Contexte Les systèmes d'intelligence artificielle (IA) dans le secteur de la santé sont de plus en plus intégrés dans les flux de travail cliniques, mais restent vulnérables aux attaques par empoisonnement de données. Un petit nombre d'échantillons d'entraînement manipulés peut compromettre les modèles d'IA utilisés pour le diagnostic, la documentation et l'allocation des ressources. Les réglementations de confidentialité existantes, y compris la Loi sur la portabilité et la responsabilité en matière d'assurance maladie et le Règlement général sur la protection des données, peuvent involontairement compliquer la détection des anomalies et l’audit interinstitutionnel, limitant ainsi la visibilité sur les activités adversariales. Objectif Cette étude fournit une analyse complète des menaces liées aux vulnérabilités d’empoisonnement des données à travers les principales architectures d'IA en santé. Les objectifs sont de (1) identifier les surfaces d'attaque dans les systèmes d'IA clinique, (2) évaluer la faisabilité et la détectabilité des attaques par empoisonnement modélisées analytiquement dans des recherches en sécurité antérieures, et (3) proposer un cadre de défense multicouche approprié aux milieux de santé. Méthodes Nous avons synthétisé les résultats empiriques de 41 études de sécurité majeures publiées entre 2019 et 2025 et les avons intégrés dans un cadre de modélisation analytique des menaces spécifique à la santé. Nous avons construit 8 scénarios d'attaque hypothétiques mais techniquement fondés répartis en 4 catégories : (1) attaques spécifiques à l'architecture sur des réseaux de neurones convolutifs, de grands modèles de langage et des agents d'apprentissage par renforcement (scénario A) ; (2) exploitation de l'infrastructure dans des pipelines d'apprentissage fédéré et de documentation clinique (scénario B) ; (3) empoisonnement de systèmes d'allocation de ressources critiques (scénario C) ; et (4) attaques de la chaîne d'approvisionnement affectant des modèles de fond commerciaux (scénario D). Les scénarios étaient alignés avec des modèles de menaces d'accès par des initiés réalistes et avec les pratiques de déploiement clinique actuelles. Résultats Plusieurs études empiriques démontrent que des attaquants avec accès à aussi peu que 100-500 échantillons empoisonnés peuvent compromettre les systèmes d'IA en santé, avec des taux de succès d'attaque généralement ≥60 %. De manière critique, le succès des attaques dépend du nombre absolu d'échantillons empoisonnés plutôt que de leur proportion dans le corpus d'entraînement, un constat qui remet fondamentalement en question les hypothèses selon lesquelles des ensembles de données plus importants fournissent une protection inhérente. Nous estimons que les délais de détection varient généralement de 6 à 12 mois et peuvent s'étendre sur des années dans des environnements distribués ou contraints en matière de confidentialité. Les scénarios analytiques mettent en évidence que (1) l'accès habituel des initiés crée de nombreux points d'injection à travers l'infrastructure de données en santé, (2) l'apprentissage fédéré amplifie les risques en obscurcissant l'attribution, et (3) les compromis de la chaîne d'approvisionnement peuvent simultanément affecter des dizaines à des centaines d'institutions. Les réglementations de confidentialité compliquent davantage la corrélation inter-patients et les processus d'audit des modèles, retardant considérablement la détection de campagnes d'empoisonnement subtiles. Conclusions Les systèmes d'IA en santé font face à des défis de sécurité significatifs que les cadres réglementaires et les pratiques de validation actuels ne couvrent pas de manière adéquate. Nous proposons une stratégie de défense multicouche qui combine la surveillance des désaccords d'ensemble, les tests adversariaux, des mécanismes respectueux de la vie privée mais audités, et des exigences de gouvernance renforcées. Garantir la sécurité des patients peut nécessiter un passage de modèles opaques et performants à des architectures plus interprétables et orientées contraintes avec des garanties de robustesse vérifiables.
Abtahi et al. (Fri,) ont étudié cette question.