Protéger le secteur de la santé contre les cyberattaques : la Commission dévoile son plan d'action

Les soins de santé ont fait d'immenses progrès grâce au numérique, améliorant la qualité des services aux patients grâce à des innovations telles que les dossiers médicaux électroniques, la télémédecine, les diagnostics fondés sur l'IA. Malheureusement, en Belgique comme ailleurs dans l'UE, les systèmes de santé ne sont pas suffisamment prêts pour se protéger des menaces et autres cyberattaques. Or celles-ci ont tendance à se multiplier, leur impact pouvant entraîner des conséquences dramatiques : retard de procédures médicales, blocages et engorgements aux urgences…

Mieux vaut prévenir que guérir

Et pour prévenir et nous prémunir au mieux contre ces menaces, il est primordial de tout mettre en œuvre pour les détecter afin de réagir rapidement et efficacement. C'est précisément le but du plan d'action, présenté ce jour par la Commission.

Il propose de créer, au sein de l'ENISA, l'agence européenne pour la cybersécurité, un centre paneuropéen de soutien à la cybersécurité pour les hôpitaux et les prestataires de soins de santé, afin de leur fournir des conseils, des outils, des services et des formations sur mesure. Il s'articule autour de quatre priorités :

• Prévention renforcée : à travers des mesures de préparations renforcées, la mise en place par les États membres de « bons de cybersécurité » pour fournir une aide financière ciblée sur la cybersécurité pour les micro-hôpitaux, aux hôpitaux de petite et moyenne taille et aux prestataires de soins de santé, ou en dispensant formations et apprentissages en la matière aux professionnels de la santé. L'UE mettra également au point des ressources d'apprentissage en matière de cybersécurité à l'intention des professionnels de la santé ;
• Amélioration de la détection et de l'identification des menaces : le centre européen de soutien à la cybersécurité pour les hôpitaux et les prestataires de soins de santé mettra en place, d'ici à 2026, un service d'alerte précoce aux cybermenaces à l'échelle de l'UE ;
• Réponse aux cyberattaques pour en minimiser l'impact. Le plan propose un service de réaction rapide pour le secteur de la santé dans le cadre de la réserve de cybersécurité de l'UE qui réunit des prestataires de service publics et privés de confiance pour aider autorités concernées à réagir. Dans le cadre de ce plan, des exercices nationaux de cybersécurité peuvent avoir lieu parallèlement à l'élaboration de manuels pour aider les organisations de soins de santé à répondre à des menaces spécifiques en matière de cybersécurité, y compris les ransomwares. Les États membres sont encouragés à demander aux entités de déclarer les paiements de rançons, afin de pouvoir leur fournir le soutien dont elles ont besoin et de permettre un suivi par les autorités répressives.
• Dissuasion : Protéger les systèmes de santé européens en dissuadant les acteurs des cybermenaces de les attaquer. Il s'agit notamment de l'utilisation de la boîte à outils pour la cyberdiplomatie, une réponse diplomatique conjointe de l'UE aux actes de cybermalveillance.

Le plan d'action sera mis en œuvre conjointement avec les prestataires de soins de santé, les États membres et la communauté de la cybersécurité. La Commission lancera prochainement une consultation publique sur ce plan, ouverte à tous les citoyens et à toutes les parties prenantes.

Plus d'info

• Communiqué
• Questions-réponses et Fiche d'information
• Législation européenne sur la cybersolidarité

Détails