Les cyberattaques ciblant les hôpitaux ou les cliniques n’ont cessé d’augmenter ces dernières années, soumettant le secteur à une pression croissante : en 2023, 309 incidents de cybersécurité ont été signalés par les États membres. Les ransomwares arrivent en tête des cybermenaces pour les organismes de santé, car les cybercriminels savent que leurs systèmes opérationnels (OT) sont critiques et que les données de santé sont très sensibles. L'UE a donc décidé de mettre en place un plan d'action de l'UE pour les hôpitaux et les prestataires de santé. Il s'agit du premier plan sectoriel utilisant toutes les mesures de cybersécurité de l'UE.

Selon Henna Virkkunen, commissaire chargée de la souveraineté technologique, de la sécurité et de la démocratie, grâce à la transformation numérique, les soins de santé modernes ont fait d'incroyables progrès, ce qui a permis aux citoyens de bénéficier de meilleurs soins de santé. « Malheureusement, les systèmes de santé sont également exposés aux incidents et aux menaces de cybersécurité. C'est pourquoi nous lançons un plan d'action pour garantir la résilience des systèmes de santé, des institutions et des dispositifs médicaux connectés », a-t-elle déclaré. « Mieux vaut prévenir que guérir, et nous devons donc empêcher les cyberattaques. Mais si elles se produisent, nous devons tout mettre en place pour les détecter et être en mesure de réagir rapidement et de rétablir les environnements impactés. » L'agence européenne Enisa, propose notamment de créer un centre d'assistance où les hôpitaux et autres établissements de santé pourraient recevoir des conseils, des outils, des services et des formations.

Quatre priorités

Le plan s’est donné quatre priorités : d’abord, améliorer le travail de prévention, en fournissant par exemple des conseils sur la mise en œuvre de pratiques de cybersécurité critiques. Les États membres devraient introduire des « chèques » de cybersécurité pour soutenir financièrement les établissements de petite et moyenne taille et former le personnel de santé à la cybersécurité. Ensuite, afin de réagir plus rapidement aux cyberattaques, le plan propose de mettre en place, d'ici 2026, un service d'alerte en temps quasi réel sur les cybermenaces potentielles.

En troisième lieu, le plan veut renforcer la réponse aux attaques pour limiter les dommages en fournissant des services de gestion des incidents par des fournisseurs de services privés de confiance. Les États membres sont également encouragés à exiger la déclaration des paiements de rançon. Enfin, un dernier domaine concerne la dissuasion des acteurs de la menace en passant à l'offensive contre eux et en utilisant les outils disponibles pour fournir une réponse diplomatique conjointe de l'UE contre les cyber-activités malveillantes. Une consultation publique sur ce plan d'action entre les États membres de l'UE, les prestataires de santé et le secteur de la cybersécurité est en cours, et des recommandations sont attendues d'ici la fin de l'année. Des mesures spécifiques devraient être introduites en 2025 et 2026.