Skip to main content Scroll Top
L'Europe en renfort de la cybersécurité des hôpitaux
Actualités Actualités du moment Autorité ou organisme national Clinique Datactu Établissement de santé privé à but non lucratif Établissement public de santé Organisme de recherche Raphaël Cavan
Partager l'article



*
*
*




Cybersécurité hospitalière : l’Europe en renfort

 

Article rédigé le 03 février 2025 par Me Raphaël Cavan et Me Laurence Huin

 

Face à la recrudescence des cyberattaques visant les établissements de santé, la Commission européenne a dévoilé, le 15 janvier 2025, un plan d’action pour renforcer la cybersécurité des hôpitaux et des prestataires de soins dans l’Union européenne.
Les menaces, allant des ransomwares aux intrusions dans les systèmes de données, exposent non seulement les infrastructures hospitalières à des risques financiers et opérationnels, mais peuvent également mettre directement en péril la vie des patients.
Selon la Commission européenne, le secteur de la santé est devenu l’un des plus ciblés par les cybercriminels, notamment en raison de la valeur stratégique des données de santé et de la transformation numérique accélérée, ce que constate également l’Agence Nationale de la Sécurité des Systèmes d’Information (« ANSSI ») en France dans son rapport publié le 7 novembre 2024 sur l’état de la menace informatique dans le secteur de la santé.
La Commission européenne relève qu’entre 2021 et 2023, les attaques par rançongiciel représentaient 54 % des incidents de cybersécurité recensés visaient le secteur de la santé, compromettant la continuité des soins et retardant des interventions médicales critiques.

 

SOMMAIRE

1 Vers une cybersécurité renforcée pour les hôpitaux européens
2 Quels impacts pour les établissements de santé en France ?

Vers une cybersécurité renforcée pour les hôpitaux européens

Pour contrer cette menace croissante, le plan d’action repose sur plusieurs piliers stratégiques :

  • Renforcement de la prévention et de la préparation : mise en place de tests de cybersécurité, cartographie des vulnérabilités des hôpitaux et adoption de bonnes pratiques de cyber-hygiène.
  • Création d’un Centre européen de soutien à la cybersécurité des hôpitaux, piloté par l’ENISA (« Agence européenne de cybersécurité »), pour coordonner les réponses aux incidents et mutualiser les ressources en matière de protection numérique.
  • Détection et réponse rapide aux cybermenaces : développement d’un système d’alerte précoce et d’un catalogue européen des vulnérabilités connues affectant les dispositifs médicaux connectés.
  • Formation et sensibilisation des professionnels de santé : mise en place de modules de formation en cybersécurité adaptés aux établissements de santé et aux exigences réglementaires européennes.
  • Encadrement de l’usage du cloud et de l’IA en santé : adoption de standards de cybersécurité pour l’utilisation du cloud et des dispositifs médicaux numériques, afin de garantir l’intégrité des données de santé.

Ce plan s’inscrit dans un cadre réglementaire plus large, incluant notamment la directive NIS2, le Règlement sur l’Espace Européen des Données de Santé (« EHDS ») et le Cyber Resilience Act (« CRA »), qui imposent des standards élevés de cybersécurité aux acteurs de la santé.

L’objectif est clair : protéger les systèmes de santé européens contre les cyberattaques et assurer la sécurité des patients face aux défis numériques à venir.

La Commission annonce également vouloir lancer prochainement une consultation publique ouverte à tous les citoyens et parties prenantes pour compléter et détailler les recommandations posées par le plan d’action, dont les résultats seront publiés d’ici fin 2025.

 

Quels impacts pour les établissements de santé en France ?

Les établissements de santé français doivent s’adapter rapidement aux exigences de cybersécurité posées par l’Union européenne. À titre d’exemple, la transposition de la directive NIS2, en cours de mise en œuvre, impose déjà aux hôpitaux et aux structures de soins critiques de renforcer leur sécurité numérique et de déclarer tout incident majeur.

Dans ce contexte, plusieurs mesures concrètes sont à anticiper pour les établissements de santé en France :

  • Renforcement des audits et contrôles de cybersécurité : les établissements devront démontrer qu’ils appliquent des standards de cybersécurité conformes aux nouvelles exigences européennes, sous peine de sanctions.
  • Mise en conformité avec les recommandations de l’ANS et de l’ANSSI : les hôpitaux devront s’appuyer sur les guides de sécurité des systèmes d’information publiés par l’Agence du Numérique en Santé (« ANS ») et l’ANSSI.
  • Obligation de signalement des cyberattaques : la directive NIS2 impose un délai de 24 heures pour notifier toute cyberattaque significative aux autorités compétentes, notamment le CERT santé piloté par l’ANSSI.
  • Sécurisation des dispositifs médicaux connectés : le plan d’action européen met un accent fort sur la cybersécurité des dispositifs médicaux numériques (« DMN »), ce qui implique pour les établissements de santé un suivi strict de la conformité de ces outils aux normes européennes. La nouvelle certification relative aux établissements de santé de la Haute autorité de santé (« HAS ») présentée le 21 janvier dernier pose des critères d’évaluation allant en ce sens.
  • Formation obligatoire des équipes médicales : les professionnels de santé devront être formés aux bonnes pratiques en cybersécurité pour réduire le risque de compromission des systèmes via des erreurs humaines (phishing, accès non sécurisé, etc.).
  • Accès à des financements et aides : le plan d’action incite les Etats membres à mettre en place des « bons de cybersécurité » pour les hôpitaux et les prestataires de soins de santé pour les aider financièrement. La France a par exemple mis en place le programme « Cybersécurité Accélération et Résilience des Établissements » (CaRE), piloté par l’ANS, qui vise à accompagner les acteurs de la e-santé dans le renforcement de leur cybersécurité, et que la Cour des comptes appelle à conduire à son terme dans le cadre des recommandations posées dans son rapport publié le 14 octobre 2024 relatif à la sécurité informatique des établissements de santé.

Pour consulter la communication de la Commission européenne, cliquer ici.

 

Cet article est issu de la lettre dédiée à l’actualité des données Datactu #19 de février 2025.

🔗 Vous pouvez consulter notre nouvelle Datactu dans son intégralité en suivant ce lien.

AU SOMMAIRE DE LA LETTRE :

💡Pensez à vous abonner à notre lettre d’information pour découvrir l’ensemble de nos conseils juridiques pratiques concernant toutes les nouveautés liées à la recherche et aux données de santé !

Je m'abonne à la lettre
Me Raphaël Cavan

Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.

L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.

Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.

Laurence Huin

Maître Laurence Huin exerce une activité de conseil et de contentieux auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Depuis novembre 2024, elle est partenaire du pôle Santé Numérique du cabinet Houdart et associés et contribue à ce titre à Datactu.