Modifier

Implémenter le blueprint sur les services de santé Azure pour l’IA

Azure Machine Learning Studio
Azure Key Vault
Microsoft Defender pour le cloud

Le blueprint IA applicable au secteur de la santé vous permet de démarrer avec l’IA et le machine learning dans votre organisation à l’aide d’Azure. Cet article explique comment installer le blueprint et ses composants. Nous allons ensuite aborder l’utilisation de la solution pour exécuter une expérience IA et machine learning qui prédit la durée du séjour d’un patient.

Architecture

Le graphique suivant montre les produits Azure qui sont installés. Chaque ressource ou service fournit un composant de la solution de traitement IA ou machine learning, y compris les aspects transversaux d’identité et de sécurité.

Zones des composants

Téléchargez un fichier Visio de cette architecture.

Détails du scénario

Les organisations du secteur de la santé réalisent que l’IA (intelligence artificielle) et le machine learning peuvent se révéler des outils précieux à différents niveaux de leur activité, notamment pour améliorer l’état de santé des patients ou pour simplifier les opérations quotidiennes. Souvent, les organisations du secteur de la santé ne disposent pas d’équipe informatique pour implémenter des systèmes d’IA et de machine learning. Pour améliorer la situation et obtenir rapidement des solutions d’IA et de machine learning s’exécutant sur Azure, Microsoft a créé le blueprint IA Azure applicable au secteur de la santé. À l’aide de ce blueprint, nous montrons comment commencer à utiliser rapidement l’IA et le machine learning de façon fiable, sécurisée et conforme.

Avantages

Le blueprint a été créé pour donner aux organismes de santé des conseils et un démarrage rapide sur les architectures PaaS (Platform as a Service) appropriées. Le blueprint prend en charge l’IA et le machine learning dans les environnements de santé hautement réglementés. La solution garantit que le système respecte les exigences de conformité HIPAA et HITRUST.

Les équipes informatiques des organisations du secteur de la santé ont souvent peu de temps pour les nouveaux projets, en particulier ceux pour lesquels ils doivent apprendre une nouvelle technologie complexe. Le blueprint peut aider l’équipe informatique à se familiariser rapidement avec Azure et plusieurs de ses services, ce qui fait économiser le coût d’une phase de formation. Une fois le blueprint installé, le personnel technique peut s’en servir en tant qu’implémentation de référence. Le personnel peut ensuite utiliser cette connaissance pour étendre les fonctionnalités du blueprint, ou créer une nouvelle solution d’IA et de machine learning qui est basée sur le blueprint.

Le blueprint rend votre organisation rapidement opérationnelle avec les nouvelles fonctionnalités d’IA et de machine learning. Une fois que l’IA et le machine learning sont en place, l’équipe informatique est prête à mener des expériences d’IA et de machine learning à l’aide des données collectées dans diverses sources. Par exemple, des données peuvent déjà exister sur des cas précédents de septicémie et à travers un grand nombre des variables connexes qui ont été suivies pour des patients particuliers souffrant de cette pathologie. En utilisant ces données dans un format anonyme, le personnel technique peut rechercher des indicateurs de septicémie potentielle chez les patients. Ils peuvent ensuite aider à modifier les procédures opérationnelles pour mieux éviter la condition.

Le blueprint fournit les données et l’exemple de code permettant d’apprendre à prévoir la durée de séjour d’un patient. Il s’agit d’un exemple de cas d’usage qui peut servir à découvrir les composants de la solution d’IA et de machine learning.

PaaS (Platform as a Service) ou IaaS (Infrastructure as a Service)

Microsoft Azure propose des offres PaaS et SaaS, et choisir celle qui convient à vos besoins diffère en fonction du cas d’utilisation. Le blueprint est conçu pour utiliser les services PaaS permettant de prévoir la durée de séjour d’un patient à l’hôpital. Le blueprint IA Azure applicable au secteur de la santé fournit tout le nécessaire pour instancier une solution d’IA et de machine learning sécurisée, conforme et préconfigurée pour les organisations du secteur de la santé. Le modèle PaaS utilisé par ce blueprint installe et configure ce dernier comme une solution complète.

Option PaaS

L’utilisation d’un modèle de services PaaS entraîne une réduction du coût total de possession (TCO), car il n’y a aucun matériel à gérer. L’organisation n’a pas besoin d’acheter du matériel ou des machines virtuelles, ni d’en assurer la maintenance. Le blueprint utilise exclusivement les services PaaS.

Cela réduit le coût de maintenance d’une solution locale et permet à l’équipe informatique de se concentrer sur des initiatives stratégiques plutôt que sur l’infrastructure. Les frais informatiques et de stockage des budgets de dépenses d’investissement peuvent aussi passer sur les budgets de dépenses de fonctionnement à la place. Les coûts d’exploitation de ce scénario de blueprint, auxquels s’ajoutent les coûts de stockage des données, sont imputables à l’utilisation des services.

Option IaaS

Bien que le blueprint et cet article mettent l’accent sur l’implémentation de PaaS, il existe une extension open source au blueprint qui permet d’utiliser celui-ci dans des environnements IaaS (Infrastructure as a Service).

Dans un modèle d’hébergement IaaS, les clients paient pour une durée de fonctionnement des machines virtuelles hébergées Azure et leur puissance de traitement. La fonctionnalité IaaS offre un niveau de contrôle plus élevé, car le client gère ses propres machines virtuelles, mais généralement avec des coûts supplémentaires. En effet, les machines virtuelles sont facturées pour la durée de fonctionnement par rapport à l’utilisation. De plus, le client est chargé de gérer les machines virtuelles en appliquant des correctifs, en les protégeant des programmes malveillants, etc.

Le modèle IaaS n’est pas abordé dans cet article, qui met l’accent sur un déploiement PaaS du blueprint.

Blueprint IA et Machine Learning pour la santé

Le blueprint crée un point de départ pour utiliser cette technologie dans le secteur de la santé. Quand le blueprint est installé dans Azure, toutes les ressources, les services et plusieurs comptes d’utilisateur sont créés pour prendre en charge le scénario d’IA et de machine learning avec les acteurs, autorisations et services appropriés.

Le blueprint présente une expérience d’IA et de machine learning pour prévoir la durée du séjour d’un patient, ce qui permet de prévoir les besoins en personnel, le nombre de lits et d’autres aspects logistiques. Le package contient des scripts d’installation, un exemple de code, les données de test, une prise en charge de la sécurité et de la confidentialité, et bien plus encore.

Déployer ce scénario

Ressources techniques de blueprint

Les ressources répertoriées dans cette section se trouvent toutes dans le référentiel GitHub.

Examinez les ressources principales suivantes :

Les problèmes transversaux de ce modèle incluent l’identité et la sécurité, toutes deux étant particulièrement importantes quand vous traitez des données de patients. Les composants du pipeline de machine learning sont montrés dans le graphique suivant.

Pipeline de machine learning

L’implémentation d’un nouveau système dans un environnement médical réglementé est complexe. Par exemple, pour s’assurer que tous les aspects du système sont conformes à HIPAA et certifiables selon HITRUST, développer une solution simple ne suffit pas. Le blueprint installe l’identification et les autorisations de ressources pour surmonter plus facilement ces complexités.

Le blueprint fournit également des scripts et des données supplémentaires utilisés pour simuler et étudier les résultats de l’admission ou de la sortie de patients. Ces scripts permettent au personnel de commencer immédiatement à apprendre comment implémenter l’IA et le machine learning à l’aide de la solution dans un scénario isolé sécurisé.

Ressources de blueprint supplémentaires

Le blueprint fournit des conseils et des instructions exceptionnels pour l’équipe informatique et comprend également des artefacts pour aider à créer une installation entièrement fonctionnelle. Consultez les artefacts supplémentaires suivants :

Ces ressources se trouvent ici sur GitHub.

Installer le blueprint

Devenir opérationnel avec cette solution de blueprint demande très peu d'investissements en temps. Une certaine connaissance des scripts PowerShell est recommandée, mais des instructions étape par étape sont disponibles pour guider l'installation. De cette façon, les technologues réussiront le déploiement de ce blueprint, indépendamment de leurs compétences en matière de création de scripts.

L’équipe informatique avec peu d’expérience dans l’utilisation d’Azure peut envisager d’installer le blueprint entre 30 minutes et une heure.

Le script d’installation

Le blueprint fournit des conseils et des instructions exceptionnels pour l’installation. Il fournit également des scripts pour l’installation et la désinstallation des services et des ressources du blueprint. L’appel du script de déploiement PowerShell est simple. Avant que le blueprint soit installé, certaines données doivent être collectées et utilisées comme arguments pour le script deploy.ps1, comme indiqué dans le code suivant.

.\deploy.ps1 -deploymentPrefix <prefix> `
            -tenantId <tenant id> ` # also known as the Azure Active Directory (Azure AD) directory
            -tenantDomain <tenant domain> `
            -subscriptionId <subscription id> `
            -globalAdminUsername <user id> ` # ID from your Azure AD account
            -deploymentPassword <universal password> ` # applied to all new users and service accounts
            -appInsightsPlan 1 # we want app insights set up

L’environnement d’installation

Important ! N’installez pas le blueprint à partir d’un ordinateur en dehors d’Azure. L’installation a beaucoup plus de chances de réussir si vous créez une machine virtuelle Windows 10 (ou une autre machine virtuelle Windows) propre dans Azure. Exécutez ensuite les scripts d’installation à partir de là. Cette technique utilise une machine virtuelle basée sur le cloud pour réduire la latence et aider à la création d’une installation sans discontinuité.

Pendant l’installation, le script effectue des appels à d’autres packages pour les charger et les utiliser. Quand l’installation est effectuée à partir d’une machine virtuelle dans Azure, le décalage entre l’ordinateur d’installation et les ressources cibles est bien moindre. Toutefois, certains des packages de script téléchargés sont toujours vulnérables à la latence, car les packages de script résident en dehors de l’environnement Azure, ce qui peut entraîner des échecs de délai d’attente.

Résolution des problèmes : échec de l’installation

Le programme d’installation télécharge certains packages externes pendant l’installation. Parfois, une requête de ressource de script expire en raison du décalage entre l’ordinateur d’installation et le package. Dans ce cas, vous avez deux possibilités :

  1. Réexécutez le script d’installation sans aucune modification. Le programme d’installation vérifie les ressources déjà attribuées et installe uniquement celles nécessaires. Cette technique peut fonctionner, mais il existe un risque que le script d’installation tente d’attribuer des ressources déjà en place. Cela peut provoquer une erreur et l’installation échoue.

  2. Vous exécutez toujours le script deploy.ps1, mais vous passez des arguments différents pour la désinstallation des services du blueprint.

.\deploy.ps1 -clearDeploymentPrefix <prefix> `
             -tenantId <value> `
             -subscriptionId <value> `
             -tenantDomain <value> `
             -globalAdminUsername <value> `
             -clearDeployment

Une fois la désinstallation terminée, changez le préfixe dans le script d’installation, puis réessayez l’installation. Le problème de latence peut ne pas se reproduire. Si l’installation échoue lors du téléchargement des packages de script, réexécutez le script du programme de désinstallation, puis à nouveau le programme d’installation.

Après avoir exécuté le script de désinstallation, les éléments suivants auront disparu.

  • Les utilisateurs installés par le script du programme d’installation
  • Les groupes de ressources et leurs services respectifs ont disparu, notamment le stockage de données
  • L’application inscrite auprès d’Azure AD

Notez que le coffre de clés est considéré comme une « suppression réversible », et même s’il ne s’affiche pas dans le portail, il n’est pas désalloué pendant 30 jours. Cela permet de reconstituer le coffre de clés si nécessaire. Pour en savoir plus sur ce que cela implique et pour savoir comment le gérer, consultez la section Coffres de clés de cet article.

Réinstallez après une désinstallation

S’il est nécessaire de réinstaller le blueprint après une désinstallation, vous devrez changer le préfixe dans le déploiement suivant, sans quoi le coffre de clés désinstallé provoquera une erreur. Des informations supplémentaires à ce sujet sont disponibles dans la section Coffres de clés de cet article.

Rôles d’administrateur nécessaires

La personne qui installe le blueprint doit disposer du rôle Administrateur général dans Azure AD. Le compte d’installation doit également être un administrateur d’abonnement Azure pour l’abonnement utilisé. Si la personne qui effectue l’installation n’est pas dans ces deux rôles, l’installation échoue.

Programme d’installation du blueprint

De plus, l’installation n’est pas conçue pour fonctionner avec les abonnements MSDN en raison de l’étroite intégration à Azure AD. Un compte Azure standard doit être utilisé. Si nécessaire, obtenez un essai gratuit avec un crédit à dépenser pour l’installation de la solution de blueprint et l’exécutions de ses démonstrations.

Ajout d’autres ressources

L’installation du blueprint Azure n’inclut pas plus de services que ceux nécessaires pour implémenter le cas d’usage d’IA et de machine learning. Toutefois, d’autres ressources ou services peuvent être ajoutés à l’environnement Azure. Cette capacité en fait un bon banc d'essai pour des initiatives supplémentaires, ou un point de départ pour un système de production. Par exemple, vous pouvez ajouter d’autres services PaaS ou d’autres ressources IaaS dans le même abonnement et le même annuaire Azure AD.

Des nouvelles ressources, comme Azure Cosmos DB ou une nouvelle application Azure Functions, peuvent être ajoutées à la solution quand des fonctionnalités Azure supplémentaires sont nécessaires. Quand vous ajoutez de nouvelles ressources ou de nouveaux services, vérifiez qu’ils sont configurés pour répondre aux stratégies de sécurité et de confidentialité pour rester conformes aux réglementations et à la stratégie.

Il est possible de créer des ressources et des services avec des API REST Azure, des scripts Azure PowerShell ou à l’aide du portail Azure.

Utilisation de l’apprentissage automatique avec le blueprint

Le blueprint a été conçu pour illustrer un scénario de machine learning avec un algorithme de régression utilisé dans un modèle pour prévoir la durée du séjour d’un patient. Il s’agit d’une prévision courante que les fournisseurs de soins de santé exécutent, car elle aide à planifier les besoins en personnel et d’autres décisions opérationnelles. De plus, des anomalies peuvent être détectées au fil du temps quand une durée moyenne de séjour pour une pathologie donnée augmente ou diminue.

Modifier les données d’entraînement

Une fois que le blueprint est installé et que tous les services fonctionnent correctement, les données à analyser peuvent être ingérées. Les dossiers de 100 000 patients sont disponibles pour l’ingestion et fonctionnent avec le modèle. L’ingestion des dossiers des patients est la première étape de l’utilisation d’Azure Machine Learning Studio pour exécuter l’expérience la longueur durée de séjour des patients, comme indiqué dans l’image suivante.

Ingérer

Le blueprint comprend une expérience et les données nécessaires pour exécuter une tâche de machine learning dans Machine Learning Studio L’exemple utilise un modèle entraîné dans une expérience pour prévoir la durée de séjour des patients en fonction de nombreuses variables.

Dans cet environnement de démonstration, les données ingérées dans la base de données Azure SQL sont exemptes de défauts ou d’éléments manquants. Ces données soient exactes. Souvent, des données incorrectes sont ingérées et doivent être « nettoyées » avant de pouvoir être utilisées pour alimenter un algorithme d’entraînement à l’apprentissage automatique. Ou il doit être nettoyé avant d’utiliser les données dans une tâche de machine learning. Des données manquantes ou des valeurs incorrectes dans les données auront un impact négatif sur les résultats de l’analyse de machine learning.

Machine Learning Studio

De nombreuses organisations du secteur de la santé ne disposent pas d’équipe informatique pouvant se concentrer sur les projets de machine learning. De ce fait, il arrive souvent que des données précieuses restent inexploitées ou que des consultants coûteux soient amenés à créer des solutions de machine learning.

Les experts de l’IA et du machine learning, aussi bien ceux qui les découvrent, peuvent utiliser Machine Learning Studio pour concevoir des expériences. Machine Learning Studio est un environnement de conception web utilisé pour créer des expériences de machine learning. Avec Machine Learning Studio, vous pouvez créer, entraîner, évaluer et noter des modèles, ce qui fait gagner un temps précieux lors de l’utilisation de différents outils pour développer des modèles.

Machine Learning Studio offre un ensemble d’outils complet pour les charges de travail de machine learning. Cela signifie que les personnes qui ne connaissent pas le machine learning peuvent commencer rapidement à utiliser l’outil et à produire des résultats plus vite qu’avec les autres outils de machine learning. Cela permet à votre personnel informatique de se concentrer sur leur collaboration à d’autres tâches et de ne pas faire appel à un spécialiste Machine Learning. Cette fonctionnalité dans votre propre organisation de santé signifie que vous pouvez tester différentes méthodes. Les données qui en résultent sont ensuite analysées pour obtenir des informations exploitables, par exemple comment l’intervention du patient offre des modules pré-écrits. Ces modules doivent être utilisés sur un canevas avec glisser-déplacer, en composant visuellement des workflows de science des données de bout en bout en tant qu’expérimentations.

Il existe des modules pré-écrits qui encapsulent des algorithmes spécifiques comme des arbres de décision, des forêts d'arbres décisionnels, le clustering, des séries chronologiques, la détection des anomalies, entre autres.

Il est possible d’ajouter des modules personnalisés à n’importe quelle expérience. Ils sont écrits dans le langage R ou en Python. Cela permet d’utiliser des modules prédéfinis ainsi qu’une logique personnalisée pour créer une expérience plus sophistiquée.

Machine Learning Studio permet de créer et utiliser des modèles d’entraînement. Il fournit un ensemble d’expériences prédéfinies à utiliser dans les applications courantes. De plus, de nouvelles expériences peuvent être ajoutées à Machine Learning Studio sans changer aucune des ressources du blueprint.

Pour gagner du temps, visitez la galerie Azure AI Gallery afin de trouver des solutions de machine learning prêtes à l’emploi pour des secteurs d’activité spécifiques, dont celui de la santé. Par exemple, la galerie inclut des solutions et des expériences concernant le dépistage du cancer du sein et la prévision des maladies cardiaques.

Sécurité et conformité

La sécurité et la conformité sont deux des choses les plus importantes dont il faut tenir compte lors de la création, de l’installation ou de la gestion de systèmes logiciels dans un environnement des services de santé. L’investissement effectué en adoptant un système logiciel peut être amoindri si les certifications et les stratégies de sécurité exigées ne sont pas respectées.

Même si cet article et le blueprint pour le secteur de la santé se concentrent sur la sécurité technique, d’autres types de sécurité sont également importants, notamment la sécurité physique et la sécurité administrative. Ces points relatifs à la sécurité ne sont pas abordés dans cet article, qui met l’accent sur la sécurité technique du blueprint.

Principe du privilège minimum

Le blueprint installe des utilisateurs nommés avec des rôles pour prendre en charge et limiter leurs besoins d’accès aux ressources de la solution. Ce modèle est appelé « principe du privilège minimum », une approche de l’accès aux ressources dans la conception du système. Ce principe stipule que les comptes d’utilisateur et de service doivent uniquement avoir accès aux systèmes et services nécessaires à des fins légitimes.

Ce modèle de sécurité garantit la conformité du système aux exigences HIPAA et HITRUST, ce qui supprime les risques pour l’organisation.

Défense en profondeur

Les conceptions de système à l’aide de plusieurs couches d’abstraction de contrôles de sécurité utilisent la défense en profondeur. Cette approche fournit la redondance de la sécurité à plusieurs niveaux. Cela signifie que vous ne dépendez pas d’une seule couche de défense. Elle garantit que les comptes d’utilisateur et de service disposent d’un accès approprié aux ressources, services et données. Azure fournit des ressources de sécurité et de supervision à chaque niveau de l’architecture du système pour fournir une défense en profondeur pour l’ensemble des technologies.

Dans un système logiciel, comme celui installé par le blueprint, un utilisateur peut se connecter, mais peut ne pas disposer d’autorisations pour une ressource spécifique. Cet exemple de défense en profondeur est fourni par le contrôle d’accès en fonction du rôle (RBAC) et Azure AD, prenant en charge le principe du privilège minimum.

L’authentification à 2 facteurs est également une forme de défense en profondeur technique. Elle peut éventuellement être incluse une fois le blueprint installé.

Azure Key Vault

Le service Key Vault est utilisé pour stocker des secrets, des certificats et d’autres données utilisées par les applications. Il s’agit de chaînes de base de données, d’URL de point de terminaison REST, de clés API et d’autres choses que les développeurs ne veulent pas coder en dur dans une application ou distribuer dans un fichier .config.

Les coffres sont accessibles par les identités de service d’application ou d’autres comptes disposant d’autorisations Azure AD. Ainsi, les secrets sont accessibles au moment de l’exécution par les applications nécessitant le contenu d’un coffre.

Les clés stockées dans un coffre peuvent être chiffrées ou signées, et l’utilisation de clés peut être monitorée pour détecter tout problème de sécurité.

Si un coffre de clés est supprimé, il n’est pas immédiatement supprimé d’Azure. Les implications de cela sont traitées dans la section Coffres de clés.

Application Insights

Les organisations du secteur de la santé ont souvent des systèmes critiques et vitaux qui doivent être fiables et résistants. Les anomalies ou interruptions de service doivent être détectées et résolues dès que possible. Application Insights est une technologie de gestion des performances des applications (APM) qui supervise les applications et envoie des alertes en cas de problème. Elle supervise les applications au moment de l’exécution pour détecter les erreurs ou les anomalies des applications. Elle est conçue pour fonctionner avec plusieurs langages de programmation et fournit un ensemble complet de fonctionnalités permettant de garantir que les applications sont intègres et qu’elles s’exécutent sans problème.

Par exemple, une application peut avoir une fuite de mémoire. Application Insights peut aider à trouver et à diagnostiquer des problèmes de ce type par le biais de la création de rapports détaillés et d’indicateurs de performance clés (KPI) qu’il supervise. Application Insights est un service APM robuste pour les développeurs d’applications.

Cette démonstration interactive montre les principales fonctionnalités et capacités d’Application Insights, notamment un tableau de bord de supervision complet qui peut être utilisé par les experts en technologies de l’organisation de santé pour superviser l’état et l’intégrité de l’application.

Microsoft Defender pour le cloud

La supervision de la sécurité et des indicateurs de performance clés (KPI) en temps réel est une nécessité dans les applications critiques. Defender pour le cloud garantit la sécurité et la protection de vos ressources Azure. Defender pour le cloud est un service de gestion de la sécurité et de protection avancée contre les menaces. Il peut être utilisé pour appliquer des stratégies de sécurité sur l’ensemble de vos charges de travail, limiter votre exposition aux menaces ainsi que détecter les attaques et y répondre.

Defender pour le cloud standard fournit les services suivants.

  • Sécurité hybride : obtenez une vue unifiée de la sécurité sur toutes vos charges de travail cloud et locales. Cela est particulièrement utile dans les réseaux cloud hybrides utilisés par les organisations du secteur de la santé avec Azure.
  • Détection avancée des menaces : Defender pour le cloud utilise l’analytique avancée pour avoir un avantage sur les cyberattaques en constante évolution et les résoudre immédiatement.
  • Contrôles d’accès et d’application : bloquez les programmes malveillants et les autres applications indésirables en appliquant des recommandations de mise en liste verte pour vos charges de travail spécifiques et alimentées par l’apprentissage automatique.

Dans le contexte du blueprint IA applicable au secteur de la santé, Defender pour le cloud analyse les composants du système et fournit un tableau de bord affichant les vulnérabilités des services et ressources de l’abonnement. Les éléments de tableau de bord distincts fournissent une visibilité des problèmes d’une solution comme suit.

  • Politique et conformité
  • Hygiène de sécurité de la ressource
  • Protection contre les menaces

L'exemple de tableau de bord suivant identifie 13 suggestions pour améliorer les vulnérabilités des menaces du système. Il montre également une simple conformité de 46 % avec HIPAA et la stratégie.

Protection contre les menaces

L’exploration des problèmes de sécurité à niveau de gravité élevé montre quelles ressources sont affectées et la correction nécessaire pour chaque ressource, comme indiqué plus tard dans cette section.

Le service informatique peut passer de nombreuses heures à protéger manuellement l’ensemble des ressources et réseaux. Grâce à Defender pour le cloud qui permet d’identifier les vulnérabilités d’un système donné, le temps peut être consacré à d’autres quêtes stratégiques. Pour beaucoup des vulnérabilités identifiées, Defender pour le cloud peut appliquer automatiquement l’action de correction et sécuriser la ressource sans qu’aucun administrateur n’ait à examiner le problème dans le détail.

Risques élevés

Defender pour le cloud fait même plus, grâce à ses fonctionnalités de détection des menaces et d’alerte. Pour sécuriser votre environnement, utilisez Defender pour le cloud afin de monitorer les réseaux, les ordinateurs et les services cloud en vue de détecter les attaques entrantes et les activités consécutives à une violation. Defender pour le cloud collecte, analyse et intègre automatiquement les informations et journaux d’activité de sécurité à partir de diverses ressources Azure.

Dans Defender pour le cloud, les fonctionnalités de machine learning permettent de détecter les menaces qu’une approche manuelle ne pourrait pas détecter. Une liste hiérarchisée d’alertes de sécurité est affichée dans Defender pour le cloud avec les informations nécessaires pour trouver rapidement la cause du problème et des recommandations sur la façon d’y remédier.

Sécurité RBAC

Le contrôle d’accès en fonction du rôle (RBAC) fournit ou refuse l’accès à des ressources protégées, parfois avec des droits spécifiques par ressource. Cela garantit que seuls les utilisateurs appropriés peuvent accéder à leurs composants système désignés. Par exemple, un administrateur de base de données peut avoir accès à une base de données contenant les données chiffrées sur les patients tandis qu’un soignant peut avoir uniquement accès aux dossiers des patients par le biais de l’application qui les affiche. Il s’agit généralement d’un système de dossiers médicaux électroniques (Electronic Medical Record) ou de carnets de santé électroniques (Electronic Health Record). L’infirmière n’a pas besoin d’accéder aux bases de données et l’administrateur de base de données n’a pas besoin de voir les données du dossier médical d’un patient.

Pour cela, RBAC fait partie de la sécurité Azure et permet une gestion précise de l’accès pour les ressources Azure. Les paramètres affinés pour chaque utilisateur permettent à la sécurité et aux administrateurs système de déterminer avec exactitude les droits qu’ils donnent à chaque utilisateur.

Matrice de responsabilités du blueprint

La matrice de responsabilités des clients HITRUST est un document Excel prenant en charge les clients qui mettent en œuvre et documentent des contrôles de sécurité pour les systèmes reposant sur Azure. Le classeur liste les exigences HITRUST pertinentes, et explique de quelle manière Microsoft et le client doivent satisfaire chacune d’entre elles.

Il est essentiel que les clients qui génèrent des systèmes sur Azure comprennent la responsabilité partagée de l’implémentation des contrôles de sécurité dans un environnement cloud. L’implémentation d’un contrôle de sécurité spécifique peut être la responsabilité de Microsoft, la responsabilité de clients ou une responsabilité partagée entre Microsoft et les clients. Les implémentations cloud différentes affectent la façon dont les responsabilités sont partagées entre Microsoft et les clients.

Consultez le tableau des responsabilités suivant pour des exemples.

Responsabilités d’Azure Responsabilités des clients
Azure est responsable de l’implémentation, de la gestion et la supervision des méthodes et mécanismes des programmes de protection des informations par rapport à son environnement de provisionnement de service. Le client est responsable de l’implémentation, de la configuration, de gestion et la supervision des méthodes et mécanismes des programmes de protection des informations pour les ressources contrôlées par le client utilisées pour accéder aux services Azure et les utiliser.
Azure est responsable de l’implémentation, de la configuration, de la gestion et la supervision des méthodes et mécanismes de gestion des comptes par rapport à son environnement de provisionnement de service. Le client est également responsable de la gestion des comptes des instances de machines virtuelles déployée et des composants d’application résidents.

Il s’agit uniquement de deux exemples des nombreuses responsabilités à prendre en compte lors du déploiement de systèmes cloud. La matrice de responsabilités des clients HITRUST est conçue pour prendre en charge de la conformité HITRUST d’une organisation avec une implémentation du système Azure.

Personnalisation

Il est courant de personnaliser le blueprint après son installation. Les raisons et les techniques pour personnaliser l’environnement varient.

Le blueprint peut être personnalisé avant l’installation en modifiant les scripts d’installation. Bien que cela soit possible, nous vous recommandons de créer des scripts PowerShell indépendants à exécuter une fois l’installation initiale terminée. De nouveaux services peuvent également être ajoutés au système via le portail une fois que l’installation initiale a eu lieu.

Les personnalisations peuvent correspondre à l’une des actions suivantes :

  • Ajout de nouvelles expériences à Machine Learning Studio
  • Ajout de services non liés supplémentaires à l’environnement
  • Modification de l’ingestion de données et de la sortie de l’expérience de machine learning pour utiliser une source de données autre que la base de données patientdb Azure SQL
  • Mise à disposition de données de production pour l’expérience de machine learning
  • Nettoyage des données propriétaires en cours de réception pour correspondre à celles exigées par l’expérience

La personnalisation de l’installation n’est en rien différente de l’utilisation avec n’importe quelle solution Azure. Il est possible d’ajouter ou de supprimer des services ou des ressources, ce qui fournit de nouvelles fonctionnalités. Lors de la personnalisation du blueprint, veillez à ne pas modifier le pipeline général de machine learning pour garantir que l’implémentation continue à fonctionner.

Problèmes techniques

Les problèmes suivants peuvent provoquer l’échec de l’installation du blueprint ou entraîner son installation dans une configuration indésirable.

Coffres de clés

Les coffres de clés sont uniques lors de la suppression d’une ressource Azure. Les coffres sont conservés par Azure à des fins de récupération. En conséquence, un préfixe différent doit être passé dans le script d’installation chaque fois que ce dernier est exécuté, sans quoi l’installation échoue en raison d’un conflit avec le nom de l’ancien coffre. Les coffres de clés et toutes les autres ressources sont nommés en utilisant le préfixe que vous fournissez au script d’installation.

Un coffre de clés créé par le script d’installation est conservé sous forme de « suppression réversible » pendant 30 jours. Même s’il n’est pas accessible par le biais du portail, les coffres de clés supprimés de manière réversible sont gérables à partir de PowerShell et peuvent même être supprimés manuellement.

Azure AD

Il est fortement recommandé d’installer le blueprint dans une instance Azure AD vide plutôt que dans un système de production. Créez une instance d’Azure AD et utilisez son ID de locataire pendant les installations pour éviter d’ajouter des comptes de blueprint à votre instance Azure AD dynamique.

Components

  • Azure Machine Learning est un service de machine learning de niveau entreprise pour la génération et le déploiement rapides de modèles. Il fournit aux utilisateurs de tous niveaux de compétence un concepteur à faible code, un machine learning automatisé et un environnement de notebook Jupyter hébergé qui prend en charge divers IDE.
  • Machine Learning Studio se compose de l’espace de travail et d’outils que les scientifiques des données utilisent pour créer des expériences de machine learning. Il permet d’utiliser des algorithmes intégrés, des widgets à usage spécifique et des scripts R et Python. Entraînez, déployez et automatisez des modèles Machine Learning dans ce portail web à l’aide des approches « code-first » et « no-code ».
  • Key Vault est un service cloud qui propose un magasin sécurisé pour les secrets, comme les clés API, les mots de passe, les certificats et autres clés chiffrées. Key Vault vous permet également de provisionner, de gérer et de déployer facilement des certificats TLS/SSL publics et privés, à utiliser avec Azure et vos ressources connectées internes.
  • Azure Functions est un service de calcul serverless basé sur les événements qui exécute du code à tâche unique de petite taille sans nécessiter de nouvelle infrastructure. L’infrastructure cloud fournit des serveurs pour exécuter les fonctions à grande échelle. Grâce aux déclencheurs et aux liaisons, Functions peut réagir aux modifications apportées aux services Azure, comme le Stockage Blob ou Azure Cosmos DB. Vous pouvez l’utiliser pour traiter des données en bloc, intégrer des systèmes, utiliser IoT et créer des API et des microservices simples. Le plan Premium d’Azure Functions offre la possibilité de communiquer avec Functions de manière privée sur un réseau virtuel.
  • Azure SQL est une famille de bases de données cloud SQL qui offre une expérience unifiée pour l’ensemble de votre portefeuille SQL, ainsi qu’un large éventail d’options de déploiement de la périphérie dans le cloud.
  • Azure SQL Database, qui fait partie de la famille Azure SQL, est un moteur de base de données PaaS complètement managé. Il s’exécute toujours sur la dernière version stable du moteur de base de données SQL Server et un système d’exploitation corrigé. Il gère la plupart des fonctions de gestion de base de données pour vous, notamment les mises à niveau, les mises à jour correctives, les sauvegardes et le monitoring.
  • Microsoft Defender pour le cloud offre une gestion unifiée de la sécurité et une protection contre les menaces sur vos charges de travail hybrides et multiclouds, y compris les charges de travail dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP). Il s’intègre à la quasi-totalité des principaux services de la plateforme Azure. Il collecte, analyse et intègre automatiquement des données de journaux provenant de vos ressources Azure, du réseau et des solutions partenaires connectées telles que les solutions de pare-feu, pour détecter les menaces réelles et réduire le nombre de faux positifs. Defender pour le cloud aide à rechercher et à corriger les failles de sécurité, applique des contrôles d’accès et d’application pour bloquer les activités malveillantes, détecte les menaces à l’aide de l’analytique et de l’analyse décisionnelle et répond rapidement en cas d’attaque. Parmi ses fonctionnalités, citons les alertes de sécurité, la détection des anomalies, les recommandations relatives aux bonnes pratiques, les scores de conformité réglementaire et la détection des menaces.
  • Azure Powershell est un ensemble d’applets de commande qui permet de gérer les ressources Azure directement dans PowerShell. Pour plus d’informations, consultez Qu’est-ce que PowerShell ?.

Considérations

  • Le langage de script PowerShell joue un rôle déterminant dans la configuration du blueprint, même si les commandes nécessaires sont présentées dans les instructions d’installation.
  • Azure AI Gallery fournit des solutions d’IA et de machine learning pour différents secteurs d’activité. Il existe plusieurs solutions publiées par les scientifiques des données ainsi que d’autres experts du secteur de la santé.

Conclusion

Le blueprint IA des données de santé Azure est une solution de machine learning complète qui peut être utilisée comme outil d’apprentissage par les experts en technologies afin de mieux comprendre Azure et la façon dont les systèmes peuvent rester conformes aux réglementations en matière de santé. Il peut également être utilisé comme point de départ pour un système de production si vous utilisez Machine Learning Studio comme point central.

Que vous utilisiez le blueprint à des fins d’apprentissage ou comme point de départ d’une solution d’IA ou de machine learning pour votre organisation, le blueprint vous permet de bien démarrer avec l’IA et le machine learning dans Azure, dans un environnement médical.

Contributeurs

Auteur principal :

Étapes suivantes