Cyberattaques des Hôpitaux en Europe

La Commission a présenté aujourd'hui un plan d'action de l'UE visant à renforcer la cybersécurité des hôpitaux et des prestataires de soins de santé. Ce plan d'action a été annoncé dans les orientations politiques de la présidente von der Leyen comme une priorité essentielle au cours des 100 premiers jours du nouveau mandat. Cette initiative constitue une mesure importante pour protéger le secteur des soins de santé contre les cybermenaces. En renforçant les capacités des hôpitaux et des prestataires de soins de santé en matière de détection des menaces, de préparation et de réaction, elle créera un environnement plus sûr et plus sécurisé pour les patients et les professionnels de santé.

La transformation numérique révolutionne les soins de santé, en permettant aux patients de bénéficier de meilleurs services grâce à des innovations telles que les dossiers médicaux électroniques, la télémédecine et les diagnostics fondés sur l'IA. Toutefois, des cyberattaques peuvent retarder les procédures médicales, provoquer des engorgements dans les services d'urgence et entraîner des perturbations des services d'importance vitale qui, dans des cas extrêmes, pourraient avoir des conséquences directes sur la vie des Européens. Les États membres ont signalé 309 incidents de cybersécurité importants dans le secteur des soins de santé en 2023, soit plus que dans tout autre secteur critique.

Le plan d'action propose, notamment, que l'ENISA, l'Agence de l'Union européenne pour la cybersécurité, mette en place un centre paneuropéen d'appui en matière de cybersécurité pour les hôpitaux et les prestataires de soins de santé, qui fournira des conseils, des outils, des services et des formations sur mesure. L'initiative repose sur le cadre plus large de l'UE destiné à renforcer la cybersécurité dans l'ensemble des infrastructures critiques et constitue la première initiative sectorielle prise en vue du déploiement de l'ensemble des mesures de cybersécurité de l'UE.

En résumé, le plan d'action se concentre sur quatre priorités:

• Renforcer la prévention: le plan contribue à renforcer les capacités du secteur des soins de santé en matière de prévention des incidents de cybersécurité en améliorant les mesures de préparation telles que les conseils sur la mise en œuvre de pratiques critiques en matière de cybersécurité. Deuxièmement, les États membres peuvent également introduire des chèques «cybersécurité» pour apporter une assistance financière aux hôpitaux et prestataires de soins de santé, de très petite taille, de petite taille et de taille moyenne. Enfin, l'UE élaborera aussi des ressources d'apprentissage en matière de cybersécurité pour les professionnels de santé.
• Mieux détecter et identifier les menaces: le centre d'appui en matière de cybersécurité pour les hôpitaux et les prestataires de soins de santé mettra en place un service d'alerte précoce à l'échelle de l'UE, qui fournira des alertes en temps quasi réel sur les cybermenaces potentielles, d'ici à 2026.
• Réagir aux cyberattaques afin que leurs conséquences soient réduites au minimum: le plan propose d'établir un service de réaction rapide pour le secteur de la santé dans le cadre de la réserve de cybersécurité de l'UE. Créée par le règlement sur la cybersolidarité, la réserve met à disposition des services de réaction en cas d'incident fournis par des prestataires de services privés de confiance. Le plan prévoit l'organisation d'exercices nationaux de cybersécurité, parallèlement à l'élaboration de manuels destinés à aider les organismes de soins de santé à réagir aux menaces spécifiques en matière de cybersécurité, y compris les rançongiciels. Les États membres sont encouragés à demander aux entités de déclarer les rançons qu'elles ont payées afin de pouvoir leur apporter le soutien dont elles ont besoin et de permettre un suivi par les services répressifs.
• Dissuader: protéger les systèmes de soins de santé européens en dissuadant les acteurs de la cybermenace de les attaquer. Cela inclut l'utilisation de la boîte à outils cyberdiplomatique, une réponse diplomatique commune de l'UE aux actes de cybermalveillance.

Le plan d'action sera mis en œuvre conjointement avec les prestataires de soins de santé, les États membres et la communauté de la cybersécurité. Pour affiner davantage les actions les plus efficaces afin que les patients et les prestataires de soins de santé puissent en bénéficier, la Commission lancera prochainement une consultation publique sur ce plan d'action, ouverte à tous les citoyens et parties prenantes.

Étapes suivantes

Le plan d'action marque le début d'un processus visant à améliorer la cybersécurité dans le secteur des soins de santé. Des actions spécifiques seront mises en œuvre progressivement en 2025 et 2026. Les résultats de la consultation alimenteront une réflexion menant à d'autres recommandations d'ici à la fin de l'année.

Contexte

L'UE œuvre sur différents fronts pour promouvoir la cyberrésilience et protéger ses citoyens et ses entreprises contre les cybermenaces dans une Europe de plus en plus numérique et connectée. Le présent plan d'action répond à l'urgence de la situation et aux menaces sans équivalent auxquelles le secteur est confronté. Il s'appuie sur le cadre législatif existant dans le domaine de la cybersécurité. La directive SRI 2 considère les hôpitaux et les autres prestataires de soins de santé comme un secteur hautement critique. Le cadre de cybersécurité SRI 2 fonctionne parallèlement au règlement sur la cyberrésilience, le tout premier acte législatif de l'UE établissant des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques, qui est entré en vigueur le 10 décembre 2024. La Commission a également mis en place, au titre du règlement sur la cybersolidarité, un mécanisme d'urgence dans le domaine de la cybersécurité, qui renforce la solidarité de l'UE et les actions coordonnées visant à détecter les menaces et incidents de cybersécurité dont le nombre de cesse de croître, à s'y préparer et à y réagir efficacement.

Il est essentiel de garantir une infrastructure numérique résiliente et sécurisée pour déployer intégralement l'espace européen des données de santé, qui fera de chaque citoyen un acteur central de ses soins de santé et lui donnera le contrôle total de ses données.