Cybersécurité des hôpitaux et prestataires de soins de santé : la Commission européenne vient de dévoiler son plan d'action

Face aux cybermenaces qui pèsent sur les systèmes de soins de santé, la Commission européenne vient de présenter un plan d'action pour renforcer la cybersécurité des hôpitaux et prestataires de soins de santé. Les États membres ont signalé 309 incidents de cybersécurité importants dans le secteur des soins de santé en 2023, soit plus que dans tout autre secteur critique.

L'objectif est de renforcer les capacités des hôpitaux et des prestataires de soins de santé en matière de détection des menaces, de préparation et de réaction pour créer un environnement plus sûr et plus sécurisé pour les patients et les professionnels de santé.

L'ENISA, l'Agence de l'Union européenne pour la cybersécurité, mettra en place un centre paneuropéen d'appui en matière de cybersécurité pour les hôpitaux et les prestataires de soins de santé, qui fournira des conseils, des outils, des services et des formations sur mesure. Le centre de soutien élaborera un catalogue de services complet de solutions concrètes qui renforceront la cybersécurité du secteur.

Le plan d'action s'appuie sur le cadre législatif existant dans le domaine de la cybersécurité, en particulier la directive SRI 2 (qui fixe des obligations pour les secteurs critiques, y compris les soins de santé), le règlement sur la cybersolidarité (y compris le mécanisme d'urgence en matière de cybersécurité), le règlement sur la cybersécurité (y compris la certification européenne de cybersécurité), le règlement relatif aux dispositifs médicaux et le règlement sur la cyberrésilience.

Le plan d'action se concentre sur quatre priorités :

- Renforcer la prévention: le plan contribue à renforcer les capacités du secteur des soins de santé en matière de prévention des incidents de cybersécurité en améliorant les mesures de préparation telles que les conseils sur la mise en œuvre de pratiques critiques en matière de cybersécurité. Deuxièmement, les États membres peuvent également introduire des chèques «cybersécurité» pour apporter une assistance financière aux hôpitaux et prestataires de soins de santé, de très petite taille, de petite taille et de taille moyenne. Enfin, l'UE élaborera aussi des ressources d'apprentissage en matière de cybersécurité pour les professionnels de santé.

- Mieux détecter et identifier les menaces: le centre d'appui en matière de cybersécurité pour les hôpitaux et les prestataires de soins de santé mettra en place un service d'alerte précoce à l'échelle de l'UE, qui fournira des alertes en temps quasi réel sur les cybermenaces potentielles, d'ici à 2026.

- Réagir aux cyberattaques afin que leurs conséquences soient réduites au minimum: le plan propose d'établir un service de réaction rapide pour le secteur de la santé dans le cadre de la réserve de cybersécurité de l'UE. Créée par le règlement sur la cybersolidarité, la réserve met à disposition des services de réaction en cas d'incident fournis par des prestataires de services privés de confiance. Le plan prévoit l'organisation d'exercices nationaux de cybersécurité, parallèlement à l'élaboration de manuels destinés à aider les organismes de soins de santé à réagir aux menaces spécifiques en matière de cybersécurité, y compris les rançongiciels. Les États membres sont encouragés à demander aux entités de déclarer les rançons qu'elles ont payées afin de pouvoir leur apporter le soutien dont elles ont besoin et de permettre un suivi par les services répressifs.

- Dissuader: protéger les systèmes de soins de santé européens en dissuadant les acteurs de la cybermenace de les attaquer. Cela inclut l'utilisation de la boîte à outils cyberdiplomatique, une réponse diplomatique commune de l'UE aux actes de cybermalveillance.

Le plan d'action sera mis en œuvre conjointement avec les prestataires de soins de santé, les États membres et la communauté de la cybersécurité.

La Cour des comptes a, de son côté, présenté un rapport le 3 janvier dernier qui met en lumière plusieurs points clés concernant l'intensification de la cybermenace, la vulnérabilité des systèmes d'information hospitaliers, les conséquences graves des cyberattaques, la réponse des pouvoirs publics, ainsi que les recommandations et perspectives pour l'avenir.