Sécurité du secteur de la de santé : Le plan d'action de l'UE.

19/03/2025

En janvier 2025, la Commission européenne a officiellement annoncé son nouveau plan d'action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé, qui vise à renforcer la sécurité des soins de santé en Europe. Cette initiative stratégique s'appuie sur le cadre de cybersécurité existant de l'UE, notamment la directive NIS2, et s'articule autour de quatre piliers clés : Prévenir, Détecter, Répondre et récupérer, et Dissuader. Elle répond directement à l'augmentation alarmante des cyberattaques visant le secteur des soins de santé, qui a signalé 309 incidents importants pour la seule année 2023, dépassant ainsi tous les autres secteurs critiques.

En quoi consiste le plan d'action ?

Le plan préconise une approche proactive et stratifiée de la cybersécurité. Les hôpitaux et les cliniques sont invités à procéder à des évaluations complètes des risques, à mettre à jour les systèmes informatiques existants et à former le personnel à la cyberhygiène. Un système d'alerte précoce pour les soins de santé à l'échelle de l'UE, qui devrait être opérationnel d'ici à 2026, permettra de détecter rapidement les nouvelles menaces. En outre, le plan met l'accent sur de solides mesures de réaction aux incidents, telles qu'une "réserve" cybernétique d'équipes d'intervention d'urgence et des exercices de gestion de crise renforcés. L'un des éléments clés du plan est l'obligation de signaler les cyberincidents afin de promouvoir la transparence et de permettre une intervention rapide. En outre, le plan appelle à signaler toute intention de payer des rançons en cas d'attaque, afin de dissuader les cybercriminels.

Impact sur le secteur médical

Les soins de santé sont de plus en plus la cible de cyberattaques, et le plan d'action de l'UE est une mesure nécessaire pour atténuer ce risque. Pour les hôpitaux, ce plan se traduit par des changements immédiats et à long terme :

  • Évaluations des risques et mises à jour : Les établissements doivent revoir leurs systèmes informatiques, mettre à jour les logiciels existants et renforcer la sécurité du réseau. La cybersécurité n'est pas seulement une question informatique, elle est essentielle pour assurer la continuité des soins aux patients.
  • Formation du personnel : L'accent mis sur la formation est clair. Tous les travailleurs de la santé, des médecins au personnel administratif, doivent être formés aux cyberpratiques sûres afin de réduire les erreurs humaines.
  • Préparation à la réponse aux incidents : Avec de nouvelles lignes directrices pour une réponse robuste aux incidents et des exercices de sécurité réguliers, les hôpitaux devront investir dans des systèmes de sauvegarde et des plans de récupération complets.

Les fournisseurs de technologies médicales, y compris les vendeurs de logiciels et de matériel, ainsi que les fournisseurs de services de sécurité managés (MSSP), doivent désormais intégrer la sécurité dans leurs produits. Cela signifie qu'ils doivent concevoir des solutions "sécurisées dès la conception", mettre en œuvre des processus robustes de signalement des vulnérabilités et soutenir les clients du secteur de la santé par des services intégrés de cybersécurité. Les efforts de collaboration entre les hôpitaux et les fournisseurs de technologie garantissent la protection de chaque maillon de la chaîne des soins de santé.

Mises en œuvre nationales dans l'UE

Si le plan d'action est un mandat européen, sa mise en œuvre varie d'un pays à l'autre :

  • Les Pays-Bas : Les Pays-Bas sont depuis longtemps des pionniers en matière de cybersécurité. Leur centre national de cybersécurité (NCSC-NL) et les orientations sectorielles fournies par le Zorg-CERT les placent en bonne position pour faire face aux changements à venir. Les hôpitaux néerlandais adhèrent déjà à des normes rigoureuses, notamment l'évaluation obligatoire des risques et le respect de la norme NEN 7510, adaptée au secteur des soins de santé. Leurs mécanismes proactifs d'échange de renseignements sur les menaces devraient s'intégrer parfaitement au nouveau cadre de l'UE.
  • Espagne : S'alignant rapidement sur les mandats de l'UE, l'Espagne a approuvé en janvier 2025 un projet de loi visant à renforcer la gouvernance nationale en matière de cybersécurité. Le Centro Nacional de Ciberseguridad (CNC), ou Centre national de cybersécurité, récemment créé, servira d'autorité clé et veillera à ce que les hôpitaux respectent les nouvelles exigences en matière de rapports et se soumettent à des audits réguliers. Les organismes de santé espagnols doivent s'attendre à une surveillance plus stricte et à une centralisation des rapports d'incidents, ainsi qu'à des subventions qui incluent désormais des mises à niveau en matière de cybersécurité.
  • L'Estonie : Connue pour être à l'avant-garde du numérique en Europe, l'Estonie, qui a presque entièrement numérisé ses services de santé, a besoin de mesures de cybersécurité rigoureuses. L'autorité estonienne Riigi Infosüsteemi Amet (RIA), ou Autorité des systèmes d'information, applique des politiques de sécurité des données parmi les plus strictes de la région. L'adoption précoce par l'Estonie d'une sécurité blockchain pour les dossiers médicaux électroniques est un excellent exemple de son engagement en faveur de soins de santé numériques sécurisés. Cette base solide signifie que l'Estonie est bien préparée à intégrer et même à dépasser les nouvelles exigences de l'UE en matière de cybersécurité.
  • France : Déjà leader en matière de cybersécurité sanitaire, le programme français CaRE, lancé en 2023, sera développé dans le cadre du nouveau plan d'action. Ce programme, qui bénéficie d'un financement important, met à la disposition des hôpitaux un catalogue d'outils de cybersécurité approuvés et met l'accent sur la coordination des achats. Les hôpitaux français peuvent s'attendre à un renforcement de la réglementation, à des obligations de déclaration plus strictes et à une intégration plus forte avec les agences nationales de cybersécurité telles que l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
  • L'Allemagne : L'approche de l'Allemagne consiste à mettre à jour les protections des infrastructures critiques. Bien que la transposition de la directive NIS2 ait été initialement lente, l'Allemagne vise à la mettre pleinement en œuvre d'ici le début de l'année 2025. Les lignes directrices existantes pour les grands hôpitaux seront étendues à un plus grand nombre de prestataires de soins de santé, et le Bundesamt für Sicherheit in der Informationstechnik (BSI), ou Office fédéral de la sécurité de l'information, jouera probablement un rôle encore plus actif. Les hôpitaux allemands doivent se préparer à des exigences plus strictes en matière de signalement des incidents et à une surveillance réglementaire accrue, ainsi qu'à des incitations financières supplémentaires pour les investissements dans la cybersécurité.

Calendrier et étapes clés

Le plan est appelé à se déployer rapidement :

  • Janvier 2025 : Annonce officielle et début des consultations avec les parties prenantes.
  • Mi 2025 : Les États membres commencent à transposer le NIS2 et des lignes directrices spécifiques aux soins de santé sont publiées.
  • Fin 2025 : Les principaux éléments livrables, tels que les manuels de réponse aux incidents et les protocoles obligatoires de signalement des ransomwares, sont mis en œuvre.
  • Début à mi-2026 : Lancer le service d'alerte précoce à l'échelle de l'UE, en fournissant des alertes en temps quasi réel sur les cybermenaces potentielles. Mettre en œuvre le service de réponse rapide dans le cadre de la réserve de cybersécurité de l'UE et distribuer des bons de cybersécurité aux prestataires de soins de santé éligibles.
  • Au-delà de 2026 : intégration continue des pratiques de cybersécurité dans les activités quotidiennes de soins de santé, avec des révisions et des mises à jour périodiques.

Comment Getronics peut aider

S'adapter à ces réglementations de cybersécurité en constante évolution peut s'avérer difficile. Getronics, grâce à son expertise approfondie en matière de services managés informatiques et de technologie de la santé, est particulièrement bien placé pour aider les organisations pendant cette transition. Nos services vont de l'évaluation des risques et du conseil en matière de conformité à la surveillance des menaces 24 heures sur 24 et 7 jours sur 7 et à la réponse rapide aux incidents. En s'associant à Getronics, les prestataires de soins de santé s'assurent non seulement de répondre aux nouvelles exigences réglementaires, mais aussi de mettre en place une cyberdéfense solide et résiliente qui garantit la sécurité et l'ininterruption des soins prodigués aux patients.

Getronics a déjà fait plusieurs avancées dans l'industrie des soins de santé. Elle soutient le WI-FI 7 dans les hôpitaux et explore le rôle de l'IA dans la médecine.

Prenez contact avec Getronics dès aujourd'hui et laissez-nous vous aider à naviguer dans les complexités de la cybersécurité dans le paysage en constante évolution du secteur de la santé.

Rédigé par Rob Nidschelm, responsable mondial de la sécurité opérationnelle chez Getronics.

Équipe de rédaction de Getronics

Dans cet article :

Partager cet article

Articles connexes

Voir tous les articles

Parlez avec l'un de nos experts

Si vous envisagez de créer une nouvelle expérience digitale, quelle que soit l'étape à laquelle vous vous trouvez, nous serions ravis d'échanger avec vous.
Demander un rappel
Services
À propos de
Insights
Industries
Carrières
Nous Contacter
Linkedin
Logo de la Global Workspace Alliance en blanc sur fond transparent

Membre fondateur et chef de file de la Global Workspace Alliance

Politique de confidentialité - · Certifications - · Politiques - · Termes et conditions

©2025 Getronics

Linkedin