En 2023, les États membres ont signalé 309 incidents majeurs, un record parmi les infrastructures critiques. En 2024, les cyberattaques contre les établissements de santé ont continué de se multiplier, mettant en péril la sécurité des données médicales et le fonctionnement des hôpitaux. Face à cette menace croissante, l’Union Européenne a annoncé un plan ambitieux visant à renforcer la cybersécurité des infrastructures de santé.
🟠 1 – Un dispositif européen pour sécuriser les données
La Commission Européenne a dévoilé le 15 janvier 2025 un programme de soutien aux établissements de santé afin de mieux détecter et prévenir les cyberattaques. Ce plan comprend la mise en place d’un centre de soutien dédié à la cybersécurité des hôpitaux ainsi qu’un service de réponse rapide destiné à accompagner les établissements en cas d’incident.
Ces initiatives visent à fournir un cadre de coopération entre les États membres, les hôpitaux et les prestataires de soins afin d’améliorer la résilience du secteur face aux cybermenaces. Concrètement, elles permettront aux structures de santé de bénéficier d’outils avancés de surveillance et de réponse aux incidents de cybersécurité.
🟠 2 – Une initiative alignée sur les réglementation existantes
Ce plan s’inscrit dans un cadre réglementaire plus large, notamment la directive NIS 2, qui classe les hôpitaux comme infrastructures critiques. Il complète également le Cyber Resilience Act, qui impose des exigences de cybersécurité pour les produits numériques, et la loi sur la cybersolidarité, qui renforce la coopération entre États membres en matière de cybersécurité.
🟠 3 – Un cadre stratégique en quatre axes
Le plan d’action repose sur quatre piliers fondamentaux :
- Prévention renforcée :
- La mise en place de directives sur les meilleures pratiques en cybersécurité.
- La création de bons de cybersécurité par les États membres pour aider les petits hôpitaux et prestataires de soins.
- Le développement de ressources de formation pour les professionnels de santé.
- Meilleure détection et identification des menaces :
- L’ENISA, agence de l’UE pour la cybersécurité, mettra en place un centre de soutien paneuropéen.
- Un système d’alerte précoce à l’échelle de l’UE sera opérationnel d’ici 2026.
- Réponse rapide aux cyberattaques :
- La mobilisation de la Réserve de cybersécurité de l’UE pour intervenir en cas d’incidents graves.
- L’organisation d’exercices nationaux de cybersécurité.
- L’encouragement des déclarations de paiements de rançons pour un meilleur suivi des attaques.
- Dissuasion :
- L’utilisation de la boîte à outils pour la cyberdiplomatie de l’UE, permettant une réponse diplomatique conjointe aux cyberattaques.
🟠 4 – Des objectifs clairs mais un financement incertain
L’objectif affiché de ce plan est de détecter les cyberattaques plus rapidement et de mieux protéger les infrastructures hospitalières contre les menaces informatiques. En facilitant l’échange d’informations et en coordonnant les efforts entre les États membres, l’Union Européenne espère renforcer la sécurité numérique du secteur de la santé.
Toutefois, aucun financement direct de l’Union Européenne n’a été prévu pour soutenir la mise en œuvre de ces mesures. Les États membres devront assumer eux-mêmes les coûts de ces nouvelles initiatives, ce qui pourrait ralentir leur adoption et créer des disparités entre les pays en fonction de leurs moyens financiers et de leurs priorités.
🟠 5 – Un premier bilan attendu fin 2025
L’Union européenne prévoit d’évaluer l’efficacité de son plan de cybersécurité pour les hôpitaux d’ici fin 2025. Ce bilan permettra de mesurer l’impact des actions mises en place et d’identifier les ajustements nécessaires pour garantir une meilleure protection des établissements de santé.
Dans un contexte où les cyberattaques contre les infrastructures médicales augmentent, les hôpitaux et les prestataires de soins doivent impérativement renforcer leur sécurité numérique. Ce plan européen représente une avancée importante, mais son succès dépendra de la volonté et des capacités financières des États membres à le mettre en œuvre efficacement.
🟠 Conclusion
Face à la recrudescence des cyberattaques, la cybersécurité des hôpitaux devient un enjeu majeur de santé publique. L’initiative européenne marque une prise de conscience de l’urgence de la situation, mais son efficacité repose sur l’engagement des États membres à allouer les ressources nécessaires. Reste à voir si ce plan parviendra à renforcer durablement la protection des infrastructures de santé en Europe.
Pour en savoir plus / sources :
Un an après avoir lancé une ambitieuse stratégie de démocratisation de l’intelligence artificielle (IA), le Barreau de Paris franchit une nouvelle étape décisive avec la publication de son premier Livre blanc dédié à cette technologie. Ce document, pensé comme un outil d’accompagnement pour les avocats, marque une volonté claire : intégrer l’IA dans la pratique juridique tout en respectant les exigences déontologiques et réglementaires.
Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
Le 10 juillet 2025, la Commission européenne a publié la version finale du Code de bonnes pratiques pour l’intelligence artificielle à usage général (GPAI), marquant une nouvelle étape dans la régulation de l’intelligence artificielle en Europe. Ce Code, bien que volontaire, s’inscrit dans un contexte de montée en puissance du Règlement sur l’IA (AI Act), dont certaines dispositions, notamment celles concernant les GPAI, sont applicables depuis le 2 août 2025.
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.