Cloud et IA générative : le secteur de la santé visé

Julien Fournier, Vice President Southern Europe chez Netskope a accepté de partager son analyse.

Les experts attribuent souvent l’origine du problème à la quantité de données sensibles que l’industrie traite. Néanmoins, elle fait les frais d’offensives permanentes, continues, et souvent fructueuses, là où d’autres secteurs, également détenteurs de ressources précieuses, se révèlent plus efficaces dans leur gestion de la menace.

Cloud et IA générative : nouvelles technologies, nouveaux risques

En cherchant à moderniser leurs méthodes, les institutions de santé déploient rapidement les technologies les plus récentes. L’adoption du cloud et de l’IA générative rencontre un accueil enthousiaste, de la part du personnel médical et administratif du secteur. Cependant, les deux outils entraînent de nouveaux risques.

En soi, cela ne s’avèrerait pas problématique si ces utilisateurs n’incluaient pas régulièrement des données sensibles dans leurs prompts et ne partageaient pas des documents avec les outils de genAI tels que ChatGPT, Google Gemini ou Microsoft Copilot, y compris des données réglementées, du code source et de la propriété intellectuelle. Le partage de données sensibles avec les applications d’IA génère en effet énormément de risques, tout particulièrement lorsque les employés du secteur accèdent à leurs comptes personnels dans un cadre professionnel. Ce faisant, ils empêchent les équipes de sécurité de superviser efficacement les données partagées avec ces outils d’IA, et de détecter et de stopper les fuites potentielles.

En outre, le cloud, avec les données sensibles qu’il stocke, représente une menace de la même ampleur. Les cybercriminels exploitent ces environnements pour compromettre les réseaux d’entreprise et accéder à aux données. Ils savent que les employés font naturellement confiance aux applications que gère leur organisation, alors qu’une part significative des logiciels malveillants provient des applications cloud dont ils se servent quotidiennement dans le cadre de leur travail.

Rester alerte en toute circonstance

Le personnel médical opère dans des environnements impliquant de forts niveaux de pression, auxquels s’ajoutent l’urgence et des états émotionnels exacerbés susceptibles d’impacter leur capacité de prise de décision. Le risque d’exposition accidentelle de données de santé augmente en conséquence, en raison d’un manque de vigilance au milieu des multiples rushs du quotidien.

Toutefois, les employés du secteur de la santé ont pour mission de protéger les données sensibles de leurs patients et de leur organisation. Pour ce faire, en toute circonstance, ils doivent rester conscients de la possibilité d’une exposition à un contenu ou à un logiciel malveillant, même en interne. En parallèle, les institutions doivent établir plusieurs couches de protection. Leur personnel, en dépit de multiples formations et rappels, ne représente jamais une barrière de sécurité infaillible.

La technologie comme filet de sécurité

Pour construire une solide architecture de sécurité informatique, les organisations s’appuient sur le déploiement d’outils qui agissent comme un « dernier rempart », empêchant les incidents même en cas d’oubli ou de contournement involontaire de la part d’un employé du système ou des politiques de protection des données en place. Elles peuvent se servir d’applications d’IA générative préalablement validées comme solide première ligne de défense, et de politiques de prévention des pertes de données pour définir les données que les employés peuvent partager, et bloquer automatiquement toute action allant à l’encontre de ces règles.

Sécurité des hôpitaux face à l’IA : un enjeu vital

Pour les institutions de santé, les avancées technologiques remettent constamment en question la meilleure façon de protéger leurs données, en introduisant de nouveaux risques face auxquels le personnel se retrouve souvent démuni.

Si l’industrie veut se débarrasser définitivement de sa réputation de retardataire en termes de cybersécurité, il s’avère crucial que les organisations se mettent continuellement à jour sur les nouvelles Cybermenaces, et accordent leurs efforts de vigilance et d’intégrations techniques en fonction de celles-ci.

Note : rapport de l’ANS (Agence de santé du numérique), publié début juin 2025