Passer au contenu principal

HSCC dévoile un guide sur les risques liés à l'IA tierce et la transparence de la chaîne d'approvisionnement

L'incohérence de la terminologie en matière d'IA au sein des organisations de soins de santé crée un risque mesurable dans les processus d'approvisionnement, les contrats avec les fournisseurs et la surveillance de la sécurité des patients.

Pour combler cet écart, le Conseil de coordination du secteur de la santé Le groupe de travail sur la cybersécurité (CWG) du HSCC a publié aujourd'hui son glossaire de cybersécurité et d'IA. Le CWG a également publié le «Guide sur les risques liés à l'IA tierce et la transparence de la chaîne d'approvisionnement dans le secteur de la santéCe document de 109 pages aborde les risques de cybersécurité dans les chaînes d'approvisionnement pilotées par l'IA.

Le glossaire propose des définitions claires et adaptées à la gouvernance, que les acteurs cliniques, opérationnels, de conformité et techniques peuvent appliquer en toute confiance. Greg Garcia, directeur exécutif du HSCC CWG, a souligné que cette ressource répond à un besoin essentiel. Le secteur de la santé manquait jusqu'à présent d'un langage commun et spécifique à l'IA. Document évolutif, le glossaire servira de base terminologique à tous les documents d'orientation du groupe de travail HSCC sur l'IA.

S’appuyant sur des cadres de référence établis tels que le cadre de gestion des risques liés à l’IA du NIST (NIST AI RMF) et les pratiques conjointes HSCC-HHS en matière de cybersécurité dans le secteur de la santé (HICP), ce guide adapte les meilleures pratiques aux réalités des chaînes d’approvisionnement pilotées par l’IA dans le secteur de la santé, notamment le suivi de la traçabilité des données, l’auditabilité des modèles, les dépendances tierces intégrées et la surveillance post-déploiement. Il décrit les domaines de contrôle critiques tels que les attestations de sécurité des fournisseurs, les seuils d’explicabilité des modèles et les exigences de sécurité intégrée pour les systèmes cliniques et opérationnels basés sur l’IA. Ce guide permet aux organisations de définir les attentes en matière de responsabilité et de promouvoir des normes de performance au sein de leur écosystème d’IA étendu.

Surtout, ce guide s'attaque aux lacunes croissantes des processus de découverte et de divulgation qui rendent la gestion des risques liés à la chaîne d'approvisionnement en IA si complexe. De nombreux établissements de santé fonctionnent avec des inventaires de fournisseurs incomplets ou obsolètes, tandis que les risques de cybersécurité spécifiques à l'IA – tels que l'utilisation abusive de données synthétiques, les fuites de données d'entraînement et les inférences adverses – ne sont pas signalés par les fournisseurs. Pour y remédier, le guide encourage une diligence raisonnable proactive, un profilage dynamique des risques et une transparence contractuelle. Il fournit aux responsables des risques, aux équipes de conformité et aux responsables des achats des outils évolutifs pour mettre en évidence les dépendances cachées, identifier les points de défaillance en cascade et aligner les fournisseurs et produits d'IA tiers sur les objectifs critiques de sécurité, de confidentialité et de résilience.

Pour en savoir plus, consultez le glossaire et le guide sur l'IA dans HealthSystemCIO. apprendre encore plus

Politiques et garanties pour une utilisation sûre de l'IA
Anthropic dévoile un dieu informatique magique 0-Day