversé.
L’essor des intelligences artificielles génératives marque un tournant majeur pour l’ensemble des organisations, et le secteur de la santé n’échappe pas à cette transformation. Capables de produire du texte, du code, des images ou des synthèses complexes, ces technologies promettent des gains de productivité considérables pour les professionnels de santé. Mais derrière ces perspectives d’innovation se dessine une réalité plus préoccupante : l’émergence de nouveaux risques cyber.
La publication CERTFR-2026-CTI-001 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) met en lumière l’évolution des menaces liées à l’IA générative. Le rapport souligne à la fois l’usage croissant de ces outils par des acteurs malveillants et les vulnérabilités propres aux systèmes d’IA eux-mêmes. Pour les établissements de santé, cette double exposition constitue un enjeu stratégique majeur.
L’un des constats centraux du rapport est que l’IA générative agit aujourd’hui comme un levier d’industrialisation des attaques informatiques. Les cybercriminels peuvent s’appuyer sur ces outils pour produire des campagnes d’hameçonnage plus crédibles, rédiger des messages personnalisés en plusieurs langues ou générer du code malveillant avec un niveau de sophistication croissant.
Dans le contexte hospitalier, où les équipes sont soumises à une forte pression opérationnelle, des courriels ou messages frauduleux particulièrement réalistes augmentent le risque de compromission. L’ingénierie sociale gagne en efficacité grâce à des contenus mieux contextualisés et plus difficiles à détecter. Les attaquants peuvent également automatiser certaines phases de reconnaissance ou de développement de charges malveillantes, réduisant ainsi les barrières techniques à l’entrée.
Le rapport précise néanmoins qu’aucune attaque totalement autonome menée par une IA générative n’a été observée à ce jour. L’humain reste au centre des opérations malveillantes. Toutefois, l’IA agit comme un multiplicateur de capacités, permettant d’accroître la vitesse, l’échelle et la crédibilité des campagnes.
Les systèmes d’IA eux-mêmes deviennent des cibles
Au-delà de leur utilisation par les attaquants, les systèmes d’IA générative constituent désormais des cibles à part entière. Plusieurs vecteurs de menace sont identifiés.
L’empoisonnement des données d’entraînement peut altérer le comportement d’un modèle, introduire des biais ou créer des réponses volontairement trompeuses. La compromission de la chaîne d’approvisionnement logicielle représente également un risque, notamment lorsque des composants tiers ou des bibliothèques open source sont intégrés sans contrôle renforcé. Enfin, l’exfiltration d’informations sensibles à travers les requêtes adressées à un modèle constitue un scénario particulièrement préoccupant dans le domaine de la santé.
Lorsque des professionnels utilisent des outils d’IA générative connectés à des environnements cloud publics, le risque de fuite de données médicales, administratives ou stratégiques ne peut être écarté. La question de la confidentialité et de la gouvernance des données devient alors centrale.
La santé représente une cible privilégiée pour les cyberattaques en raison de la valeur des données qu’elle manipule et de la criticité de ses systèmes. Les dossiers médicaux contiennent des informations personnelles sensibles, dont la divulgation peut avoir des conséquences humaines, juridiques et financières importantes. Les systèmes hospitaliers, interconnectés et souvent hétérogènes, constituent un environnement complexe où la surface d’attaque est étendue.
L’introduction d’IA génératives dans les processus métiers, qu’il s’agisse d’assistance à la rédaction, de synthèse de comptes rendus ou d’aide à la décision, crée de nouveaux points d’entrée potentiels. Si ces outils ne sont pas intégrés dans une stratégie de cybersécurité cohérente, ils peuvent fragiliser l’ensemble du système d’information.
Par ailleurs, les attaques réussies dans un établissement de santé peuvent entraîner des interruptions de service mettant directement en danger la prise en charge des patients. La cybersécurité ne relève donc pas uniquement d’un enjeu technique, mais bien d’une problématique de sécurité des soins.
Face à ces évolutions, le rapport du CERT-FR invite les organisations à intégrer pleinement l’IA générative dans leur cartographie des risques. Il ne s’agit plus de considérer ces technologies comme de simples outils innovants, mais comme des composants à part entière du système d’information.
Cela implique une politique claire d’usage des solutions d’IA, une sensibilisation accrue des professionnels aux risques liés à l’ingénierie sociale et une évaluation continue de la robustesse des modèles déployés. Les établissements doivent également s’assurer que les données utilisées pour entraîner ou interroger les modèles sont protégées conformément aux exigences réglementaires.
L’enjeu est d’adopter une approche équilibrée. L’IA générative peut contribuer à améliorer l’efficience administrative, à fluidifier la documentation médicale et à soutenir l’innovation en e-santé. Mais son déploiement doit s’accompagner d’un cadre de sécurité rigoureux et d’une gouvernance adaptée.
L’IA générative redéfinit à la fois les opportunités et les menaces dans le domaine de la santé numérique. Elle incarne une avancée technologique majeure, tout en complexifiant le paysage cyber. Pour les acteurs de l’e-santé, la question n’est plus de savoir s’il faut intégrer ces outils, mais comment le faire de manière responsable et sécurisée.
À l’heure où les cyberattaques contre les hôpitaux restent fréquentes et où la transformation numérique s’accélère, la maîtrise des risques liés à l’IA générative devient un facteur clé de résilience. La cybersécurité doit désormais être pensée comme un pilier indissociable de toute stratégie d’innovation en santé.
Rémy Teston
Vous devez être connecté pour poster un commentaire.