Cybersécurité et hôpitaux : l’UE déploie un plan d’action ambitieux

En 2023, les États membres ont signalé 309 incidents majeurs, un record parmi les infrastructures critiques. En 2024, les cyberattaques contre les établissements de santé ont continué de se multiplier, mettant en péril la sécurité des données médicales et le fonctionnement des hôpitaux. Face à cette menace croissante, l’Union Européenne a annoncé un plan ambitieux visant à renforcer la cybersécurité des infrastructures de santé.

🟠 1 – Un dispositif européen pour sécuriser les données

La Commission Européenne a dévoilé le 15 janvier 2025 un programme de soutien aux établissements de santé afin de mieux détecter et prévenir les cyberattaques. Ce plan comprend la mise en place d’un centre de soutien dédié à la cybersécurité des hôpitaux ainsi qu’un service de réponse rapide destiné à accompagner les établissements en cas d’incident.

Ces initiatives visent à fournir un cadre de coopération entre les États membres, les hôpitaux et les prestataires de soins afin d’améliorer la résilience du secteur face aux cybermenaces. Concrètement, elles permettront aux structures de santé de bénéficier d’outils avancés de surveillance et de réponse aux incidents de cybersécurité.

🟠 2 – Une initiative alignée sur les réglementation existantes 

Ce plan s’inscrit dans un cadre réglementaire plus large, notamment la directive NIS 2, qui classe les hôpitaux comme infrastructures critiques. Il complète également le Cyber Resilience Act, qui impose des exigences de cybersécurité pour les produits numériques, et la loi sur la cybersolidarité, qui renforce la coopération entre États membres en matière de cybersécurité.

🟠 3 – Un cadre stratégique en quatre axes

Le plan d’action repose sur quatre piliers fondamentaux :

  • Prévention renforcée :
  • La mise en place de directives sur les meilleures pratiques en cybersécurité.
  • La création de bons de cybersécurité par les États membres pour aider les petits hôpitaux et prestataires de soins.
  • Le développement de ressources de formation pour les professionnels de santé.
  • Meilleure détection et identification des menaces :
  • L’ENISA, agence de l’UE pour la cybersécurité, mettra en place un centre de soutien paneuropéen.
  • Un système d’alerte précoce à l’échelle de l’UE sera opérationnel d’ici 2026.
  • Réponse rapide aux cyberattaques :
  • La mobilisation de la Réserve de cybersécurité de l’UE pour intervenir en cas d’incidents graves.
  • L’organisation d’exercices nationaux de cybersécurité.
  • L’encouragement des déclarations de paiements de rançons pour un meilleur suivi des attaques.
  • Dissuasion :
  • L’utilisation de la boîte à outils pour la cyberdiplomatie de l’UE, permettant une réponse diplomatique conjointe aux cyberattaques.

🟠 4 – Des objectifs clairs mais un financement incertain

L’objectif affiché de ce plan est de détecter les cyberattaques plus rapidement et de mieux protéger les infrastructures hospitalières contre les menaces informatiques. En facilitant l’échange d’informations et en coordonnant les efforts entre les États membres, l’Union Européenne espère renforcer la sécurité numérique du secteur de la santé.

Toutefois, aucun financement direct de l’Union Européenne n’a été prévu pour soutenir la mise en œuvre de ces mesures. Les États membres devront assumer eux-mêmes les coûts de ces nouvelles initiatives, ce qui pourrait ralentir leur adoption et créer des disparités entre les pays en fonction de leurs moyens financiers et de leurs priorités.

🟠 5 – Un premier bilan attendu fin 2025

L’Union européenne prévoit d’évaluer l’efficacité de son plan de cybersécurité pour les hôpitaux d’ici fin 2025. Ce bilan permettra de mesurer l’impact des actions mises en place et d’identifier les ajustements nécessaires pour garantir une meilleure protection des établissements de santé.

Dans un contexte où les cyberattaques contre les infrastructures médicales augmentent, les hôpitaux et les prestataires de soins doivent impérativement renforcer leur sécurité numérique. Ce plan européen représente une avancée importante, mais son succès dépendra de la volonté et des capacités financières des États membres à le mettre en œuvre efficacement.

🟠 Conclusion

Face à la recrudescence des cyberattaques, la cybersécurité des hôpitaux devient un enjeu majeur de santé publique. L’initiative européenne marque une prise de conscience de l’urgence de la situation, mais son efficacité repose sur l’engagement des États membres à allouer les ressources nécessaires. Reste à voir si ce plan parviendra à renforcer durablement la protection des infrastructures de santé en Europe.

 

Pour en savoir plus / sources :

https://www.zdnet.fr/actualites/cybersecurite-des-hopitaux-la-commission-europeenne-a-un-plan-mais-pas-un-kopeck-404745.htm

https://www.banquedesterritoires.fr/cybersecurite-des-hopitaux-la-commission-europeenne-annonce-un-plan-daction-et-des-aides

https://health.ec.europa.eu/ehealth-digital-health-and-care/european-action-plan-cybersecurity-hospitals-and-healthcare-providers_fr

https://france.representation.ec.europa.eu/informations/la-commission-devoile-un-plan-daction-visant-proteger-le-secteur-de-la-sante-contre-les-2025-01-15_fr

Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.

Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.

La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.

Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.