La Commission européenne va intensifier son action en matière de cybersécurité dans un secteur de la santé de plus en plus numérisé, déjà confronté à des menaces et posant de nouveaux défis.
Les orientations politiques 2024-2029 publiées avant la reconduction de Von der Leyen à la tête de l’exécutif européen la semaine dernière suggéraient notamment qu’un nouveau plan d’action sur la cybersécurité des hôpitaux et des prestataires de soins de santé serait présenté dans les 100 premiers jours du nouveau mandat.
Ces lignes directrices ont été publiées un jour avant qu’une panne informatique massive n’ait paralysé les hôpitaux et d’autres entreprises dans le monde entier, soulignant la dépendance des établissements de santé à l’égard des infrastructures numériques.
Avec le développement rapide de la santé numérique et la sensibilisation croissante à la confidentialité et à la sécurité des données, l’UE souhaite renforcer son indépendance vis-à-vis de la dépendance à l’égard des infrastructures numériques tierces.
La prochaine Commission présentera une stratégie pour une Union européenne des données, s’appuyant sur les règles existantes en matière de données pour garantir un « cadre juridique simplifié, clair et cohérent permettant aux entreprises et aux administrations de partager des données de manière transparente et à grande échelle, tout en respectant des normes élevées de confidentialité et de sécurité », selon les lignes directrices.
Parallèlement à cette stratégie de données, Von der Leyen a annoncé une « stratégie d’application de l’IA » pour stimuler les utilisations industrielles de l’IA et améliorer la fourniture d’une variété de services publics, y compris les soins de santé.
Pendant et après la pandémie de COVID-19, les cyberattaques contre les prestataires de soins de santé ont augmenté, comme le démontre la première analyse du paysage des cybermenaces pour le secteur de la santé publiée l’année dernière par l’Agence de l’Union européenne pour la cybersécurité (ENISA).
L’analyse a montré qu’entre janvier 2021 et mars 2023, le secteur de la santé de l’UE a été le théâtre de fréquentes cyberattaques, 53 % d’entre elles touchant des prestataires de soins de santé et 42 % des hôpitaux.
L’agence de cybersécurité prévient dans son rapport que ces attaques vont probablement se poursuivre et souligne les risques posés par les vulnérabilités des systèmes de santé et des dispositifs médicaux.
L’exécutif européen s’est engagé à renforcer les capacités de cyberdéfense du bloc, en coordonnant les efforts nationaux en matière de cybersécurité et en sécurisant les infrastructures critiques.
« Nous renforcerons notre approche stratégique en matière de sanctions afin de garantir que nous pouvons réagir avec souplesse aux nouvelles menaces », affirment les nouvelles directives.
« Les menaces liées aux données continuent d’être l’une des principales menaces dans le secteur, non seulement pour l’Europe mais aussi à l’échelle mondiale », a constaté le rapport de l’ENISA, identifiant les ransomwares – un type de malware qui verrouille et crypte les données, les appareils ou les systèmes jusqu’à ce que l’attaquant reçoive un paiement – comme l’une des principales menaces affectant le secteur de la santé.
Malgré la menace, l’agence a révélé que seulement 27 % des organisations du secteur de la santé interrogées pour l’étude disposaient de programmes de défense dédiés aux ransomwares.
Plusieurs initiatives de l’UE en phase de mise en œuvre pourraient bénéficier du plan d’action cybernétique, notamment l’espace européen des données de santé (EHDS) et le règlement sur les dispositifs médicaux.
L’EHDS, approuvé par les institutions de l’UE plus tôt cette année, établit un cadre européen commun pour le partage des données de santé dans l’ensemble de l’UE à des fins de recherche, d’innovation, de santé publique, d’élaboration de politiques et de réglementation.
Dans une analyse récemment publiée sur les vulnérabilités d’un système de santé de plus en plus numérique, le Centre de politique européenne (EPC) a indiqué qu’il n’existe « aucune technologie innovante dont les avantages ne soient pas contrebalancés par des risques tout aussi graves ».
L’analyse du groupe de réflexion ajoute que les citoyens n’utiliseront pas les outils de santé numériques s’ils craignent la menace de cyberattaques et de vol de données, en particulier compte tenu de la nature sensible des données de santé, à moins que la confiance ne soit renforcée dans la sécurité du système.
