A Multiparty Homomorphic Encryption Approach to Confidential Federated Kaplan Meier Survival Analysis

Cet article propose un cadre fédéré de calcul de la courbe de Kaplan-Meier basé sur le chiffrement homomorphe CKKS à seuil, permettant d'agréger des données de survie sensibles provenant de multiples institutions sans révéler les données individuelles, tout en garantissant une précision numérique équivalente à celle d'une analyse centralisée.

L'essentiel

Imaginez que vous êtes un détective médical cherchant à comprendre pourquoi certaines personnes survivent plus longtemps à une maladie que d'autres. Pour avoir une réponse précise, vous auriez besoin de voir les dossiers de tous les patients du pays.

Mais voici le problème : ces dossiers sont ultra-confidentiels. Les hôpitaux ne peuvent pas les envoyer à un centre unique, car cela violerait la vie privée des patients. C'est comme essayer de résoudre un puzzle géant sans jamais pouvoir mélanger les pièces sur la même table.

C'est là que cette recherche intervient avec une solution ingénieuse, un peu de la magie mathématique.

1. Le Problème : Le "Vol" par Soustraction

Dans les méthodes actuelles, les hôpitaux envoient des résumés chiffrés. Mais il y a une faille : si un hôpital reçoit le total global (par exemple, "100 patients sont en danger ce jour-là") et qu'il connaît ses propres chiffres ("Moi, j'ai 10 patients"), il peut faire un simple calcul : 100 - 10 = 90.
Il vient de découvrir, sans le vouloir, les chiffres secrets de tous les autres hôpitaux ! C'est comme si, en connaissant le poids total d'un sac de pommes et le poids de la pomme que vous avez dans votre main, vous deviniez exactement le poids de chaque pomme dans le sac des autres.

2. La Solution : La "Coffre-Fort Mathématique" (Cryptographie Homomorphe)

Les auteurs ont créé un système basé sur une technologie appelée cryptographie homomorphe. Imaginez cela comme un coffre-fort magique qui permet de faire des calculs à l'intérieur sans jamais l'ouvrir.

Voici comment cela fonctionne, étape par étape, avec une analogie simple :

• Le Verrouillage (Chiffrement) : Chaque hôpital prend ses données (le nombre de patients à risque et le nombre d'événements) et les met dans un coffre-fort numérique verrouillé. Personne ne peut voir ce qu'il y a dedans, pas même l'ordinateur central qui va faire le calcul.
• Le Calcul Magique (Homomorphisme) : Au lieu de déverrouiller les coffres, l'ordinateur central utilise une "clé mathématique" spéciale. Il peut additionner les coffres entre eux. C'est comme si vous pouviez empiler des boîtes scellées et savoir que le poids total est la somme des poids intérieurs, sans jamais ouvrir une seule boîte.
• La Clé à Plusieurs (Décryptage à Seuil) : Pour ouvrir le résultat final, il ne suffit pas d'une seule clé. Il faut que plusieurs personnes (un comité d'hôpitaux) mettent leurs clés ensemble pour ouvrir le coffre final. Si un seul hôpital essaie de tricher, il ne peut rien voir.

3. L'Analogie du "Chef d'Orchestre" et des "Musiciens"

Imaginez un grand orchestre (les hôpitaux) qui joue une symphonie (l'analyse de survie).

• L'ancien système : Chaque musicien envoyait sa partition écrite au chef. Le chef les collait ensemble et renvoyait la partition totale à tout le monde. Un musicien malveillant pouvait comparer sa partition avec la totale pour deviner ce que jouaient les autres.
• Le nouveau système : Chaque musicien joue sa partition dans une boîte acoustique isolée (chiffrée). Le chef entend le son global, mais ne voit pas les notes individuelles. À la fin, tous les musiciens se réunissent pour ouvrir la boîte finale et entendre la mélodie complète. Ils connaissent la chanson, mais personne ne sait exactement quelles notes a jouées le voisin, car elles sont mélangées dans le son final.

4. Les Résultats : Précision et Sécurité

Les chercheurs ont testé ce système avec des données simulées de 60 000 patients répartis sur 500 hôpitaux.

• Précision : La courbe de survie obtenue avec ce système magique est identique à celle qu'on aurait eue si on avait pu voir toutes les données brutes. C'est comme si le coffre-fort n'avait pas ajouté le moindre grain de sable dans le calcul.
• Vitesse : C'est rapide et efficace, même avec des centaines d'hôpitaux.
• Sécurité : L'attaque par soustraction est impossible. Comme les chiffres intermédiaires ne sont jamais révélés, on ne peut pas faire le calcul Total - Moi = Eux.

En Résumé

Cette étude propose une nouvelle façon de faire de la recherche médicale collaborative. Elle permet de répondre à des questions vitales ("Combien de temps survivent les patients ?") en protégeant la vie privée de chaque patient et de chaque hôpital.

C'est comme permettre à des milliers de personnes de construire un mur ensemble sans jamais avoir à montrer leurs briques individuelles. On voit le mur final, solide et précis, mais on ne sait jamais qui a apporté quelle brique. C'est une victoire majeure pour la santé publique et la confidentialité des données.

Résumé technique

1. Problématique et Contexte

L'analyse de survie (notamment via l'estimateur de Kaplan-Meier) est fondamentale en recherche clinique et épidémiologique. Cependant, la nécessité de centraliser des données de santé sensibles provenant de multiples institutions pour effectuer ces analyses se heurte à des contraintes strictes de confidentialité et de gouvernance (RGPD, secrets médicaux).

Les approches existantes de l'analyse fédérée (Federated Analytics) tentent de résoudre ce problème, mais elles présentent des failles majeures :

• Protocoles en clair : Dans les systèmes fédérés classiques à deux tours, la diffusion des comptages agrégés (nombre de patients à risque $n_t$ et nombre d'événements $d_t$) par tour permet à un site malveillant (ou curieux) de reconstruire exactement les données des autres sites par simple soustraction ($n_{autres} = n_{fédéré} - n_{site}$).
• Limites des solutions cryptographiques actuelles : Les systèmes basés sur l'homomorphisme entier (BFV/BGV) nécessitent un encodage en virgule fixe complexe pour les données réelles. Les approches par confidentialité différentielle (DP) dégradent souvent la fidélité des courbes de survie, surtout dans les régimes à faible nombre d'événements.

2. Méthodologie Proposée

Les auteurs proposent un cadre fédéré pour l'estimation de Kaplan-Meier basé sur le chiffrement homomorphe multiparty (MHE) utilisant le schéma CKKS (Cheon-Kim-Kim-Song) avec décryptage à seuil.

Architecture du Protocole

Le protocole se déroule en trois phases principales :

1. Phase A (Initialisation et Grille d'alignement) :
   • Génération de clés distribuée (DKG) pour créer une clé publique conjointe et des parts de clé secrète.
   • Les sites envoient leurs temps de survie uniques (en clair) pour construire une grille d'alignement globale $T_{all}$.
2. Phase B (Agrégation Chiffrée) :
   • Chaque site calcule localement les comptages $n_t$ (à risque) et $d_t$ (événements) alignés sur la grille globale.
   • Ces vecteurs sont empaquetés (packing) dans des blocs de texte clair CKKS et chiffrés. Deux modes d'empaquetage sont étudiés :
     • Intercalé (Interleaved) : Co-empaquetage des paires $(n_t, d_t)$ dans un seul flux de chiffrés.
     • Séparé : Deux flux de chiffrés distincts pour $n$ et $d$.
   • Le coordinateur effectue une addition homomorphe des chiffrés reçus. Aucune donnée en clair n'est révélée à cette étape.
3. Phase C (Décryptage à Seuil et Sortie) :
   • Un comité de décrypteurs (un sous-ensemble ou l'ensemble des sites) génère des parts de décryptage.
   • Un combinateur fusionne ces parts pour obtenir les comptages agrégés en clair.
   • Gating de sortie (Output Gating) : Seule la courbe de survie finale $\hat{S}(t)$ (et éventuellement des bandes de confiance) est publiée. Les tableaux de comptages intermédiaires $(n_t, d_t)$ ne sont jamais divulgués aux sites participants.

Caractéristiques Techniques Clés

• CKKS : Permet le calcul approximatif sur des nombres à virgule flottante, essentiel pour les statistiques de survie.
• Décryptage à seuil : Nécessite l'approbation d'un nombre $\theta$ de parties (généralement $\theta = R$, où $R$ est la taille du comité) pour décrypter, empêchant tout acteur unique de voir les données agrégées.
• Optimisation d'empaquetage : Preuve théorique que l'empaquetage intercalé est optimal pour minimiser le nombre de chiffrés nécessaires pour les deux flux de données.

3. Contributions Clés

1. Cadre MHE Complet : Première implémentation d'un système fédéré Kaplan-Meier utilisant CKKS avec décryptage à seuil et gating de sortie strict, éliminant le canal d'attaque par soustraction.
2. Garanties au Niveau de l'Estimateur :
   • Preuve que l'estimateur fédéré en clair est identique à l'oracle centralisé.
   • Preuve que l'évaluation homomorphe exacte reproduit l'oracle.
   • Dérivation d'une borne de perturbation CKKS pour l'estimateur de Kaplan-Meier, démontrant la convergence uniforme lorsque le bruit de décryptage tend vers zéro.
   • Résultat d'identifiabilité : La publication de la courbe de survie $\hat{S}(t)$ révèle les ratios de risque instantanés mais ne permet pas de reconstruire les comptages entiers $(n_t, d_t)$ ni la répartition par site.
3. Lois d'Échelle (Scaling Laws) :
   • Dérivation de formules fermées pour la communication et la complexité computationnelle.
   • La bande passante montante (uplink) croît linéairement avec le nombre de sites $K$ et par paliers en fonction du nombre de points temporels $|T|$.
   • Preuve que l'empaquetage intercalé réduit le nombre de chiffrés (et donc le temps de calcul et la bande passante) d'un facteur allant jusqu'à 2 par rapport à l'empaquetage séparé.
4. Validation Empirique à Grande Échelle :
   • Tests sur un jeu de données synthétique de cancer du sein (60 000 patients) répartis sur 500 sites.
   • Comparaison avec un oracle centralisé montrant une indistinguabilité numérique (erreurs de l'ordre de $10^{-8}$ à $10^{-12}$).

4. Résultats Principaux

• Sécurité : Dans les protocoles en clair, la reconstruction des données des autres sites par soustraction est exacte (taux de réussite 100%). Le protocole proposé élimine totalement cette vulnérabilité car les comptages intermédiaires ne sont jamais en clair.
• Fidélité Numérique : Les courbes de survie générées par le protocole chiffré sont statistiquement et numériquement indiscernables de l'oracle centralisé, que ce soit pour la fonction de survie, le temps de survie moyen restreint (RMST), ou les risques cumulés.
• Performance et Échelle :
  • Le temps d'exécution croît de manière quasi-linéaire avec le nombre de sites ($K$).
  • L'empaquetage intercalé offre un gain de performance de 10 % à 22 % par rapport à l'empaquetage séparé pour les grandes fédérations (500 sites), sans perte de précision.
  • La communication est prévisible : l'uplink chiffré est linéaire en $K$ et dépend de la capacité des slots CKKS ($B$).

5. Signification et Impact

Ce travail comble un vide important entre la théorie cryptographique et l'application pratique en épidémiologie :

• Confidentialité Pratique : Il offre une solution viable pour les collaborations multi-institutionnelles où la centralisation des données est impossible, tout en garantissant que les données brutes ne sont jamais exposées, même aux coordinateurs (si le combinateur est distinct).
• Précision Statistique : Contrairement aux méthodes de confidentialité différentielle qui ajoutent du bruit, cette approche préserve la fidélité statistique de l'estimateur de Kaplan-Meier, ce qui est crucial pour la prise de décision clinique.
• Faisabilité Opérationnelle : En démontrant que le protocole fonctionne efficacement à l'échelle de 500 sites avec des temps de calcul raisonnables (quelques secondes), l'article valide la viabilité du chiffrement homomorphe pour des analyses de survie réelles.

En résumé, cette étude propose un cadre robuste, théoriquement fondé et empiriquement validé pour réaliser des analyses de survie fédérées de haute fidélité, protégeant efficacement la vie privée des patients contre les attaques par reconstruction tout en maintenant une performance computationnelle acceptable.