Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Quand une erreur de livraison rencontre ChatGPT : un avertissement sur la gouvernance de l’IA dans le secteur de la santé

Quand une erreur de livraison rencontre ChatGPT : un avertissement sur la gouvernance de l’IA dans le secteur de la santé

par Danielle Barbour updated mai 29, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Le rapport DBIR 2026 pour le secteur de la santé recense 1 492 incidents et 1 438 violations confirmées. Les intrusions système, les erreurs diverses et l’ingénierie sociale représentent 81 % des violations. Des acteurs externes sont à l’origine de 81 % des cas ; la motivation financière en motive 99 %. Le schéma des erreurs diverses reste constant : la mauvaise distribution (données envoyées au mauvais destinataire), la perte (souvent des appareils ou supports non chiffrés) et la mauvaise configuration (exposition d’un stockage de données sans contrôles adéquats) figurent chaque année dans le top 3, sans diminution notable depuis plus de dix ans.

Le DBIR formule une observation discrète : « l’hygiène de base, qu’elle soit personnelle ou numérique, ne peut être négligée. Les principes fondamentaux doivent être respectés pour qu’une organisation puisse faire face aux incidents et violations de cybersécurité. » Ces fondamentaux — contrôle des accès, classification des données, chiffrement, sensibilisation — sont recommandés depuis des années. Le schéma persiste car les effectifs du secteur de la santé sont importants, dispersés, soumis à la pression du temps et déplacent fréquemment des données sensibles entre des systèmes qui n’ont pas été conçus pour interopérer.

5 points clés à retenir

1. Le schéma d’erreur du secteur de la santé perdure depuis plus de dix ans.

Le DBIR Verizon 2026 révèle que le secteur de la santé a connu 1 492 incidents et 1 438 violations confirmées, avec les erreurs diverses dans le top 3 chaque année depuis le début du suivi DBIR. Mauvaise distribution, perte et mauvaise configuration restent en tête année après année. Le DBIR 2026 l’affirme sans détour : « Le secteur de la santé est l’un des plus touchés par les erreurs humaines » dans tous les DBIR de 2014 à 2026. Ce schéma perdure car les conditions structurelles qui génèrent ces erreurs — effectifs importants, dispersés, sous pression — sont toujours présentes.

2. Les données internes sont désormais la principale catégorie d’exposition dans la santé.

Le DBIR 2026 constate que dans 65 % des violations dans la santé, ce sont des données internes qui sont compromises, contre 37 % pour les données personnelles et 25 % pour les identifiants. La sécurité des données de santé s’est historiquement concentrée sur les informations médicales protégées (PHI), mais la principale catégorie d’exfiltration inclut désormais les plans stratégiques, protocoles d’essais cliniques, opérations de fusion-acquisition et connaissances opérationnelles. Le calcul de l’exposition réglementaire doit donc s’élargir en conséquence.

3. L’implication de tiers atteint 32 % des violations dans la santé.

La faille Oracle E-Business Suite attribuée à Cl0p a touché plusieurs organisations du secteur de la santé et fait grimper ce chiffre. La montée des tiers dans tous les secteurs s’applique avec une force particulière à la santé, compte tenu de la densité des écosystèmes de fournisseurs : éditeurs de DSE, gestionnaires de sinistres, plateformes de télémédecine, services de facturation, gestionnaires de prestations pharmaceutiques. Le délai médian de divulgation de 73 jours selon Black Kite signifie que les délais de notification de violation commencent à courir avant que les organisations sachent qu’elles sont concernées.

4. La santé présente un niveau d’exposition de base via les formulaires PHI.

97 % des organisations de santé collectent des informations médicales protégées via des formulaires web, et 88 % des organisations tous secteurs confondus ont connu au moins un incident lié à un formulaire au cours des deux dernières années selon le rapport Kiteworks 2025 Data Forms. La couche formulaire est à la fois un canal principal de collecte de PHI et un vecteur d’incident majeur. La mauvaise distribution dans le DBIR illustre le versant humain ; le schéma des incidents liés aux formulaires incarne le versant technique de la même exposition.

5. La réponse architecturale : accès à l’IA gouverné et contrôles de formulaires sensibles au contenu.

La même gouvernance au niveau des données qui permet de traiter les schémas de mauvaise distribution — la gouvernance de l’IA au niveau des données — régit aussi l’accès des agents IA aux PHI grâce à des règles ABAC adaptées à la HIPAA et à des journaux d’audit infalsifiables. Le clinicien qui demande à l’IA de résumer une note patient passe par des canaux gouvernés qui appliquent les règles de traitement des PHI, et non par un compte ChatGPT personnel qui ne le fait pas.

Vous faites confiance à la sécurité de votre organisation. Mais pouvez-vous le prouver ?

Pour en savoir plus :

La composition des données a changé : les données internes dominent désormais

Les données internes représentent 65 % des violations contre 37 % pour les données personnelles, ce qui rebat les cartes du calcul de l’exposition réglementaire. La sécurité du secteur de la santé s’est historiquement organisée autour de l’exposition aux informations médicales protégées — qui implique des obligations de divulgation HIPAA, des exigences de notification de violation et un risque important de sanctions civiles. Le constat du DBIR 2026 n’atténue pas le problème PHI ; il élargit le périmètre que la sécurité des données de santé doit couvrir. Les plans stratégiques, documents opérationnels, modèles financiers, opérations de fusion-acquisition, protocoles d’essais cliniques, données de recherche — tout le contenu interne constituant la connaissance opérationnelle réelle des organisations de santé — forment désormais la principale catégorie d’exfiltration.

Le rapport Kiteworks 2025 Data Forms ajoute une observation spécifique à la santé : 97 % des organisations collectent des informations médicales protégées via des formulaires web, et 88 % des organisations tous secteurs confondus ont connu au moins un incident lié à un formulaire au cours des deux dernières années. La couche formulaire est à la fois un canal principal de collecte de PHI et un vecteur d’incident majeur.

L’implication de tiers atteint 32 % dans la santé

Le DBIR 2026 documente une implication de tiers dans 32 % des violations dans la santé — un chiffre inférieur à la moyenne tous secteurs (48 %), mais tiré vers le haut par la faille Oracle E-Business Suite attribuée à Cl0p qui a touché plusieurs organisations du secteur. Ce constat mérite une attention particulière : les écosystèmes de fournisseurs dans la santé sont denses par nature — éditeurs de DSE, gestionnaires de sinistres, chambres de compensation, fabricants de dispositifs médicaux, plateformes de télémédecine, services de facturation, laboratoires spécialisés, gestionnaires de prestations pharmaceutiques, partenaires de recherche.

Le délai médian de divulgation de 73 jours du rapport Black Kite 2026 sur les violations impliquant des tiers s’applique à la santé avec une force réglementaire particulière. La HIPAA impose un délai maximal de 60 jours pour notifier les personnes concernées après la découverte d’une violation. Une organisation qui apprend la compromission d’un fournisseur 73 jours après les faits se retrouve face à un problème de calendrier : les exigences de divulgation et de documentation courent déjà avant même que l’organisation sache qu’elle a été exposée via sa supply chain.

La couche IA : là où le schéma va s’amplifier

Le DBIR 2026 révèle que 45 % des employés utilisent régulièrement l’IA sur des appareils professionnels — contre 15 % l’année précédente — et que 67 % accèdent à des services d’IA depuis des comptes non professionnels. Les effectifs du secteur de la santé, qui commettent des erreurs de distribution de données depuis dix ans, adoptent l’IA au même rythme que le reste du marché. Remplacez « code source » dans les données DLP par « notes cliniques », « dossiers patients » ou « historiques de médication », et le profil d’exposition spécifique à la santé devient immédiatement lisible.

Un clinicien sous pression documentaire colle une note clinique dans un LLM public pour générer un compte rendu de sortie. Cette note contient des informations médicales protégées. Le fournisseur de LLM conserve l’invite pour améliorer le service et entraîner le modèle. La HIPAA n’exige pas la présence d’un attaquant : le simple téléchargement constitue l’exposition réglementaire. Le rapport DTEX Insider Threat 2026 indique que 92 % des organisations estiment que l’IA générative a modifié la façon dont les employés partagent l’information, mais seules 13 % l’ont intégrée dans leur stratégie formelle de gestion des menaces internes — une réalité qui s’applique pleinement à la santé.

Le constat du DBIR sur la motivation « praticité » aggrave la situation : 60 % des violations internes malveillantes en 2025 étaient motivées par la praticité — des employés cherchant à accomplir leur travail. Les effectifs du secteur de la santé sont sans doute les plus sous pression du monde réglementé. L’interdiction qui échoue pour l’ensemble des salariés échoue encore plus dans la santé. Le Shadow AI n’est pas un risque émergent : c’est une réalité opérationnelle actuelle.

Pourquoi la santé fait figure de précurseur pour tous les secteurs réglementés

Plusieurs facteurs font du secteur de la santé un indicateur précoce des défaillances de gouvernance de l’IA dans les industries réglementées. Le cadre réglementaire y est mature et bien outillé — exigences de notification HIPAA, lois étatiques sur la confidentialité des données de santé, contrôles de l’OCR, risques importants de sanctions civiles — ce qui permet de mesurer et documenter les violations avec une granularité rarement atteinte ailleurs. Lorsque la vague de violations liées à l’IA déferlera, la santé sera la première à la voir, car elle la mesure déjà.

Le secteur de la santé dispose du plus ancien historique documenté d’erreurs humaines parmi tous les secteurs suivis par le DBIR. Cette base de référence décennale montre comment un effectif important, dispersé et sous pression se comporte face à la documentation et aux contraintes de workflow. L’adoption de l’IA multiplie le volume et la vitesse de ces comportements sans en changer la logique sous-jacente. Les flux de données touchent déjà la plus forte densité de tiers de l’économie. Et les données de santé sont irréversiblement sensibles : une fuite de diagnostic patient n’est pas récupérable, ce qui signifie que les conséquences seront visibles dans l’actualité avant même qu’elles ne le soient dans d’autres secteurs réglementés.

La réponse architecturale : accès à l’IA gouverné avec des contrôles adaptés à la HIPAA

Le secteur de la santé a besoin d’une gouvernance au niveau des données, spécifiquement adaptée à la HIPAA, selon cinq axes architecturaux :

Accès à l’IA gouverné au niveau des données. Le serveur Kiteworks Secure MCP et la passerelle de données IA permettent aux assistants IA d’interagir avec le contenu de santé autorisé via une authentification OAuth 2.0, l’application de règles ABAC à chaque opération et des journaux d’audit infalsifiables pour chaque interaction — orientant l’usage de l’IA clinique vers des canaux gouvernés qui appliquent les règles de traitement des PHI, et non vers des comptes ChatGPT personnels qui ne le font pas.

Application de règles sensibles au contenu sur les formulaires web. 97 % des organisations de santé collectent des PHI via des formulaires ; 88 % ont connu des incidents liés aux formulaires. Des formulaires web gouvernés, dotés d’inspection de contenu, d’autorisations ABAC et d’un suivi des soumissions prêt pour l’audit, sécurisent la couche d’ingestion des PHI, et pas seulement le stockage aval.

Application ABAC alignée sur la règle HIPAA du minimum nécessaire. La règle du minimum nécessaire de la HIPAA impose de limiter l’accès aux PHI à ce que le rôle et l’usage spécifique de l’employé exigent. Les contrôles d’accès basés sur les attributs (ABAC) le mettent en œuvre techniquement : chaque demande d’accès est évaluée selon l’utilisateur, la ressource et le contexte, et non uniquement selon le rôle.

Chiffrement validé FIPS 140-3 pour les PHI au repos et en transit. La règle de sécurité HIPAA exige le chiffrement comme spécification à adresser pour les ePHI ; la validation FIPS 140-3 garantit la posture de chiffrement la plus solide pour l’audit, avec double chiffrement au repos (niveau fichier et niveau disque, clés distinctes).

Journaux d’audit infalsifiables qui résistent à l’examen de l’OCR. La réalité du délai de divulgation et les exigences de reconstruction de la HIPAA plaident pour des journaux d’audit exhaustifs, en temps réel et infalsifiables. Le réseau de données privé Kiteworks centralise les échanges de données — e-mail, partage de fichiers, MFT, SFTP, formulaires web, API, intégrations IA — sous un moteur de règles et un journal d’audit consolidé.

Ce que les responsables sécurité et conformité du secteur de la santé doivent faire dès maintenant

Premièrement, auditez l’usage réel de l’IA au sein des effectifs. La plupart des organisations de santé interdisent l’usage public de l’IA avec des PHI, mais peu mesurent la conformité. Les outils DLP et CASB permettent d’identifier les schémas de téléchargement vers des services IA publics en une semaine. Si l’organisation ignore si elle se situe à la moyenne de 45 % ou pire, la visibilité est la première priorité.

Deuxièmement, proposez des accès IA autorisés pour les workflows cliniques et administratifs. Le constat du DBIR sur la praticité prédit que les politiques « n’utilisez pas ChatGPT » continueront d’échouer. Des alternatives autorisées, dotées de règles ABAC adaptées à la HIPAA et de journaux d’audit infalsifiables, déplacent le Shadow AI vers une couche de gouvernance.

Troisièmement, traitez la couche formulaire comme vecteur d’ingestion des PHI. C’est par le formulaire que les données réglementées entrent dans l’entreprise ; la gouvernance doit s’y appliquer, et non être ajoutée en aval.

Quatrièmement, considérez les flux de données avec les tiers comme prioritaires, et non secondaires. La centralisation des échanges de données via un plan de contrôle unique, gouverné par un moteur de règles et un journal d’audit consolidé, constitue la réponse architecturale au risque de cascade dans l’écosystème fournisseurs documenté par le DBIR.

Cinquièmement, constituez des preuves prêtes pour l’OCR de chaque interaction PHI avant l’audit, et non après. Le dossier de preuve existe ou non au moment du contrôle OCR. Les journaux d’audit infalsifiables qui résistent à l’examen sont la base de la conformité démontrable à la HIPAA Security Rule.

Pour en savoir plus sur la protection des informations médicales protégées et autres données sensibles contre la mauvaise distribution, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

1 492 incidents, 1 438 violations confirmées, les erreurs diverses dans le top 3 depuis plus de dix ans. 65 % des violations concernent des données internes, 32 % impliquent des tiers. Ce schéma d’erreur décennal entre désormais en collision avec l’adoption de l’IA : 45 % des employés utilisent régulièrement l’IA sur des appareils professionnels. Le secteur de la santé fait figure de précurseur : erreurs humaines et comportements liés à l’IA progressent ensemble.

45 % des employés utilisent régulièrement l’IA sur des appareils professionnels (contre 15 % l’année précédente), 67 % accèdent à l’IA via des comptes non professionnels, le Shadow AI est la troisième action interne non malveillante la plus courante dans les données DLP. Pour la santé, les PHI sortent via le Shadow AI plus vite qu’elles n’étaient historiquement mal distribuées — et la HIPAA n’exige pas la présence d’un attaquant : le simple téléchargement constitue l’exposition.

Accès à l’IA gouverné au niveau des données : Secure MCP Server et passerelle de données IA avec authentification OAuth 2.0, application de règles ABAC alignées sur la règle HIPAA du minimum nécessaire, chiffrement FIPS 140-3 et journaux d’audit infalsifiables qui résistent à l’examen OCR. Cela remplace l’interdiction — qui, selon le constat sur la praticité (60 %), échouera — par des alternatives autorisées et gouvernées.

La mauvaise distribution et la mauvaise configuration figurent parmi les principales erreurs du secteur de la santé dans le DBIR. 97 % des organisations collectent des PHI via des formulaires ; 88 % ont connu des incidents liés aux formulaires selon le rapport Kiteworks 2025 Data Forms. La couche formulaire doit être gouvernée — inspection du contenu, autorisations ABAC, suivi des soumissions prêt pour l’audit — et pas seulement protégée en aval.

32 % des violations dans la santé impliquent un tiers, la faille Oracle E-Business Suite attribuée à Cl0p ayant touché plusieurs organisations. Le délai médian de divulgation de 73 jours selon Black Kite signifie que les délais de notification courent avant que les organisations sachent qu’elles sont concernées. Centraliser les échanges de données sous un journal d’audit unique et un plan de contrôle couvrant e-mail, partage de fichiers, MFT, SFTP, formulaires web, API et intégrations IA constitue la réponse architecturale.

Ressources complémentaires

  • Article de blog Comment protéger les données d’essais cliniques dans la recherche internationale
  • Article de blog Le CLOUD Act et la protection des données au Royaume-Uni : pourquoi la juridiction est cruciale
  • Article de blog Protection des données Zero Trust : stratégies de mise en œuvre pour plus de sécurité
  • Article de blog Protection des données dès la conception : comment intégrer les contrôles RGPD à votre programme MFT
  • Article de blog Comment prévenir les violations de données grâce au partage sécurisé de fichiers à l’international

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks