En 2023, les États membres ont signalé 309 incidents majeurs, un record parmi les infrastructures critiques. En 2024, les cyberattaques contre les établissements de santé ont continué de se multiplier, mettant en péril la sécurité des données médicales et le fonctionnement des hôpitaux. Face à cette menace croissante, l’Union Européenne a annoncé un plan ambitieux visant à renforcer la cybersécurité des infrastructures de santé.
🟠 1 – Un dispositif européen pour sécuriser les données
La Commission Européenne a dévoilé le 15 janvier 2025 un programme de soutien aux établissements de santé afin de mieux détecter et prévenir les cyberattaques. Ce plan comprend la mise en place d’un centre de soutien dédié à la cybersécurité des hôpitaux ainsi qu’un service de réponse rapide destiné à accompagner les établissements en cas d’incident.
Ces initiatives visent à fournir un cadre de coopération entre les États membres, les hôpitaux et les prestataires de soins afin d’améliorer la résilience du secteur face aux cybermenaces. Concrètement, elles permettront aux structures de santé de bénéficier d’outils avancés de surveillance et de réponse aux incidents de cybersécurité.
🟠 2 – Une initiative alignée sur les réglementation existantes
Ce plan s’inscrit dans un cadre réglementaire plus large, notamment la directive NIS 2, qui classe les hôpitaux comme infrastructures critiques. Il complète également le Cyber Resilience Act, qui impose des exigences de cybersécurité pour les produits numériques, et la loi sur la cybersolidarité, qui renforce la coopération entre États membres en matière de cybersécurité.
🟠 3 – Un cadre stratégique en quatre axes
Le plan d’action repose sur quatre piliers fondamentaux :
- Prévention renforcée :
- La mise en place de directives sur les meilleures pratiques en cybersécurité.
- La création de bons de cybersécurité par les États membres pour aider les petits hôpitaux et prestataires de soins.
- Le développement de ressources de formation pour les professionnels de santé.
- Meilleure détection et identification des menaces :
- L’ENISA, agence de l’UE pour la cybersécurité, mettra en place un centre de soutien paneuropéen.
- Un système d’alerte précoce à l’échelle de l’UE sera opérationnel d’ici 2026.
- Réponse rapide aux cyberattaques :
- La mobilisation de la Réserve de cybersécurité de l’UE pour intervenir en cas d’incidents graves.
- L’organisation d’exercices nationaux de cybersécurité.
- L’encouragement des déclarations de paiements de rançons pour un meilleur suivi des attaques.
- Dissuasion :
- L’utilisation de la boîte à outils pour la cyberdiplomatie de l’UE, permettant une réponse diplomatique conjointe aux cyberattaques.
🟠 4 – Des objectifs clairs mais un financement incertain
L’objectif affiché de ce plan est de détecter les cyberattaques plus rapidement et de mieux protéger les infrastructures hospitalières contre les menaces informatiques. En facilitant l’échange d’informations et en coordonnant les efforts entre les États membres, l’Union Européenne espère renforcer la sécurité numérique du secteur de la santé.
Toutefois, aucun financement direct de l’Union Européenne n’a été prévu pour soutenir la mise en œuvre de ces mesures. Les États membres devront assumer eux-mêmes les coûts de ces nouvelles initiatives, ce qui pourrait ralentir leur adoption et créer des disparités entre les pays en fonction de leurs moyens financiers et de leurs priorités.
🟠 5 – Un premier bilan attendu fin 2025
L’Union européenne prévoit d’évaluer l’efficacité de son plan de cybersécurité pour les hôpitaux d’ici fin 2025. Ce bilan permettra de mesurer l’impact des actions mises en place et d’identifier les ajustements nécessaires pour garantir une meilleure protection des établissements de santé.
Dans un contexte où les cyberattaques contre les infrastructures médicales augmentent, les hôpitaux et les prestataires de soins doivent impérativement renforcer leur sécurité numérique. Ce plan européen représente une avancée importante, mais son succès dépendra de la volonté et des capacités financières des États membres à le mettre en œuvre efficacement.
🟠 Conclusion
Face à la recrudescence des cyberattaques, la cybersécurité des hôpitaux devient un enjeu majeur de santé publique. L’initiative européenne marque une prise de conscience de l’urgence de la situation, mais son efficacité repose sur l’engagement des États membres à allouer les ressources nécessaires. Reste à voir si ce plan parviendra à renforcer durablement la protection des infrastructures de santé en Europe.
Pour en savoir plus / sources :
L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l'intelligence artificielle. La première précise les conditions d'usage de la base légale de l'intérêt légitime pour développer un système d'IA (I) et la seconde traite plus spécifiquement de la collecte de données via "moissonnage" ou "web scraping (II)
Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.
Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.
Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.