La Commission a présenté aujourd'hui un plan d'action de l'UE visant à renforcer la cybersécurité des hôpitaux et des prestataires de soins de santé. Ce plan d'action a été annoncé dans les orientations politiques de la présidente von der Leyen comme une priorité essentielle au cours des 100 premiers jours du nouveau mandat. Cette initiative constitue une mesure importante pour protéger le secteur des soins de santé contre les cybermenaces. En renforçant les capacités des hôpitaux et des prestataires de soins de santé en matière de détection des menaces, de préparation et de réaction, elle créera un environnement plus sûr et plus sécurisé pour les patients et les professionnels de santé.
La transformation numérique révolutionne les soins de santé, en permettant aux patients de bénéficier de meilleurs services grâce à des innovations telles que les dossiers médicaux électroniques, la télémédecine et les diagnostics fondés sur l'IA. Toutefois, des cyberattaques peuvent retarder les procédures médicales, provoquer des engorgements dans les services d'urgence et entraîner des perturbations des services d'importance vitale qui, dans des cas extrêmes, pourraient avoir des conséquences directes sur la vie des Européens. Les États membres ont signalé 309 incidents de cybersécurité importants dans le secteur des soins de santé en 2023, soit plus que dans tout autre secteur critique.
Le plan d'action propose, notamment, que l'ENISA, l'Agence de l'Union européenne pour la cybersécurité, mette en place un centre paneuropéen d'appui en matière de cybersécurité pour les hôpitaux et les prestataires de soins de santé, qui fournira des conseils, des outils, des services et des formations sur mesure. L'initiative repose sur le cadre plus large de l'UE destiné à renforcer la cybersécurité dans l'ensemble des infrastructures critiques et constitue la première initiative sectorielle prise en vue du déploiement de l'ensemble des mesures de cybersécurité de l'UE.
En résumé, le plan d'action se concentre sur quatre priorités:
- Renforcer la prévention: le plan contribue à renforcer les capacités du secteur des soins de santé en matière de prévention des incidents de cybersécurité en améliorant les mesures de préparation telles que les conseils sur la mise en œuvre de pratiques critiques en matière de cybersécurité. Deuxièmement, les États membres peuvent également introduire des chèques «cybersécurité» pour apporter une assistance financière aux hôpitaux et prestataires de soins de santé, de très petite taille, de petite taille et de taille moyenne. Enfin, l'UE élaborera aussi des ressources d'apprentissage en matière de cybersécurité pour les professionnels de santé.
- Mieux détecter et identifier les menaces: le centre d'appui en matière de cybersécurité pour les hôpitaux et les prestataires de soins de santé mettra en place un service d'alerte précoce à l'échelle de l'UE, qui fournira des alertes en temps quasi réel sur les cybermenaces potentielles, d'ici à 2026.
- Réagir aux cyberattaques afin que leurs conséquences soient réduites au minimum: le plan propose d'établir un service de réaction rapide pour le secteur de la santé dans le cadre de la réserve de cybersécurité de l'UE. Créée par le règlement sur la cybersolidarité, la réserve met à disposition des services de réaction en cas d'incident fournis par des prestataires de services privés de confiance. Le plan prévoit l'organisation d'exercices nationaux de cybersécurité, parallèlement à l'élaboration de manuels destinés à aider les organismes de soins de santé à réagir aux menaces spécifiques en matière de cybersécurité, y compris les rançongiciels. Les États membres sont encouragés à demander aux entités de déclarer les rançons qu'elles ont payées afin de pouvoir leur apporter le soutien dont elles ont besoin et de permettre un suivi par les services répressifs.
- Dissuader: protéger les systèmes de soins de santé européens en dissuadant les acteurs de la cybermenace de les attaquer. Cela inclut l'utilisation de la boîte à outils cyberdiplomatique, une réponse diplomatique commune de l'UE aux actes de cybermalveillance.
Le plan d'action sera mis en œuvre conjointement avec les prestataires de soins de santé, les États membres et la communauté de la cybersécurité. Pour affiner davantage les actions les plus efficaces afin que les patients et les prestataires de soins de santé puissent en bénéficier, la Commission lancera prochainement une consultation publique sur ce plan d'action, ouverte à tous les citoyens et parties prenantes.
Étapes suivantes
Le plan d'action marque le début d'un processus visant à améliorer la cybersécurité dans le secteur des soins de santé. Des actions spécifiques seront mises en œuvre progressivement en 2025 et 2026. Les résultats de la consultation alimenteront une réflexion menant à d'autres recommandations d'ici à la fin de l'année.
Contexte
L'UE œuvre sur différents fronts pour promouvoir la cyberrésilience et protéger ses citoyens et ses entreprises contre les cybermenaces dans une Europe de plus en plus numérique et connectée. Le présent plan d'action répond à l'urgence de la situation et aux menaces sans équivalent auxquelles le secteur est confronté. Il s'appuie sur le cadre législatif existant dans le domaine de la cybersécurité. La directive SRI 2 considère les hôpitaux et les autres prestataires de soins de santé comme un secteur hautement critique. Le cadre de cybersécurité SRI 2 fonctionne parallèlement au règlement sur la cyberrésilience, le tout premier acte législatif de l'UE établissant des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques, qui est entré en vigueur le 10 décembre 2024. La Commission a également mis en place, au titre du règlement sur la cybersolidarité, un mécanisme d'urgence dans le domaine de la cybersécurité, qui renforce la solidarité de l'UE et les actions coordonnées visant à détecter les menaces et incidents de cybersécurité dont le nombre de cesse de croître, à s'y préparer et à y réagir efficacement.
Il est essentiel de garantir une infrastructure numérique résiliente et sécurisée pour déployer intégralement l'espace européen des données de santé, qui fera de chaque citoyen un acteur central de ses soins de santé et lui donnera le contrôle total de ses données.
Pour en savoir plus
Plan d'action sur la cybersécurité des hôpitaux et des prestataires de soins de santé
Quote(s)
La transformation numérique a fait progresser les soins de santé modernes de manière spectaculaire, et les citoyens ont pu bénéficier de ces améliorations. Malheureusement, les systèmes de santé sont également touchés par des incidents et des menaces de cybersécurité. C’est pourquoi nous lançons un plan d’action destiné à assurer la résilience des systèmes de soins de santé, des institutions et des dispositifs médicaux connectés. Mieux vaut prévenir que guérir, et il faut donc empêcher les cyberattaques mais, si elles se produisent, nous devons disposer de tous les outils nécessaires pour les détecter et garantir une réaction et un rétablissement rapides.
Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie
Les technologies numériques et les solutions fondées sur les données de santé offrent des perspectives sans précédent dans le domaine des soins de santé. Elles ont ouvert la voie à la médecine de précision et à un suivi en temps réel des patients et permettent une communication fluide entre les prestataires de soins de santé par-delà les frontières. Toutefois, la robustesse de la numérisation dépend de la confiance qu’elle inspire et de sa résilience aux cyberattaques. Les patients doivent se sentir rassurés quant à la sécurité de leurs informations les plus sensibles. Les professionnels de santé doivent pouvoir se fier aux systèmes qu’ils utilisent quotidiennement pour sauver des vies. Le plan d’action présenté aujourd’hui constitue une étape importante pour garantir cette confiance et préserver un écosystème de santé plus résilient pour l’avenir.
Olivér Várhelyi, commissaire à la santé et au bien-être animal
Détails
- Date de publication
- 15 janvier 2025
- Auteur
- Représentation au Luxembourg