Des chercheurs prouvent que l'IA médicale peut être trompée par des manipulations invisibles. Vos diagnostics et traitements sont-ils en danger ?

Quand l'IA médicale devient une cible : les attaques adversariales font-elles peser un vrai risque sur nos soins ?

Imaginez qu'un algorithme médical soit discrètement manipulé — non pas par une panne technique, mais par une intervention délibérée et invisible. Les conséquences possibles donnent le vertige : un cancer qui passe inaperçu, un dosage médicamenteux erroné, ou une tumeur parfaitement bénigne classée comme maligne. Ce scénario, que l'on aurait volontiers relégué aux travaux théoriques des chercheurs en cybersécurité, s'impose désormais comme une préoccupation centrale de la médecine numérique. En 2024, une recherche parue dans Nature Medicine a établi qu'il suffisait de modifier moins de 1 % des pixels d'une image IRM pour tromper un algorithme de détection tumorale dans 86 % des cas. Difficile, face à ce constat, de continuer à regarder ailleurs. Patients, praticiens et autorités suisses ont tout intérêt à saisir ce que ces menaces signifient vraiment dans leur quotidien.

Quand l'IA médicale est manipulée : les attaques adversariales — Une manipulation invisible de pixels suffit à tromper un algorithme d'IA médicale de pointe.

Comprendre les attaques adversariales : une faille au cœur des algorithmes médicaux

Une attaque adversariale, c'est quoi exactement ? En termes simples, c'est une altération soigneusement calculée d'une donnée d'entrée — une image, un signal, un texte — dont le but est de faire dérailler un système d'IA, et ce, sans que l'œil humain ne remarque quoi que ce soit d'anormal. Ce n'est pas un bug, pas un hasard : c'est une faille structurelle dans la façon dont les réseaux de neurones profonds appréhendent et classifient l'information.

Dans le monde médical, ces données d'entrée prennent des formes très concrètes : images radiologiques (IRM, scanner, rayons X), tracés ECG, coupes anatomopathologiques numérisées, séquences génomiques. Un attaquant suffisamment habile peut introduire un bruit imperceptible — quelques unités Hounsfield à peine — sur un scanner pulmonaire pour faire littéralement « disparaître » une tumeur aux yeux de l'algorithme. Ou, à l'inverse, il peut fabriquer de toutes pièces une lésion fantôme sur un poumon sain, entraînant des actes invasifs inutiles et des coûts considérables.

On distingue deux grandes familles d'attaques :

Les attaques en boîte blanche (white-box) : l'attaquant a une connaissance complète de l'architecture du modèle visé et peut calculer avec précision la perturbation idéale grâce à des méthodes comme FGSM (Fast Gradient Sign Method) ou PGD (Projected Gradient Descent).
Les attaques en boîte noire (black-box) : l'attaquant n'observe que les sorties du modèle, mais parvient tout de même à générer des attaques transférables à partir d'architectures similaires — avec des taux de succès qui dépassent encore les 60 %, selon des travaux de l'ETH Zurich publiés en 2025.

Pourquoi ces failles résistent-elles aussi bien aux tentatives de correction ? Parce que les réseaux de neurones ne perçoivent pas les images comme le ferait un radiologue expérimenté. Ils fonctionnent à partir de corrélations statistiques dans des espaces à très haute dimensionnalité. Une variation de 0,3 % de l'intensité d'un seul pixel peut suffire à faire basculer la décision du réseau d'une catégorie à une autre — sans que le moindre changement ne soit perceptible visuellement. C'est un peu comme si une poignée de grains de sable déplacés suffisaient à modifier le verdict d'un expert.

Quand l'IA médicale est manipulée : les attaques adversariales — illustration — Illustration d'une perturbation adversariale sur une radiographie pulmonaire : invisible pour un radiologue, décisive pour l'algorithme.

Quels secteurs médicaux sont les plus exposés à ces manipulations ?

La radiologie et l'anatomopathologie numérique arrivent sans surprise en tête des domaines les plus vulnérables, du fait de leur dépendance massive aux réseaux convolutifs profonds pour l'analyse d'images. Comme le développe notre article sur l'IA en radiologie et la révolution du diagnostic médical en Suisse, les algorithmes de détection du cancer du sein, du cancer pulmonaire ou des AVC sont déjà intégrés dans des flux cliniques opérationnels au sein de plusieurs établissements hospitaliers helvétiques.

Les secteurs les plus préoccupants en 2026 sont les suivants :

La dermatologie IA : les classificateurs de mélanomes affichent des performances comparables à celles des dermatologues les plus aguerris (AUC supérieur à 0,94), mais une étude de l'Université de Stanford (2024) a révélé que 73 % de ces systèmes pouvaient être mis en défaut par une simple modification de la couleur d'arrière-plan de l'image. Assez renversant, non ?
La cardiologie : les algorithmes d'interprétation ECG embarqués dans des objets connectés grand public (Apple Watch, Withings) sont susceptibles d'être manipulés pour masquer une fibrillation auriculaire ou simuler un infarctus du myocarde, ouvrant potentiellement la voie à des prescriptions d'anticoagulants totalement injustifiées.
L'oncologie : les systèmes de planification de radiothérapie guidée par IA calculent leurs dosimétries en s'appuyant sur la segmentation automatique des tumeurs — une attaque adversariale ciblant cette segmentation pourrait exposer des tissus sains à des doses irradiantes létales.
La pathologie numérique : les outils d'analyse histologique des biopsies par IA (comme Paige.AI, certifié CE en Europe) se révèlent vulnérables à des attaques modifiant la coloration numérique des préparations.
La médecine génomique : les pipelines d'analyse de variants pathogènes peuvent être compromis dès les données brutes de séquençage pour dissimuler des mutations oncogènes.

Ces vulnérabilités s'inscrivent dans un paysage de risques plus vaste, bien documenté dans notre dossier sur la cybersécurité des données de santé et des risques cachés des applications et des objets connectés — où chaque interface numérique représente une surface d'attaque potentielle.

Qui manipule ces algorithmes, et dans quel but ?

Les profils d'acteurs susceptibles de mener des attaques adversariales contre des systèmes d'IA médicale sont bien plus variés qu'on ne le suppose habituellement. Oubliez le cliché du hacker isolé dans sa cave : les menaces réelles émanent de catégories très différentes, avec des motivations souvent opposées.

Les États et groupes APT (Advanced Persistent Threat) représentent l'échelon le plus sophistiqué. Plusieurs rapports de l'Agence de l'Union européenne pour la cybersécurité (ENISA, 2025) documentent des campagnes ciblant des infrastructures hospitalières avec pour objectif de compromettre la fiabilité diagnostique à large échelle — particulièrement en situation de crise sanitaire.

La fraude à l'assurance offre un mobile purement économique : détourner un algorithme de pré-autorisation médicale pour valider ou bloquer le remboursement d'un acte, c'est du gain financier direct. En Suisse, les caisses-maladie font de plus en plus appel à l'IA pour traiter et valider les factures médicales — ces outils deviennent naturellement des cibles de choix.

La concurrence industrielle déloyale entre fabricants de dispositifs médicaux constitue un mobile moins évident mais bien réel. Discréditer l'algorithme d'un concurrent en exposant publiquement ses fragilités, ou saboter ses résultats lors d'un essai clinique comparatif — voilà des stratégies que la compétition commerciale peut, hélas, rendre tentantes.

Les menaces internes — employés insatisfaits, sous-traitants en conflit — méritent également une attention particulière. Ces acteurs disposent souvent d'un accès direct aux architectures des modèles et aux pipelines de données, ce qui leur permet de monter des attaques en boîte blanche d'une efficacité redoutable.

Et puis, il y a les motivations idéologiques. Dans un contexte où la défiance envers la médecine numérique progresse, on ne peut exclure que certains cherchent à démontrer spectaculairement la faillibilité de l'IA médicale pour nourrir des discours anti-technologiques. C'est peut-être le scénario le moins probable — mais pas le moins dangereux.

Ce que la recherche révèle : des preuves scientifiques préoccupantes

Depuis 2023, la littérature académique consacrée aux attaques adversariales contre l'IA médicale a connu une véritable explosion. Les données accumulées sont précises, cohérentes, et franchement inquiétantes.

Quand l'IA médicale est manipulée : les attaques adversariales — détail — Résultats d'une étude montrant la vulnérabilité des algorithmes de détection de tumeurs face à des perturbations adversariales imperceptibles.

Le tableau ci-dessous synthétise les principales études récentes :

Étude / Institution	Domaine	Taux de succès de l'attaque	Perturbation utilisée
Nature Medicine, 2024	IRM cérébrale (tumeurs)	86 %	< 1 % des pixels modifiés
ETH Zurich, 2025	Radiologie thoracique	61 % (boîte noire)	Bruit gaussien ε = 0,02
Stanford ML Group, 2024	Dermatologie (mélanome)	73 %	Modification de la couleur de fond
MIT CSAIL, 2025	ECG / cardiologie	79 %	Perturbation temporelle < 0,5 ms
EPFL Lausanne, 2024	Pathologie numérique	68 %	Modification de la coloration H&E

Ce qui rend ces résultats encore plus inquiétants, c'est que la quasi-totalité des algorithmes concernés avaient préalablement satisfait à toutes les procédures de validation clinique réglementaires en vigueur. L'étude de l'EPFL Lausanne (2024) formule d'ailleurs une conclusion particulièrement dérangeante : les méthodes de validation actuelles — reposant sur des jeux de données de test statiques — sont structurellement incapables de détecter la vulnérabilité adversariale d'un modèle.

Cette lacune réglementaire rejoint directement les interrogations soulevées dans notre analyse sur l'IA Act et la santé en Suisse : ce que la réglementation va changer. Ni le règlement européen sur l'IA (entré en vigueur en 2024), ni les directives de Swissmedic n'imposent à ce jour de tests de robustesse adversariale comme prérequis à la certification des dispositifs médicaux de classe IIb ou III.

Il convient aussi de replacer ces vulnérabilités dans un contexte plus large. Notre article sur les dangers des erreurs algorithmiques quand l'IA médicale hallucine le montre bien : les défaillances des outils d'IA médicale ne surviennent pas uniquement sous l'effet d'attaques intentionnelles — elles peuvent aussi émerger spontanément, dans des conditions d'utilisation que leurs concepteurs n'avaient tout simplement pas anticipées.

Responsabilité légale : qui est comptable d'un diagnostic faussé par une attaque ?

La question juridique est peut-être la plus épineuse de toutes. Qui répond, devant la loi, d'un diagnostic erroné causé par une attaque adversariale ? Comme nous l'examinons en détail dans notre article sur l'IA médicale et les erreurs : qui est responsable en Suisse ?, le cadre légal helvétique ne fournit pas encore de réponse satisfaisante à cette configuration inédite.

Plusieurs acteurs peuvent théoriquement se retrouver dans le viseur :

Le fabricant du dispositif médical : en vertu du règlement MDR et de la loi suisse sur les produits thérapeutiques (LPTh), le fabricant est tenu de garantir la sécurité et les performances de son dispositif dans ses conditions d'utilisation normales. Reste une question ouverte : une attaque adversariale constitue-t-elle une condition d'utilisation « prévisible » au sens de ces textes ?
L'établissement de santé : si l'hôpital n'a pas déployé de mesures de cybersécurité suffisantes pour détecter ou prévenir ce type de manipulation, sa responsabilité institutionnelle pourrait être engagée.
Le médecin prescripteur : le principe fondamental demeure — l'IA assiste la décision médicale, elle ne la remplace pas. Un clinicien qui valide mécaniquement la sortie d'un algorithme sans mobiliser son propre jugement clinique s'expose à une mise en cause pour faute professionnelle.

En pratique, démontrer qu'une erreur diagnostique résulte spécifiquement d'une attaque adversariale, plutôt que d'un dysfonctionnement ordinaire ou d'une défaillance humaine, est extrêmement difficile. Il n'existe aujourd'hui aucun protocole forensique standardisé permettant d'établir cette causalité devant un tribunal. Cette lacune fait écho aux difficultés d'imputabilité documentées dans notre dossier sur les biais algorithmiques en IA médicale et leur reproduction des inégalités — les dérives de l'IA médicale sont rarement faciles à attribuer, et encore moins à corriger juridiquement.

Quelles solutions techniques et organisationnelles pour renforcer la sécurité de l'IA médicale ?

Heureusement, la communauté scientifique et industrielle n'est pas restée les bras croisés. Un véritable arsenal défensif a été développé — même si, soyons honnêtes, aucune solution ne garantit aujourd'hui une immunité totale.

Quand l'IA médicale est manipulée : les attaques adversariales — exemple — Les défenses adversariales multicouches combinent robustesse du modèle, détection d'anomalies et supervision humaine renforcée.

Sur le plan technique du modèle :

L'entraînement adversarial (Adversarial Training) consiste à intégrer délibérément des exemples adversariaux dans les données d'entraînement. Popularisée par Madry et al. (MIT, 2018), cette approche améliore la robustesse de l'ordre de 30 à 40 % contre les attaques PGD — au prix d'une légère érosion des performances nominales (−2 à −5 % d'AUC).
La dénoisation certifiée (Certified Defenses) s'appuie sur des techniques comme le Randomized Smoothing pour offrir une garantie mathématique qu'aucune perturbation inférieure à un seuil ε donné ne peut modifier la décision du modèle.
Les détecteurs d'anomalies adversariales constituent une couche de sécurité supplémentaire : ils analysent les données d'entrée avant qu'elles n'atteignent le modèle principal, en signalant les patterns statistiquement suspects.
L'ensemblisme de modèles (Model Ensembling) complique considérablement les attaques transférables en combinant plusieurs architectures hétérogènes.

Sur le plan organisationnel et réglementaire :

Rendre obligatoires des tests standardisés de robustesse adversariale dans les procédures de certification des dispositifs médicaux à base d'IA — une recommandation formulée par l'ENISA dans son rapport de novembre 2025.
Instaurer des audits de sécurité réguliers des algorithmes en production, incluant des exercices de red team spécialisés en IA médicale.
Investir dans la formation des soignants à une compréhension lucide des limites des outils d'IA, comme le préconise notre article sur l'IA générative dans la formation des professionnels de santé : opportunités et limites éthiques.
Déployer des protocoles de surveillance en temps réel des pipelines de données médicales — notamment dans les contextes de jumeaux numériques en santé où l'IA crée votre double virtuel, qui représentent une surface d'attaque particulièrement étendue.
Appliquer rigoureusement le principe de défense en profondeur (defense-in-depth) : chiffrement de bout en bout des images médicales, signatures cryptographiques des données dès leur acquisition, journalisation immuable de toute modification.

Du côté suisse spécifiquement, Swissmedic a publié en mars 2026 un document de guidance préliminaire sur la cybersécurité des SaMD (Software as a Medical Device) qui cite explicitement les attaques adversariales comme un risque à évaluer dans le cadre de l'analyse de risque selon ISO 14971. C'est un premier pas indéniable — même si les exigences demeurent, pour l'heure, non contraignantes.

Conclusion : une menace réelle, des réponses à la hauteur

Les attaques adversariales contre l'IA médicale ne relèvent plus du domaine de la spéculation : elles sont documentées, mesurées, et techniquement accessibles à des acteurs disposant de moyens relativement modestes. Que des systèmes d'IA capables de rivaliser avec les meilleurs spécialistes sur des tâches diagnostiques puissent être mis en échec par des perturbations invisibles à l'œil nu — voilà l'un des paradoxes les plus saisissants de la médecine numérique en 2026.

Mais cette menace reste gérable, à condition qu'elle soit prise au sérieux. Elle appelle une réponse coordonnée entre chercheurs en sécurité IA, ingénieurs biomédicaux, régulateurs (Swissmedic, OFSP), établissements de santé et cliniciens. Elle impose également une évolution du cadre éthique et juridique, notamment en lien avec les problématiques abordées dans notre dossier sur les deepfakes médicaux et la confiance et la sécurité des patients à l'ère de l'IA — où manipulation de l'information et manipulation des algorithmes convergent vers les mêmes préjudices.

La robustesse adversariale doit devenir un critère de certification aussi fondamental que la précision diagnostique elle-même. Un algorithme de détection du cancer qui affiche 95 % de sensibilité mais peut être trompé dans 86 % des cas par une attaque invisible n'est tout simplement pas un dispositif sûr. La médecine a toujours exigé que ses outils restent fiables même dans les conditions les plus adverses — il n'y a aucune raison valable d'exempter l'IA de cette exigence fondamentale, vieille comme la profession.

Votre établissement ou votre organisation de santé déploie des outils d'IA diagnostique et souhaite évaluer sa résistance aux attaques adversariales ? Contactez les experts de CyberClinique pour un audit de robustesse adapté à vos systèmes et à vos obligations réglementaires en Suisse.

Quand l'IA médicale est manipulée : les attaques adversariales