Passer au contenu principal

Politiques et garanties pour une utilisation sûre de l'IA

Considérations relatives à la création d'un cadre de gouvernance et de garanties pour l'IA

Tout au long de l'année 2025 et début 2026, une équipe de professionnels de la sécurité spécialisés en IA, membres du groupe de travail sur l'intelligence artificielle de Health-ISAC, a élaboré un livre blanc proposant des recommandations pour le développement de cadres de gouvernance de l'IA. Ce document fournit un exemple de politique d'utilisation acceptable de l'IA et des directives détaillées sur la gestion des risques liés à l'IA. Il définit clairement l'utilisation responsable de l'IA générative et des modèles de langage, interdit la divulgation des données de santé protégées (DSP), des données personnelles identifiables (DPI) et des données confidentielles à des outils publics, et exige l'autorisation, la supervision et la vérification humaine des résultats de l'IA dans les contextes cliniques, RH, juridiques et financiers.

Ce document présente notamment les caractéristiques suivantes :

  • Structure de gouvernance formelle de l'IA. Ce document présente un modèle concret de comité de gouvernance de l'IA, composé de représentants de différentes fonctions (juridique, protection des données, sécurité, technologie, science des données, commerce, éthique), et rattaché à la direction générale ou au conseil d'administration. Il définit les responsabilités, fournit des exemples d'indicateurs et souligne que la gouvernance est indispensable.
  • Un cadre de gouvernance de l'IA basé sur des piliers. Le document décrit un cadre en sept piliers : législation, réglementation et politiques, confidentialité et éthique de l’IA, gouvernance des cas d’usage, gouvernance du cycle de vie des modèles, contractualisation et intégration des tiers, gestion des incidents et des violations de données liées à l’IA, et formation et sensibilisation à l’IA. Chaque pilier a des objectifs et des responsables spécifiques.
  • Feuille de route pratique pour la mise en œuvre. Une feuille de route de mise en œuvre divise le travail en quatre phases : Initiation (comité, principes, inventaire), Évaluation des risques et des impacts (analyses d’impact sur la protection des données, audits des biais, revues de sécurité), Déploiement du cadre (politiques, enregistrement des cas d’utilisation, contrôles du cycle de vie) et Suivi et examen (examens périodiques, recyclage, audits).
  • Politique d'utilisation acceptable de l'IA détaillée et réutilisable. Le document comprend un exemple complet de politique avec objectif et portée, principes directeurs, transparence et éthique, responsabilité et surveillance, confidentialité et sécurité des données, confidentialité, utilisations acceptables et interdites, application et définitions, ainsi qu'un tableau des « outils d'IA publics autorisés et non autorisés ».
  • Huit catégories de risques liés à l'IA sont associées à des mesures de protection spécifiques. Il couvre systématiquement la confidentialité et la sécurité des données, les risques liés à la chaîne d'approvisionnement et aux tiers, les risques liés aux modèles et aux résultats, les biais et l'équité, la réglementation et la conformité, les vulnérabilités de sécurité, les risques de gouvernance et de surveillance, ainsi que l'IA fantôme, et associe chacun de ces aspects à des mesures de protection concrètes telles que la minimisation des données, les SBOM, la diligence raisonnable des fournisseurs, les tests d'intrusion, les contrôles contractuels et la détection de l'IA fantôme.

 

Auteurs : Cohen, Luda (AbbVie) ; Mourad, Carole (Bio Bridge Global) ; Naik, Shrikanth (Abbott) ; Streelman, Jeff (SpendMend)

Contributeurs au contenu : Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:BLANC Ce rapport peut être partagé sans restriction.

 

Ce que l'attaque Stryker révèle sur la sécurité des dispositifs médicaux
HSCC dévoile un guide sur les risques liés à l'IA tierce et la transparence de la chaîne d'approvisionnement