La Commission européenne a présenté un nouveau plan d’action visant à renforcer la cybersécurité du secteur de la santé dans un contexte d’augmentation des attaques de ransomwares.
Le plan vise à améliorer la sécurité des hôpitaux et autres fournisseurs numériques en renforçant la capacité de prévenir et de répondre aux incidents de cybersécurité.
« Alors que le secteur subit une transformation cruciale, il doit relever des défis importants tels que la sécurisation des dossiers de santé électroniques et l’intégration de l’IA dans le personnel de santé », a déclaré Henna Virkkunen, commissaire chargée de la souveraineté technologique, de la sécurité et de la démocratie, lors de la présentation du plan.
Cette proposition est la première d’une série de mesures envisagées pour les 100 premiers jours du nouveau mandat et vise à sensibiliser le secteur de la santé aux risques de cybercriminalité et à apporter des solutions sur le terrain, a déclaré le commissaire à la santé Oliver Várhelyi.
« Ils (les prestataires de soins de santé) doivent investir autant dans ce domaine que dans les équipements liés aux traitements des patients », a-t-il ajouté.
À cette fin, un nouveau Centre européen de soutien à la cybersécurité pour le secteur de la santé, qui fait partie de l’Agence européenne pour la cybersécurité (ENISA), dirigera les travaux et mettra en œuvre les mesures proposées.
Le plan repose sur quatre priorités : prévention, détection, réponse et rétablissement et dissuasion.
Au cours des deux prochaines années, un nouveau comité consultatif sur la cybersécurité en matière de santé sera créé pour offrir une aide aux prestataires de soins de santé cherchant à éviter de payer des rançons et pour mettre en place des services de réponse rapide.
Les soins de santé sont fréquemment victimes de cyberattaques, la plupart des incidents impliquant des ransomwares en raison de la grande sensibilité des données.
Pendant et après la pandémie de COVID-19, les cyberattaques contre les prestataires de soins de santé ont augmenté, comme le démontre la première analyse de l’Agence de l’Union européenne pour la cybersécurité (ENISA) du paysage des cybermenaces pour le secteur de la santé publiée l’année dernière.
L’analyse a montré qu’entre janvier 2021 et mars 2023, le secteur de la santé de l’UE a été témoin de fréquentes cyberattaques, dont 53 % ont touché des prestataires de soins de santé et 42 % des hôpitaux.
«La numérisation est aussi forte que la confiance qu’elle inspire», a déclaré Virkunnen.
S’appuyer sur les outils existants
Les données de santé partagées, désormais réglementées par l’Espace européen des données de santé (EHDS), viendront compléter le plan d’action en matière de cybersécurité.
Le plan développe le cadre législatif existant dans le domaine de la cybersécurité, tel que la directive NIS2, la loi sur la cybersécurité et le règlement sur les dispositifs médicaux.
Cependant, certaines de ces directives rencontrent des difficultés dans leur mise en œuvre. Le NIS2, visant à protéger les entités critiques contre les cyberincidents majeurs, n’a pas encore été adopté par la plupart des États membres, qui ont raté la date limite fixée au 17 octobre 2024.
De même, le règlement sur les dispositifs médicaux, après des prolongations répétées de la période de transition pour la certification des dispositifs médicaux en vertu des nouvelles règles, sera très probablement révisé cette année.
