L’Europe veut créer un centre de soutien à la cybersécurité des hôpitaux

Régulièrement, les hôpitaux sont la cible de cyberattaques. Leurs systèmes informatiques sont peu souvent mis à jour, le manque de personnel n'aidant pas. Mais c'est aussi le caractère sensible et urgent d'un déblocage qui attire les pirates. Ils peuvent s'appuyer sur une pression plus forte sur les décideurs pour payer rapidement une rançon, des vies pouvant être en jeu.

Récemment, en France, la Cour des Comptes a souligné le net retard des établissements hospitaliers en matière de cybersécurité. En 2023, 10 % des victimes de cyberattaques en France étaient des établissements de santé. Globalement, en Europe, « les États membres ont signalé 309 incidents de cybersécurité importants affectant le secteur des soins de santé en 2023, soit plus que dans tout autre secteur critique », explique la commission.

• Cybersécurité : la Cour des Comptes met les hôpitaux en PLS

Dans l'Union, 83 % des attaques motivées par des raisons financières

Selon un rapport de l'Agence de l'Union européenne pour la cybersécurité (ENISA, selon l'acronyme anglais) publié en juillet 2023 [PDF], « les ransomwares constituent l'une des principales menaces dans le secteur de la santé (54 %), tant par le nombre d'incidents que par leur impact sur les organismes de santé » dans la période 2021 - 2023. 83 % des attaques avaient des motivations financières, en raison de la valeur élevée des données de santé, tandis que 10 % avaient une motivation idéologique et 6 % étaient « involontaires ».

Un rapport [PDF] de la Commission datant de 2024 montrait que 71 % des attaques ayant des effets sur les soins aux patients, tels que des retards de traitement ou de diagnostic et des difficultés d'accès aux services d'urgence, étaient de type ransomware.

Pour Henna Virkkunen, vice-présidente générale chargée de la souveraineté technologique, de la sécurité et de la démocratie, « la transformation numérique a fait progresser les soins de santé modernes de manière spectaculaire, et les citoyens ont pu bénéficier de ces améliorations. Malheureusement, les systèmes de santé sont également touchés par des incidents et des menaces de cybersécurité ».

La Commission semble vouloir montrer qu'elle a pris conscience du problème en présentant un plan d'action pour renforcer la cybersécurité des hôpitaux et des prestataires de soins de santé [PDF], en soulignant que celui-ci était annoncé dans les orientations politiques de sa présidente Ursula von der Leyen. Ce plan est la première initiative de l'Union européenne sur ce secteur concernant la cybersécurité.

« Si la sécurisation des systèmes de santé est avant tout une compétence nationale, la santé est également un secteur critique au sens de la directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'UE (NIS2) » explique le rapport.

Un centre européen pour protéger les hôpitaux des cybermenaces

Le point principal de ce rapport est la création d'un « Centre européen de soutien à la cybersécurité pour les hôpitaux et les prestataires de soins de santé », confiée par la Commission à l'ENISA. Elle doit « développer une approche stratégique unifiée au niveau de l'UE, en rassemblant les ressources, l'expertise et les outils nécessaires pour lutter efficacement contre les cybermenaces ».

Le centre devra proposer petit à petit « un catalogue de services complet répondant aux besoins des hôpitaux et des prestataires de soins de santé, décrivant la gamme des services disponibles en matière de préparation, de prévention, de détection et de réaction » face à ces menaces.

Pour les rédacteurs du rapport l'un des principaux défis est la gestion de chaînes d'approvisionnement complexes des outils numériques spécialisés. Ils « impliquent une série de produits tels que des dispositifs médicaux connectés, des systèmes de dossiers médicaux électroniques et du matériel de bureau ». Les auteurs demandent donc au groupe de Coopération NIS de « procéder à une évaluation coordonnée des risques de sécurité, en évaluant les risques techniques et stratégiques liés aux chaînes d'approvisionnement en dispositifs médicaux et en proposant des mesures d'atténuation ».

Le rapport affirme aussi, en gras, que « les États membres sont vivement encouragés à partager avec le centre de support de l'ENISA toutes les notifications d'incidents cybernétiques émanant des hôpitaux et des prestataires de soins de santé afin de permettre à l'UE d'avoir une connaissance de la situation ».

Le plan propose un service de réaction rapide pour le secteur de la santé dans le cadre de la réserve de cybersécurité de l'UE créée par le règlement sur la cybersolidarité [PDF]. Celle-ci a pour but de fournir des services de réponse aux incidents par l'intermédiaire de prestataires privés de confiance. Ici, le plan propose de l'utiliser spécifiquement pour les services de santé.

Ce plan prévoit aussi la mise en place d'une « boite à outils » de cyberdiplomatie qui « offre un cadre pour prévenir et décourager les cyberattaques contre l'UE, les États membres et les partenaires, et pour y répondre ».