27/08/2025
Les cybercriminels ont fait du secteur européen de la santé l'une de leurs cibles favorites, les ransomwares et les attaques contre la chaîne d'approvisionnement mettant gravement en danger les hôpitaux et les patients.
Au début de l'année, nous avons partagé notre premier point de vue sur la sécurité des soins de santé : Le plan d'action de l'UE.
Cette mise à jour sur la sécurité des soins de santé examine la manière dont le plan est mis en œuvre progressivement au cours des deux prochaines années et ce à quoi les organismes de soins de santé doivent s'attendre au-delà de 2026. Ce plan n'est pas un simple document d'orientation. Il s'agit d'une initiative coordonnée à l'échelle de l'UE visant à renforcer la résilience, à développer les compétences et à fournir un soutien rapide en cas d'attaque.
Ce que comprend le plan d'action
Un centre européen de soutien à la cybersécurité
Un centre spécialisé apportera un soutien direct aux hôpitaux et aux autres fournisseurs. Il servira de plaque tournante pour la préparation, la détection et la réponse aux incidents. Des projets pilotes seront lancés dans les États membres pour tester les meilleures pratiques en matière de cyberhygiène, d'évaluation des risques et de surveillance continue.
Cartographie du paysage réglementaire
Les organismes de soins de santé sont confrontés à une mosaïque de législations. Le plan d'action comprend un outil de cartographie réglementaire pour aider les fournisseurs à naviguer dans le NIS2, le GDPR, la loi sur la cyber-résilience et d'autres règles qui se chevauchent. Parallèlement, une évaluation coordonnée des risques sera réalisée en mettant l'accent sur les dispositifs médicaux et les données des patients cloud.
La réponse aux incidents et la réserve de cybersécurité
La loi sur la cyber-solidarité permet aux hôpitaux d'avoir accès à des prestataires privés de confiance en cas de crise. Un cyberprogramme spécifique aux soins de santé sera créé, ainsi que des cyberexercices réguliers au niveau de l'UE. Les ransomwares étant à l'origine de plus de la moitié des incidents survenus dans le secteur de la santé ces dernières années, on ne saurait trop insister sur l'importance de ces mesures. Dans le cadre du NIS2, tout paiement de rançon devra également être signalé.
Système d'alerte précoce
Un service d'alerte précoce à l'échelle de l'UE fournira des alertes en temps quasi réel sur les menaces spécifiques au secteur des soins de santé. Les hôpitaux partageront les notifications d'incidents avec l'ENISA via le centre de support, garantissant ainsi une diffusion rapide des informations.
Personnel et gouvernance
Les équipes de cybersécurité dans le secteur de la santé souffrent d'un manque chronique de personnel. Selon l'ISC2, les trois quarts des professionnels considèrent le manque de personnel comme un risque majeur. Pour remédier à cette situation, la mise à jour sur la sécurité des soins de santé introduit un réseau européen des RSSI du secteur de la santé afin de mettre en relation les dirigeants, de partager l'expertise et de renforcer la résilience collective.
Calendrier des actions clés
Phase 1 : 2025-2026 (déploiement initial)
| Cadre temporel | Actions clés |
| Janvier 2025 | Lancement officiel du plan d'action ; début des consultations avec les parties prenantes. |
| Q2 2025 | Premiers projets pilotes sur la cyberhygiène hospitalière et la préparation aux incidents. |
| Mi-2025 | Création du Centre européen de soutien à la cybersécurité. |
| Q3 2025 | Mise en place du service d'alerte précoce en matière de soins de santé à l'échelle de l'UE et des alertes à la menace. |
| Q4 2025 | Première évaluation coordonnée des risques liés à la chaîne d'approvisionnement ; publication de recommandations affinées. |
| Début 2026 | Publication du manuel de réponse aux incidents cybernétiques dans le secteur de la santé ; début des exercices cybernétiques à l'échelle de l'UE. |
| Jusqu'en 2026 | Déploiement continu d'outils de réponse et de récupération, y compris des services de réponse rapide et des référentiels de décryptage. |
Phase 2 : au-delà de 2026 (expansion stratégique)
| Cadre temporel | Actions clés |
| Fin 2026 - 2027 | Recommandations supplémentaires publiées par la Commission sur la base des résultats des projets pilotes et des consultations. |
| Après 2026 - En cours | Poursuite des travaux du conseil consultatif sur la cybersécurité dans le domaine de la santé et des centres de soutien nationaux. |
| 2027 et au-delà | Mise en place d'un marché unique européen de la cybersécurité, avec des budgets plus clairs, des objectifs mesurables et des exercices cybernétiques élargis à l'échelle de l'UE. |
| 2030-2035 | Transition vers l'adoption de la cryptographie post-quantique dans les systèmes de soins de santé critiques. |
| En continu | Intégration de la sécurité des soins de santé dans des cadres européens plus larges, notamment NIS2, la loi sur la cyber-résilience et la loi sur la cyber-solidarité, avec des mandats évolutifs en fonction des besoins. |
Contexte législatif général
Le plan d'action complète les récents règlements de l'UE qui redessinent le paysage de la sécurité :
- Directive NIS2 (en vigueur depuis décembre 2022) : Élargit les exigences pour les secteurs essentiels, y compris les soins de santé, avec des règles harmonisées pour la déclaration des incidents.
- Loi sur la cyber-résilience (CRA) (adoptée en octobre 2024) : Se concentre sur les produits comportant des éléments numériques, tels que les dispositifs médicaux, et exige une gestion des vulnérabilités et des mises à jour de sécurité.
- Loi sur la résilience opérationnelle numérique (DORA) (entrée en vigueur en janvier 2025) : Cible le secteur financier mais a également un impact sur les fournisseurs de services TIC dans les écosystèmes de soins de santé.
Pourquoi est-ce important ?
Les hôpitaux ne peuvent pas se permettre des temps d'arrêt. Une attaque par ransomware qui met hors ligne les dossiers des patients ou perturbe les appareils connectés peut mettre des vies en danger. Le plan d'action de l'UE représente le passage de réponses réactives à un renforcement structuré de la résilience. En créant un centre d'assistance, un réseau de RSSI et un cahier des charges étayé par des informations en temps réel, l'Europe fait un grand pas en avant dans la protection des soins de santé.
Chez Getronics, nous aidons les prestataires de soins de santé à s'aligner sur NIS2, DORA, ISO 27001 et les directives spécifiques au secteur. Nos services de sécurité managés, notre veille sur les menaces et notre expertise en matière de réponse aux incidents peuvent aider les organisations à se préparer au nouveau paysage européen. Nous prenons au sérieux chaque mise à jour de la sécurité des soins de santé, afin de fournir un soutien cohérent et actualisé.
