La Commission européenne a présenté hier un plan d’action de l’UE visant à renforcer la cybersécurité des hôpitaux et des prestataires de soins de santé.
Annoncé comme une priorité dans les 100 premiers jours du nouveau mandat de la présidente Ursula Von der Leyen, ce plan est la première initiative sectorielle de l’UE visant à renforcer les mesures de cybersecurité des infrastructures critiques. Il constitue selon Bruxelles « une étape importante » pour protéger les établissements de soins dans l’Union européenne.
Le rôle de l’Enisa
« En améliorant les capacités de détection des menaces, de préparation et d’intervention des hôpitaux et des fournisseurs de soins de santé, ce plan créera un environnement plus sûr pour les patients et les professionnels de la santé »a affirmé la Commission dans un communiqué. Au coeur de la nouvelle stratégie, figure l’Agence européenne de cybersecurité, Enisa qui se chargera de créer un centre paneuropéen de soutien à la cybersécurité pour les hôpitaux et les prestataires de soins de santé.
Le centre en question fournira aux établissements de santé des orientations, des outils, des services et des formations sur mesure. Plus globalement, le plan s’articule autour de quatre priorités. Il est question notamment, d’établir une prévention renforcée des attaques informatiques. Dans ce domaine, l’UE s’engage à mettre au point des ressources d’apprentissage en matière de cybersécurité à l’intention des professionnels de la santé.
En seconde priorité, l’UE souhaite améliorer la détection et l’identification des menaces. Dans cet objectif, il est attendu d’ici 2026, la mise au point par le nouveau centre de soutien à la cybersécurité pour les hôpitaux et les prestataires de soins de santé de l’ENISA, d’un service d’alerte précoce à l’échelle de l’UE qui fournit des informations en temps réel sur de probables cyber-incidents.
Exercices de cyberscurité
Pour minimiser l’impact des attaques, le plan propose en outre un service de réaction rapide qui sera fourni par la réserve de cybersecurité de l’UE. La réserve mettra à disposition des structures touchées ses équipes d’intervention en cas de cyber-incidents.
De leur côté, les Etats membres sont encouragés à réaliser régulièrement des exercices de cybersecurité et à élaborer des manuels pour aider les organisations de soins de santé à répondre à des menaces spécifiques en matière de cybersécurité, y compris les ransomwares.
Enfin, il est primordial selon Bruxelles de protéger les systèmes de santé européens en dissuadant les acteurs des cybermenaces de les attaquer. Pour cela, le plan préconise une réponse diplomatique conjointe de l’UE aux actes de cybermalveillance.
Afin d’affiner sa stratégie cyber dans les hôpitaux, la Commission européenne lancera bientôt une consultation publique ouverte à tous les citoyens de l’UE.
Mais bien avant la publication des résultats attendus pour la fin de cette année, des actions spécifiques du plan seront mises en œuvres et se poursuivront en 2026. Pour l’exécutif européen, « le plan d’action répond à l’urgence de la situation et aux menaces uniques auxquelles le secteur de la santé est confronté ». Les États membres ont signalé 309 incidents de cybersécurité importants affectant le secteur des soins de santé en 2023, soit plus que dans tout autre secteur critique.
Sélectionné pour vous
