La Commission Européenne a présenté un plan d’action à l’échelle de l’UE visant à protéger le secteur de la santé en Europe, incluant la création d’un centre dédié en collaboration avec l’agence européenne de cybersécurité, l’ENISA, pour défendre les organisations de santé contre les menaces cybernétiques.

Avec un hôpital sur deux en Europe étant confronté à une attaque cybernétique, selon le Commissaire à la Santé Oliver Varhelyi, et avec l’engagement de la Présidente de la Commission, Ursula von der Leyen, à traiter cette problématique dans les 100 jours suivant le début de son second mandat, la pression était forte pour apporter des solutions.

Le plan, dévoilé mercredi, vise à remédier à divers problèmes cybernétiques touchant le secteur de la santé. Beaucoup de ces enjeux sont aggravés par la probabilité élevée de paiements de rançons, la non-réponse pouvant parfois mener à des situations de vie ou de mort.

Le sérieux de cette initiative réside dans la création d’un Centre de Soutien à la Cybersécurité au sein de l’ENISA, qui fournira un accompagnement personnalisé en matière de cybersécurité aux organisations.

Ce plan prévoit également l’élaboration de ressources pédagogiques en cybersécurité pour les professionnels de la santé et, d’ici 2026, le développement d’un service d’alerte à l’échelle de l’UE lorsque des menaces seront détectées.

Bien que ce plan augmente la pression pour la mise en œuvre par l’ENISA, aucun nouveau financement n’est prévu.

L’action planifie également l’établissement d’un service de réponse spécifique à la santé dans le cadre de la Réserve de Cybersécurité de la loi Cyber Solidarity Act (CSA), qui soutient les pays européens face à des incidents cybernétiques à grande échelle en fournissant assistance technique, coordination et ressources financières.

La Commission projette également d’utiliser le Cyber Diplomacy Toolbox, un mécanisme de coordination de l’UE pour les déclarations diplomatiques et les sanctions, afin de dissuader les activités cybernétiques nuisibles, ce qui pourrait bénéficier au secteur de la santé.

Sur le plan financier, la Commission demande aux États membres de contribuer financièrement et recommande la mise en place de “Vouchers de Cybersécurité” pour encourager les dépenses en cybersécurité des petites organisations de santé, à l’image des « vouchers d’innovation » déjà en place pour soutenir le financement des PME.

La Commission a également incité les pays à obliger les entités de santé à signaler les paiements de rançon. Toutefois, cela reste délicat, car les gouvernements nationaux interdisent souvent ces paiements, bien que beaucoup choisissent de le faire pour reprendre le contrôle de leurs systèmes. Le paiement d’une rançon réduit également la probabilité de signalement de l’incident.

Bien que le secteur de la santé soit soumis aux régulations cybernétique de l’UE, y compris la directive NIS2, qui établit des normes de cybersécurité et de rapport, sa transposition se fait souvent tard dans la plupart des États membres.

Le secteur de la santé est également impacté par le Cyber Resilience Act (CRA), la régulation de cybersécurité de l’UE protégeant les produits, y compris les composants logiciels.

La Commission devrait lancer une consultation publique sur le plan d’action, ce qui devrait aboutir à une recommandation non contraignante d’ici fin 2025.

Une cible de choix pour les cybercriminels

Le secteur de la santé figure parmi les industries les plus prisées par les cybercriminels en raison de sa dynamique à haut risque.

D’après les dernières données de l’ENISA, près de 54 % des attaques ciblant ce secteur entre janvier 2021 et mars 2023 étaient des ransomwares, représentant 42 % des attaques dirigées spécifiquement contre les hôpitaux.

Les institutions de santé sont généralement moins matures sur le plan cybernétique que d’autres secteurs, et leurs dirigeants privilégient souvent l’investissement dans les outils médicaux au détriment des systèmes informatiques et de la protection cyber. De plus, attirer des professionnels de la cybersécurité représente un défi, le secteur privé proposant généralement des opportunités plus attractives.

Ce plan d’action a été présenté par la Vice-Présidente exécutive de la Commission, Henna Virkkunen, chargée de la souveraineté technologique, accompagné de Varhelyi.

« Nous devons tout mettre en place pour détecter [les menaces cybernétiques] et pour réagir rapidement et nous rétablir », a déclaré Virkkunen.

Bon à savoir

  • En janvier 2024, la directive NIS2 sera mise en œuvre dans tous les États membres de l’UE.
  • Les ransomware représentent environ 54 % des cyberattaques ciblant le secteur de la santé, une statistique en forte hausse ces dernières années.
  • Le projet de réglementation Cyber Resilience Act introduit de nouvelles exigences de sécurité pour les produits et services.

Il est crucial de réfléchir sur la résilience des infrastructures de santé face à ces menaces et sur les implications d’un éventuel manquement à la sécurité des données. Quelles mesures additionnelles pourraient être envisagées pour renforcer cette protection essentielle à notre bien-être collectif ?




Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *