Cybersécurité et hôpitaux : l’UE déploie un plan d’action ambitieux

En 2023, les États membres ont signalé 309 incidents majeurs, un record parmi les infrastructures critiques. En 2024, les cyberattaques contre les établissements de santé ont continué de se multiplier, mettant en péril la sécurité des données médicales et le fonctionnement des hôpitaux. Face à cette menace croissante, l’Union Européenne a annoncé un plan ambitieux visant à renforcer la cybersécurité des infrastructures de santé.

🟠 1 – Un dispositif européen pour sécuriser les données

La Commission Européenne a dévoilé le 15 janvier 2025 un programme de soutien aux établissements de santé afin de mieux détecter et prévenir les cyberattaques. Ce plan comprend la mise en place d’un centre de soutien dédié à la cybersécurité des hôpitaux ainsi qu’un service de réponse rapide destiné à accompagner les établissements en cas d’incident.

Ces initiatives visent à fournir un cadre de coopération entre les États membres, les hôpitaux et les prestataires de soins afin d’améliorer la résilience du secteur face aux cybermenaces. Concrètement, elles permettront aux structures de santé de bénéficier d’outils avancés de surveillance et de réponse aux incidents de cybersécurité.

🟠 2 – Une initiative alignée sur les réglementation existantes 

Ce plan s’inscrit dans un cadre réglementaire plus large, notamment la directive NIS 2, qui classe les hôpitaux comme infrastructures critiques. Il complète également le Cyber Resilience Act, qui impose des exigences de cybersécurité pour les produits numériques, et la loi sur la cybersolidarité, qui renforce la coopération entre États membres en matière de cybersécurité.

🟠 3 – Un cadre stratégique en quatre axes

Le plan d’action repose sur quatre piliers fondamentaux :

  • Prévention renforcée :
  • La mise en place de directives sur les meilleures pratiques en cybersécurité.
  • La création de bons de cybersécurité par les États membres pour aider les petits hôpitaux et prestataires de soins.
  • Le développement de ressources de formation pour les professionnels de santé.
  • Meilleure détection et identification des menaces :
  • L’ENISA, agence de l’UE pour la cybersécurité, mettra en place un centre de soutien paneuropéen.
  • Un système d’alerte précoce à l’échelle de l’UE sera opérationnel d’ici 2026.
  • Réponse rapide aux cyberattaques :
  • La mobilisation de la Réserve de cybersécurité de l’UE pour intervenir en cas d’incidents graves.
  • L’organisation d’exercices nationaux de cybersécurité.
  • L’encouragement des déclarations de paiements de rançons pour un meilleur suivi des attaques.
  • Dissuasion :
  • L’utilisation de la boîte à outils pour la cyberdiplomatie de l’UE, permettant une réponse diplomatique conjointe aux cyberattaques.

🟠 4 – Des objectifs clairs mais un financement incertain

L’objectif affiché de ce plan est de détecter les cyberattaques plus rapidement et de mieux protéger les infrastructures hospitalières contre les menaces informatiques. En facilitant l’échange d’informations et en coordonnant les efforts entre les États membres, l’Union Européenne espère renforcer la sécurité numérique du secteur de la santé.

Toutefois, aucun financement direct de l’Union Européenne n’a été prévu pour soutenir la mise en œuvre de ces mesures. Les États membres devront assumer eux-mêmes les coûts de ces nouvelles initiatives, ce qui pourrait ralentir leur adoption et créer des disparités entre les pays en fonction de leurs moyens financiers et de leurs priorités.

🟠 5 – Un premier bilan attendu fin 2025

L’Union européenne prévoit d’évaluer l’efficacité de son plan de cybersécurité pour les hôpitaux d’ici fin 2025. Ce bilan permettra de mesurer l’impact des actions mises en place et d’identifier les ajustements nécessaires pour garantir une meilleure protection des établissements de santé.

Dans un contexte où les cyberattaques contre les infrastructures médicales augmentent, les hôpitaux et les prestataires de soins doivent impérativement renforcer leur sécurité numérique. Ce plan européen représente une avancée importante, mais son succès dépendra de la volonté et des capacités financières des États membres à le mettre en œuvre efficacement.

🟠 Conclusion

Face à la recrudescence des cyberattaques, la cybersécurité des hôpitaux devient un enjeu majeur de santé publique. L’initiative européenne marque une prise de conscience de l’urgence de la situation, mais son efficacité repose sur l’engagement des États membres à allouer les ressources nécessaires. Reste à voir si ce plan parviendra à renforcer durablement la protection des infrastructures de santé en Europe.

 

Pour en savoir plus / sources :

https://www.zdnet.fr/actualites/cybersecurite-des-hopitaux-la-commission-europeenne-a-un-plan-mais-pas-un-kopeck-404745.htm

https://www.banquedesterritoires.fr/cybersecurite-des-hopitaux-la-commission-europeenne-annonce-un-plan-daction-et-des-aides

https://health.ec.europa.eu/ehealth-digital-health-and-care/european-action-plan-cybersecurity-hospitals-and-healthcare-providers_fr

https://france.representation.ec.europa.eu/informations/la-commission-devoile-un-plan-daction-visant-proteger-le-secteur-de-la-sante-contre-les-2025-01-15_fr

Depuis le 17 février 2025, Apple a commencé à retirer de l'App Store européen les applications dont les développeurs n'ont pas déclaré un statut de commerçant. Cette décision, bien qu'anticipée, s'inscrit dans une politique de conformité au Digital Services Act (DSA). Dès le 16 octobre 2024, Apple avait averti les développeurs que cette exigence serait appliquée, leur laissant plusieurs mois pour se mettre en conformité. Désormais, tout développeur souhaitant distribuer une application sur l’App Store doit fournir un statut de commerçant et des informations de contact vérifiables. Bien que cette mesure soit en accord avec les exigences du DSA, elle suscite des interrogations.

Dans un monde de plus en plus interconnecté, la cybercriminalité constitue un défi majeur pour les États. Attaques par ransomware, fraudes en ligne, exploitation sexuelle des mineurs : les crimes numériques se multiplient et nécessitent une réponse internationale. C’est dans ce contexte que l’ONU a adopté la première convention mondiale dédiée à la lutte contre la cybercriminalité. Ce texte vise à harmoniser les législations et à renforcer la coopération entre les pays, mais il soulève également des préoccupations en matière de protection des droits fondamentaux.

En janvier 2025, l'Union européenne a imposé des sanctions contre trois agents du renseignement russe pour leur implication dans des cyberattaques visant l’Estonie en 2020. Ces individus, membres de l’unité 29155 du GRU (Direction principale du renseignement des forces armées russes), sont accusés d’avoir orchestré des opérations de cyberespionnage contre plusieurs ministères estoniens, compromettant ainsi la sécurité nationale du pays.

En 2023, les États membres ont signalé 309 incidents majeurs, un record parmi les infrastructures critiques. En 2024, les cyberattaques contre les établissements de santé ont continué de se multiplier, mettant en péril la sécurité des données médicales et le fonctionnement des hôpitaux. Face à cette menace croissante, l’Union Européenne a annoncé un plan ambitieux visant à renforcer la cybersécurité des infrastructures de santé.