L’an passé, l’Hôpital de Corbeil-Essonnes a subi une attaque d’ampleur de son système informatique. Cet électrochoc a conduit la DSI à placer la sécurité au centre de tous les projets, tentant malgré tout de continuer à exploiter ses données pour faire avancer la recherche.

“Avant, on construisait l’intérieur de la maison et ensuite seulement on posait les murs”. Cette métaphore de Patrice Garcia, directeur des systèmes d’information du Centre hospitalier sud francilien, à Corbeil-Essonnes, résume la prise de conscience que l’établissement en matière de cybersécurité. « Avant » fait en effet référence aux évènements d’août 2022 : le Centre hospitalier est alors la proie d’une attaque d’ampleur de son système informatique. Celle-ci a eu un impact sur l’établissement pendant plusieurs mois. “Maintenant, dès la première pierre d’un projet, la sécurité est présente”, assure le DSI. Ce qui peut paraître du bon sens, alors que les cybercriminels lorgnent toujours plus sur les données de santé, ne va pourtant pas toujours de soi. En effet, le secteur dans son ensemble est pris dans un étau, entre la nécessité d’exploiter les données à sa disposition avec l’aide de tiers pour faire avancer la médecine, et le risque qu’un tel partage implique.  

Des gisements de données convoités 

“La numérisation de l’hôpital a créé un énorme gisement de données”, assure Patrice Garcia. L’analyse de ce patrimoine grâce à des outils numériques prévus pour gérer des « big data », plutôt que manuellement, est un accélérateur important pour la recherche. Pour Jean-Yves Marion, ancien président du Loria (Laboratoire lorrain de recherche en informatique et ses applications) à Nancy et professeur à l’Université de Lorraine, les établissements de santé ont besoin de valoriser leurs données : “Ils ouvrent leurs données [à d’autres acteurs] pour des raisons légitimes”. C’est l’un des moyens clés pour innover.  

À lire aussi : Quelles leçons tirer de la cyberattaque du Centre hospitalier de Corbeil-Essonnes ?

En effet, l’arrivée de l’intelligence artificielle apporte des perspectives immenses dans l’analyse de la masse de données que détient un hôpital. “On fait du deep learning pour permettre à l’intelligence artificielle d’apprendre afin d’aider les médecins”, explique Patrice Garcia, DSI du Centre Hospitalier Sud-Francilien. Il prend un exemple concret : “Aux urgences, une IA aide à interpréter des radios. Cela permet aux jeunes radiologues en traumatologie de ne pas laisser passer de graves blessures”.   

Si l’apprentissage automatique donne de la valeur aux données de santé, les hôpitaux comme celui de Corbeil-Essonnes peuvent difficilement mener les projets seuls. Jean-Yves Marion souligne que dans l’écosystème, nombre d’acteurs regardent d’ailleurs avec appétit ces gisements. “Les données de santé ont de la valeur pour des entreprises qui font de la médecine personnalisée, de la pharmacovigilance, du repositionnement de molécule…”, illustre l’ancien directeur du Loria. “L’IA promet aussi beaucoup dans les nouvelles thérapies, mais pour faire la différence, il faut énormément de données”. Pour faire avancer la médecine, il est donc nécessaire de partager les données et ce, sans compromettre leur sécurité ou la vie privée des patients. 

Trouver un cadre de confiance avec les tiers 

“Avec l’attaque que nous avons subie, la démarche a totalement changé. Tout est dorénavant analysé sous l’angle de la sécurité. Elle est intégrée à tous les projets. Cette démarche nous rassure”, souligne le DSI de l’Hôpital de Corbeil-Essonnes. Le sérieux de la démarche vient également du choc subi par le personnel. : “Ce qu’on a vécu a eu un effet pédagogique monstrueux. Ça vaut toutes les communications du monde”, assure Patrice Garcia. “Je dis souvent qu’avec cette attaque, j’ai gagné trois ans de communication interne”. Il salue le niveau de vigilance très fort du personnel : “On effectue régulièrement des tests de phishing. Nous sommes à un taux de clic de deux à trois pour cent”. Des niveaux qui feraient pâlir nombre de grandes entreprises y compris celles spécialistes du numérique.  

Afin de permettre une exploitation des données à sa disposition en toute confiance, le Centre hospitalier sud francilien applique donc une politique stricte. “Ce qui est important, c’est de travailler avec des entreprises qui ont pignon sur rue et qui sont capables de prouver qu’elles ont un niveau de sécurité au moins équivalent au nôtre”, indique le DSI. “La société doit respecter les standards du marché et nous devons pouvoir mener des audits”. De plus, lorsque le centre hospitalier collabore avec l’extérieur, les données sont totalement anonymisées.  

À lire aussi : Grâce au bruitage, le CEA-List crée un écosystème de confiance pour entraîner des IA  

Au-delà de la question de la cybersécurité, l’aspect éthique est également pris en considération. Patrice Garcia souligne à ce titre une différence entre les partenariats avec les acteurs privés et ceux du secteur public : “Avec le privé, nous n’avons pas la même philosophie, contrairement à la recherche publique où le côté éthique nous rassure”, affirme Patrice Garcia. “On ne veut pas offrir à une entreprise un monopole en leur transmettant trop d’informations. On cherche avant tout le bénéfice pour le patient”. Une préoccupation importante d’après Jean-Yves Marion, qui donne un avantage aux travaux menés en commun avec des acteurs publics : “Dans la recherche publique, on est extrêmement clair sur l’utilisation qui est faites des données”.  

 A l’avenir, le partage de données en confiance pourrait être facilité par la technologie elle-même.  

L’apprentissage fédéré, méthode qui permet à différentes entités de contribuer à un modèle d’IA sans centraliser les données,  fait partie de ces pratiques qui peuvent rassurer les détenteurs de données sensibles à valoriser. “C’est une des solutions possibles. On attend également beaucoup du chiffrement homomorphique qui permettra au machine learning de se faire directement sur des données chiffrées.” laisse entrevoir le professeur Jean-Yves Marion. Un moyen peut-être de réconcilier définitivement cybersécurité et recherche médicale.