La Commission européenne a proposé, mercredi 15 janvier, un plan à destination des États membres pour lutter contre la multiplication des cyberattaques visant les hôpitaux et l'ensemble du secteur de la santé.
Pour la Commission, le principal danger auquel sont confrontés les professionnels de santé réside dans les 'rançongiciels' ('ransomwares'), un chantage numérique où les pirates volent, bloquent et cryptent les données récupérées en exigeant le paiement d'une certaine somme pour en retrouver l'accès.
Particulièrement délétères pour le milieu hospitalier, ces modes d'attaque sont de plus en plus nombreux, selon l'Organisation mondiale de la santé. En 2023, « 309 cyberattaques de grande ampleur » ciblant des établissements de santé ont été signalées par les États membres de l'Union européenne, selon la Commission, qui chiffre à 8 millions d'euros le préjudice financier.
Selon les données publiées par la société de cybersécurité Check Point Software Technologies en juillet 2024, on compterait une moyenne de 2 783 attaques par semaine contre le secteur médical, rien qu'en Belgique.
La Commission veut donc aider les États membres et leurs services médicaux à mieux se prémunir contre ce genre d'attaques, en s'appuyant sur des législations déjà existantes liées à la cybersécurité (EUROPE 13536/18) et à travers la création d'un centre paneuropéen de soutien, lié à l'Agence de l'UE pour la cybersécurité (ENISA), qui fournirait « des outils, des services et des formations sur mesure ».
Les hôpitaux et autres prestataires de soins de santé sont considérés comme des secteurs « critiques » dans le cadre de la directive sur la cybersécurité NIS2 (EUROPE 12952/1) et du règlement sur la cyberrésilience, qui impose des exigences obligatoires en matière de cybersécurité pour les produits comprenant des éléments numériques (EUROPE 13305/1).
Un système d'alerte en temps réel à l'échelle de l'UE devrait également être mis en place d'ici 2026. Selon plusieurs sources, l'état « modéré de maturité de la sécurité » dans les différentes strates du secteur médical et son « paysage très diversifié » rendent d'autant plus difficiles d'emploi les moyens d'action à l'heure actuelle.
Ce plan doit servir de base pour assurer un dialogue et une collecte d'informations auprès des parties concernées pour les prochains mois. La Commission espère aussi pouvoir encourager les hôpitaux à mieux sauvegarder leurs données, à former et embaucher des personnes compétentes en matière de cybersécurité et à aider les services victimes à ne pas payer de rançons.
Henna Virkkunen, vice-présidente de la Commission européenne chargée de la Souveraineté technologique, a cependant admis qu'un des « défis » pour l'Union était le manque de personnel qualifié et formé alors que les offres salariales sont plus importantes dans le privé et ailleurs dans le monde.
Un projet plus détaillé devrait être présenté d'ici la fin de l'année. (Isalia Stieffatre)