Partner Login
Security Awarness background

Comment l’UE prévoit de renforcer la cybersécurité dans les services de santé ?

Écrit par Sherry Jones / 09.04.2025 /
Home » Blog » Comment l’UE prévoit de renforcer la cybersécurité dans les services de santé ?

La Commission européenne (CE) envoie la sécurité des services de santé aux urgences. 

Face à la hausse alarmante des cyberattaques contre les prestataires et les fournisseurs de soins de santé, la Commission européenne, une entité de l’Union européenne (UE) qui propose des lois et gère les politiques de l’UE, a récemment dévoilé un « plan d’action » pour aider les hôpitaux, les cliniques et les autres acteurs du secteur à prévenir et à détecter les cybermenaces et à y répondre. 

Le « plan d’action sur la cybersécurité des hôpitaux et des prestataires de soins de santé » de l’UE prévoit la création d’un centre paneuropéen de support à la cybersécurité, l’octroi d’une aide financière aux hôpitaux et la mise en place de stratégies coordonnées de réaction aux incidents, entre autres mesures. 

« Mieux vaut prévenir que guérir. Nous devons donc empêcher les cyberattaques de se produire », a déclaré Henna Virkkunen, vice-présidente exécutive de la Commission européenne chargée de la souveraineté technologique, de la sécurité et de la démocratie, lors de l’annonce du plan d’action. « Mais si elles se produisent, nous devons tout mettre en place pour les détecter, y répondre rapidement et résoudre le problème. » 

Un problème de longue date

Depuis des années, les autorités occidentales reconnaissent la nécessité de faire face aux cybermenaces croissantes qui pèsent sur les systèmes médicaux. Lorsqu’une cyberattaque perturbe les soins, des vies peuvent être en jeu et les patients risquent de voir leurs informations les plus personnelles exposées. 

Le chef de l’agence des Nations unies pour la santé a qualifié de « questions de vie ou de mort » et de menace sérieuse pour la sécurité internationale le cyber défi des soins de santé dans un discours prononcé devant le Conseil de sécurité des Nations Unies à l’automne dernier. 

Les cyber événements dans le domaine de la santé ont presque quadruplé au niveau mondial en 2023 par rapport à l’année précédente, selon le Référentiel européen des cyber incidents. Les États membres de l’UE ont signalé 309 incidents de cybersécurité importants impactant le secteur des services de santé en 2023, soit plus que dans tout autre secteur critique. 

Des États-nations hostiles attaquent quotidiennement les prestataires de soins de santé, selon le témoignage d’une sous-commission de la Chambre des représentants des États-Unis à la suite de l’attaque dévastatrice de Change Healthcare en 2024. 

« Il n’y a pas de temps à perdre », a déclaré Luigi Rebuffi, secrétaire général de l’Organisation européenne de cybersécurité, dans une déclaration soutenant le plan d’action de l’UE pour les services de santé. 

Cybermenaces pour le secteur de la santé

Des rançongiciels particulièrement perturbateurs

Les rançongiciels, en particulier, font des ravages dans le secteur selon le plan d’action : « Les attaques de rançongiciels peuvent avoir un effet particulièrement perturbateur sur la prestation des services de santé, mettant en péril la sécurité des patients. » 

La liste des effets délétères causés par ces attaques est longue et comprend notamment : 

  • des retards dans les procédures médicales, 
  • l’engorgement des services d’urgence, et 
  • des interruptions de service préjudiciables, voire mortelles. 

Et plus le secteur se numérise, plus les attaquants disposent de moyens d’y pénétrer. Les services de santé s’appuient de plus en plus sur les technologies numériques, notamment les dossiers médicaux partagés (DMP), la télémédecine et les diagnostics par IA. 

Plus de trois quarts des citoyens de l’UE, en moyenne, peuvent accéder à leur DMP en ligne, selon le rapport sur l’état de la décennie numérique 2024.   

Les autres technologies numériques de santé incluent : 

  • les systèmes d’informations cliniques, 
  • les systèmes de gestion des flux de travail dans les hôpitaux, 
  • les systèmes de remboursement des traitements, 
  • l’imagerie médicale, 
  • les appareils de diagnostic, et 
  • les dispositifs de surveillance des patients. 

Les soins intensifs, l’imagerie radiologique, l’oncologie, la cardiologie et d’autres services spécialisés dépendent fortement d’appareils numériques et sont donc confrontés à un risque particulièrement élevé de cyberattaque, selon le plan d’action européen. La sécurité de la chaîne d’approvisionnement des soins de santé est également un sujet de préoccupation.  

Une menace qui progresse rapidement

En effet, 2023 s’est avérée être une année charnière pour les violations dans le secteur de la santé, avec plus de 133 millions d’enregistrements exposés ou divulgués dans 725 violations signalées, selon les rapports du HIPAA Journal. La taille et l’ampleur de ces violations n’ont fait qu’augmenter en 2024. 

What the Change Healthcare Cyber Attack Means for the US Healthcare Industry

Voici certaines des attaques les plus importantes de cette année : 

  • l’attaque par rançongiciel de Change Healthcare. En février 2024, Change Healthcare, une filiale de l’assureur santé américain UnitedHealth, a subi une attaque massive par rançongiciel qui a compromis les dossiers personnels, financiers et médicaux d’environ 100 millions d’Américains, ce qui constitue la plus grande violation d’informations médicales protégées de l’histoire. L’attaque a interrompu le traitement des demandes de remboursement des frais médicaux et des paiements pendant plus d’un mois. 
  • la violation des données publiques nationales (NPD). Concernant jusqu’à 2,9 milliards d’enregistrements et affectant 170 millions de personnes, cette violation de données survenue au début de l’année 2024 est également l’une des plus importantes de l’histoire. Les données compromises comprennent les noms complets, les numéros de sécurité sociale, les adresses postales, les adresses électroniques et les numéros de téléphone. La violation s’est produite lorsqu’un acteur malveillant a accédé aux systèmes de l’entreprise en décembre 2023. Les données ont été publiées sur le dark web d’avril à l’été 2024. 
  • la société de tests sanguins Synnovis a été attaquée par le rançongiciel russe Qilin. L’impact sur les hôpitaux et les soins aux patients au Royaume-Uni a été dévastateur, avec plus de 1 000 opérations et rendez-vous reportés, et près de 400 Go d’informations privées divulguées sur le darknet. 
En savoir plus sur les principales menaces de cybersécurité dans le secteur de la santé

Description du plan d’action de cybersécurité de l’UE

Le plan d’action de l’UE en matière de cybersécurité pour les services de santé prévoit notamment les dispositions suivantes : 

  • des conseils, de la formation et des ressources en matière de prévention. Le plan propose des conseils sur les pratiques de cybersécurité et la manière de les mettre en place, des chèques de cybersécurité pour aider financièrement les hôpitaux et les prestataires médicaux de taille moyenne et petite, ainsi que des ressources de sensibilisation à la sécurité pour les professionnels de la santé – ce qui, selon les études, pourrait faire défaut aujourd’hui. 
  • la détection et l’identification des menaces. Le plan propose un service d’alerte précoce à l’échelle de l’UE avec des alertes de cybermenaces, un projet pour le Centre de support à la cybersécurité pour les hôpitaux et les prestataires de soins de santé qui devrait être réalisé d’ici 2026. 
  • une réponse rapide. La réserve de cybersécurité de l’UE, qui fournit des services de réponse aux incidents par l’intermédiaire de prestataires de services privés, étendrait son champ d’action aux prestataires de soins de santé. 
    Des exercices nationaux de cybersécurité et des manuels guideraient les organismes de soins de santé sur la manière de répondre rapidement aux menaces, y compris les rançongiciels et les cyberattaques, dans le but de limiter les dégâts. 
    Le plan suggère que les États membres demandent que les paiements de rançons soient signalés afin de pouvoir apporter leur soutien et de faciliter le suivi par les forces de l’ordre. 
  • La dissuasion. Pour décourager les attaques des acteurs de la cybermenace, le plan d’action préconise l’utilisation de la boîte à outils de la cyberdiplomatie, une réponse diplomatique commune de l’UE qui fait appel à la coopération internationale et à des mesures diplomatiques pour décourager les cyber activités malveillantes, y compris les attaques d’États-nations. 

Le plan d’action et les réglementations existantes de l’UE

Le plan d’action ne s’écarte pas radicalement des directives européennes existantes, mais s’appuie sur elles. Il s’agit d’une couche supplémentaire visant à améliorer la sécurité, en particulier dans le secteur très ciblé des services de santé. 

  • Le secteur de la santé est déjà considéré comme un secteur « hautement critique » en vertu de la directive NIS2 de l’UE, qui exige que chaque État membre adopte une stratégie nationale en matière de cybersécurité. 
  • Le cadre de cybersécurité NIS2 va de pair avec la loi sur la cyber-résilience, la toute première législation de l’UE exigeant que tous les produits comportant des éléments numériques – y compris les dispositifs médicaux de diagnostic, de traitement et de surveillance – soient dotés d’un système de cybersécurité « intégré ». 
  • La Commission a également mis en place un mécanisme d’urgence de cybersécurité dans le cadre de la loi sur la cybersolidarité, qui renforce la solidarité et les actions coordonnées de l’UE pour détecter, préparer et répondre efficacement aux menaces et incidents croissants en matière de cybersécurité. 

Associés au plan d’action, ces mandats visent à renforcer la résilience et la sécurité de l’infrastructure numérique des services de santé dans le cadre du déploiement de l’espace européen des données de santé, qui est entré en vigueur le 26 mars et qui permet aux citoyens de l’UE de contrôler leurs données médicales. 

Qu’est-ce que cela signifie pour les hôpitaux et les patients ? 

Comme l’indique clairement le plan d’action européen pour la cybersécurité dans le secteur de la santé (1-2-3-4), le secteur médical a besoin d’aide pour protéger ses appareils et ses données contre des cyberattaques incessantes et toujours plus nombreuses. Il préconise des mesures proactives pour renforcer la cybersécurité, de la détection à la prévention en passant par la réaction rapide. 

Agir avant que les menaces n’apparaissent est le meilleur moyen de protéger les données, la santé et même la vie de vos patients. Les taux de mortalité augmentent dans près d’un quart des organisations après avoir subi une cyberfraude, a révélé l’audition du 16 mai sur l’attaque de Change Healthcare. 

La formation à la sensibilisation à la sécurité, en particulier, peut réellement mettre à mal ces risques. Plusieurs études recommandent d’instaurer une culture de la sécurité dans les établissements de santé, y compris des programmes complets de sensibilisation des employés à la cybersécurité. 

« La formation des employés joue un rôle important dans l’amélioration de la cybersécurité », indique un rapport du National Center for Biotechnology Information des États-Unis.   

Il est essentiel d’introduire des mesures de cybersécurité dans l’orientation et la formation des nouveaux employés, indique le rapport, et de couvrir des sujets tels que le traitement des informations personnelles sur la santé, l’utilisation de la sécurité des systèmes de messagerie électronique et la navigation sécurisée sur le web. 

Où trouver une formation ?

Mettre en place une formation de sensibilisation à la cyber pour tous les employés est plus facile à dire qu’à faire. Trouver le matériel nécessaire peut s’avérer une corvée – et comment savoir si vous vous occupez des questions pertinentes pour votre secteur d’activité ou votre établissement ? Ensuite, vous devrez présenter la formation et assurer un suivi pour veiller à ce que tout le monde la comprenne suffisamment pour adopter des pratiques sûres sur le lieu de travail. 

Le service de sensibilisation à la sécurité de Hornetsecurity aide les organismes de santé de toute taille et de toute nature à renforcer leurs cyberdéfenses en formant leurs employés à reconnaître les cybermenaces et à y répondre. Notre programme de formation complet peut jouer un rôle majeur dans : 

  • la protection de votre hôpital contre les rançongiciels et les attaques d’hameçonnage ; 
  • la conformité avec les réglementations de l’UE en matière de cybersécurité ; et 
  • la limitation de l’erreur humaine – la cause principale des cyber incidents. 
Security Awareness Service icon

Gardez une longueur d’avance sur les cybermenaces dans le secteur de la santé avec un service de sensibilisation à la sécurité

Les cybercriminels s’en prennent de plus en plus aux hôpitaux, mettant en danger les données sensibles des patients, voire leur vie. Le nouveau plan d’action de l’UE pour la cybersécurité dans le secteur des soins de santé est un pas en avant, mais les hôpitaux doivent également prendre des mesures proactives pour sécuriser leurs systèmes. 

Le service de sensibilisation à la sécurité de Hornetsecurity est un moyen simple et efficace de former les employés, une première ligne de défense, à des pratiques sûres et sécurisées. Planifiez une démonstration dès aujourd’hui et protégez votre organisation de soins de santé. 

Vous pourriez aussi être intéressé par