
La Commission a présenté aujourd'hui un plan d'action de l'UE visant à renforcer la cybersécurité des hôpitaux et des prestataires de soins de santé. Ce plan d'action a été annoncé dans les orientations politiques de la présidente von der Leyencomme une priorité essentielle au cours des 100 premiers jours du nouveau mandat. Cette initiative constitue une étape importante dans la protection du secteur de la santé contre les cybermenaces. En améliorant les capacités de détection des menaces, de préparation et d'intervention des hôpitaux et des fournisseurs de soins de santé, il créera un environnement plus sûr pour les patients et les professionnels de la santé.
La numérisation apporte une révolution aux soins de santé, permettant de meilleurs services aux patients grâce à des innovations telles que les dossiers médicaux électroniques, la télémédecine et les diagnostics fondés sur l'IA. Toutefois, les cyberattaques peuvent retarder les procédures médicales, créer des embouteillages dans les salles d'urgence et perturber des services vitaux qui, dans des cas graves, pourraient avoir une incidence directe sur la vie des Européens. Les États membres ont signalé 309 incidents de cybersécurité importants affectant le secteur des soins de santé en 2023, soit plus que dans tout autre secteur critique.
Le plan d'action propose, entre autres, à l'ENISA, l'agence de l'UE pour la cybersécurité, de créer un centre paneuropéen de soutien à la cybersécurité pour les hôpitaux et les prestataires de soins de santé, en leur fournissant des orientations, des outils, des services et des formations sur mesure. L'initiative s'appuie sur le cadre plus large de l'UE pour renforcer la cybersécurité dans l'ensemble des infrastructures critiques et constitue la première initiative sectorielle visant à déployer l'ensemble des mesures de cybersécurité de l'UE.
En résumé, le plan d'action se concentre sur quatre priorités :
- Prévention renforcée. Le plan contribue à renforcer les capacités du secteur de la santé à prévenir les incidents de cybersécurité grâce à des mesures de préparation renforcées, telles que des orientations sur la mise en œuvre de pratiques critiques en matière de cybersécurité. Deuxièmement, les États membres peuvent également mettre en place des bons de cybersécurité pour fournir une aide financière aux micro-hôpitaux, aux hôpitaux de petite et moyenne taille et aux prestataires de soins de santé. Enfin, l'UE mettra également au point des ressources d'apprentissage en matière de cybersécurité à l'intention des professionnels de la santé.
- Meilleure détection et identification des menaces. Le centre de soutien à la cybersécurité pour les hôpitaux et les prestataires de soins de santé mettra au point un service d'alerte précoce à l'échelle de l'UE, fournissant des alertes en temps quasi réel sur les cybermenaces potentielles, d'ici à 2026.
- Réponse aux cyberattaques pour en minimiser l'impact. Le plan propose un service de réaction rapide pour le secteur de la santé dans le cadre de la réserve de cybersécurité de l'UE. Établie dans la Loi sur la cybersolidarité, la Réserve fournit des services d'intervention en cas d'incident par des fournisseurs de services privés de confiance. Dans le cadre de ce plan, des exercices nationaux de cybersécurité peuvent avoir lieu parallèlement à l'élaboration de manuels pour aider les organisations de soins de santé à répondre à des menaces spécifiques en matière de cybersécurité, y compris les ransomwares. Les États membres sont encouragés à demander aux entités de déclarer les paiements de rançons, afin de pouvoir leur fournir le soutien dont elles ont besoin et de permettre un suivi par les autorités répressives.
- Dissuasion: Protéger les systèmes de santé européens en dissuadant les acteurs des cybermenaces de les attaquer. Il s'agit notamment de l'utilisation de la boîte à outils pour la cyberdiplomatie, une réponse diplomatique conjointe de l'UE aux actes de cybermalveillance.
Le plan d'action sera mis en œuvre conjointement avec les prestataires de soins de santé, les États membres et la communauté de la cybersécurité. Afin d'affiner davantage les actions les plus efficaces pour que les patients et les prestataires de soins de santé puissent en bénéficier, la Commission lancera prochainement une consultation publique sur ce plan, ouverte à tous les citoyens et à toutes les parties prenantes.
Prochaines étapes
Le plan d'action marque le début d'un processus visant à améliorer la cybersécurité dans le secteur des soins de santé. Des actions spécifiques seront déployées progressivement en 2025 et 2026. Les résultats de la consultation alimenteront d'autres recommandations d'ici la fin de l'année.
Contexte
L'UE œuvre sur différents fronts pour promouvoir la cyberrésilience et protéger ses citoyens et ses entreprises contre les cybermenaces dans une Europe de plus en plus numérique et connectée. Ce plan d'action répond à l'urgence de la situation et aux menaces uniques auxquelles le secteur est confronté. Il s'appuie sur le cadre législatif existant dans le domaine de la cybersécurité. Les hôpitaux et autres prestataires de soins de santé sont considérés comme un secteur à haute criticité en vertu de la directive SRI 2. Le cadre de cybersécurité de la SRI 2 va de pair avec la législation sur la cyberrésilience, la toute première législation de l'UE imposant des exigences de cybersécurité obligatoires pour les produits comportant des éléments numériques, qui est entrée en vigueur le 10 décembre 2024. La Commission a également mis en place un mécanisme d'urgence en matière de cybersécurité au titre de la législation sur la cybersolidarité, qui renforce la solidarité de l'UE et les actions coordonnées visant à détecter les menaces et incidents croissants en matière de cybersécurité, à s'y préparer et à y réagir efficacement.
Il est essentiel de garantir une infrastructure numérique résiliente et sécurisée pour le déploiement complet de l'espace européen des données de santé, qui placera les citoyens au centre de leurs soins de santé et leur accordera un contrôle total sur leurs données.
Citations
Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie
Les soins de santé modernes ont fait des progrès incroyables grâce à la transformation numérique, ce qui a permis aux citoyens de bénéficier de meilleurs soins de santé. Malheureusement, les systèmes de santé font également l’objet d’incidents et de menaces en matière de cybersécurité. C'est pourquoi nous lançons un plan d'action pour faire en sorte que les systèmes de santé, les institutions et les dispositifs médicaux connectés soient résilients. Mieux vaut prévenir que guérir, nous devons donc prévenir les cyberattaques. Mais s'ils se produisent, nous devons avoir tout en place pour les détecter et réagir rapidement et récupérer.
Olivér Várhelyi, commissaire à la santé et au bien-être animal
Les technologies numériques et les solutions fondées sur les données de santé ont ouvert des perspectives sans précédent dans le domaine des soins de santé. Ils permettent la médecine de précision, la surveillance des patients en temps réel et une communication transparente entre les prestataires de soins de santé au-delà des frontières. Mais la numérisation n’est aussi forte que la confiance qu’elle inspire et la résilience face aux cyberattaques. Les patients doivent avoir l'assurance que leurs informations les plus sensibles sont sécurisées. Les professionnels de la santé doivent avoir confiance dans les systèmes qu'ils utilisent quotidiennement pour sauver des vies. Le plan d’action présenté aujourd’hui constitue une étape importante pour garantir cette confiance et préserver un écosystème de la santé plus résilient pour l’avenir.
Pour plus d'informations
Plan d'action sur la cybersécurité des hôpitaux et des prestataires de soins de santé
Détails
- Date de publication
- 15 janvier 2025
- Auteur
- Représentation en France