Cybercriminalité : l’Europe amorce un plan de protection pour les hôpitaux

Par

Publié le 28/01/2025

Article réservé aux abonnés

La Commission européenne a présenté un plan d’action visant à renforcer la cybersécurité des hôpitaux et des prestataires de soins de santé, un secteur particulièrement sensible et peu mature.

Dans la santé, les erreurs humaines figurent parmi les premiers facteurs d’incidents de cybersécurité
Crédit photo : ADIL BENAYACHE/SIPA

La menace ne cesse de s’accroître. En 2023, 309 cyberattaques « de grande ampleur » ciblant les établissements de santé ont été signalées par les États membres de l’Union européenne, soit plus que dans tout autre secteur critique, vient d’annoncer la Commission européenne. Dans ce contexte, l’institution a lancé un plan d’action mi-janvier pour mieux protéger les hôpitaux et l’ensemble des prestataires de santé face à la criminalité cyber, s’inquiétant en particulier pour la sécurité des patients et leurs données médicales. Des actions seront progressivement mises en œuvre tout au long de 2025-2026. C’est la première initiative sectorielle du genre au sein de l’UE.

Le coût faramineux des rançongiciels

Les enjeux sont colossaux. En particulier, la prolifération des rançongiciels – une forme de chantage numérique dans lequel les pirates cryptent les données et bloquent les services – devrait coûter à leurs victimes environ 250 milliards d’euros d’ici à 2031 (tous secteurs), selon l’Agence de l’Union européenne pour la cybersécurité (Enisa). Or, précisément, plus de la moitié des incidents cyber dans le secteur de la santé sont des attaques aux rançongiciels, avec des répercussions sur les soins comme des retards de traitement ou des embouteillages aux urgences, ajoute Bruxelles. En France, en 2023, 10 % du total de l’ensemble des victimes d’attaques par des « ransomwares » étaient des hôpitaux publics ou privés.

Les incidents cyber occasionnent retards de traitement et embouteillages aux urgences

Le phénomène n’est pas nouveau mais s’amplifie. Pendant la pandémie de Covid, déjà, une attaque informatique avait paralysé des pans entiers du système de santé irlandais, ayant conduit à l’arrêt d’au moins 31 services vitaux hospitaliers sur 54. À l’origine de l’incident, un simple email d’hameçonnage contenant une pièce jointe frauduleuse…

Bientôt un centre paneuropéen de soutien

Selon l’UE, la riposte est d’autant plus nécessaire que la protection cyber du secteur de la santé reste insuffisante et peu mature. D’où la nécessité de créer un environnement sécurisé pour les blouses blanches comme pour les patients. Dans son plan, la Commission souhaite la création d’un « centre paneuropéen de soutien à la cybersécurité » afin d’aider les hôpitaux et les prestataires à réagir en cas d’attaque, avec une marche à suivre, des outils, des services et des formations sur mesure. Les infrastructures critiques sont particulièrement visées. Cet organisme devrait mettre au point un « service d’alerte précoce » à l’échelle de l’UE, avec des notifications « en temps réel » sur les cybermenaces potentielles d’ici à 2026.

Côté prévention des risques, le plan prévoit des conseils autour des pratiques critiques en matière de cybersécurité, ainsi que des aides financières aux petits hôpitaux (sous forme de bons cyber dédiés) et des ressources d’apprentissage pour sensibiliser les blouses blanches. « Mieux vaut prévenir que guérir ! résume Henna Virkkunen, vice-présidente chargée de la souveraineté numérique au sein de la Commission. Nous devons aussi faire en sorte que les systèmes de santé, les institutions et les dispositifs médicaux connectés soient résilients. » De fait, les erreurs humaines – sur la sécurité des mots de passe ou les sauvegardes – continuent de figurer parmi les premiers facteurs d’incidents de cybersécurité dans la santé.

Parallèlement, le plan entend développer un « service de réaction rapide » pour le secteur de la santé dans le cadre de la réserve de cybersécurité de l'UE (en cas d’incident, des experts privés de confiance sont mobilisables). La Commission exhorte aussi les États membres à déployer des « exercices nationaux » de cybersécurité pour parer les risques spécifiques. Les États sont par ailleurs encouragés à demander aux entités piratées qui auraient payé d’éventuelles rançons de déclarer systématiquement ces versements aux autorités.