Cybersécurité des hôpitaux : le Cese donne son avis sur le plan d’action européen

Alors que les établissements de santé sont de plus en plus la cible de cyberattaques, la Commission européenne a lancé, en janvier 2025, un plan d’action global visant à améliorer la cybersécurité des hôpitaux et des prestataires de soins de santé dans l’ensemble de l’UE.

Articulé autour de quatre piliers (prévenir, détecter, réagir et rétablir, dissuader), ce plan doit être mis en œuvre en collaboration avec les prestataires de soins de santé, les États membres et la communauté de la cybersécurité.

Le Comité économique et social européen (Cese) a rendu le 20 août 2025 son avis sur ce plan d’action européen sur la cybersécurité des hôpitaux, avec une série de propositions impactant l’aspect financier, technique et éducatif dans ce domaine.

Ces mesures de sécurité recommandent notamment :

• de mener une action de sensibilisation aux pratiques élémentaires d’hygiène numérique (par exemple l’application de politiques appropriées en matière de contrôle de l’accès au système, le blocage des ports USB, l’utilisation d’antivirus sur les terminaux, le cloisonnement des dispositifs non sécurisés ou la mise en quarantaine des machines infectées) ;

• d’investir dans des jumeaux numériques pour les hôpitaux, les systèmes de soins de santé ou les dispositifs médicaux afin de faciliter les procédures d’assurance et de test ;

• de fournir une assistance technique aux unités médicales qui ne disposent pas d’un service informatique ;

• de réaliser des tests appropriés (tests de résistance, de pénétration…) non seulement au niveau des appareils et des fournisseurs, mais aussi à l’échelle du système (quand les dispositifs sont intégrés dans les systèmes de santé) et au niveau opérationnel ;

• d’élaborer des plans de continuité des activités, mis à jour et révisés régulièrement à la fois en interne et par des auditeurs externes indépendants. Ces plans devraient également prévoir l’intégration d’un mode de secours ou d’un mode sécurisé pour les hôpitaux et les systèmes de soins de santé afin qu’ils puissent continuer à fonctionner ;

• de certifier les fournisseurs de cybersécurité pour contribuer à la création d’un écosystème fiable malgré les coûts que cela engendre ;

• d’inclure dans le parcours éducatif du secteur de la santé une formation ciblée à la cybersécurité ;

• de clarifier le champ des prestataires de soins de santé concernés par le plan d’action ;

• de créer une boîte à outils en matière de cybersécurité pour fournir une panoplie complète de ressources, de bonnes pratiques et d’outils pour aider les petits comme les grands établissements de santé à se protéger contre les menaces numériques ;

• de se préparer à une éventuelle attaque interne en milieu hospitalier en adoptant une approche fondée sur les risques pour déterminer le niveau de surveillance le plus approprié (que celle-ci soit exercée au moyen de réseaux informatiques, de dispositifs physiques, par exemple des caméras, ou de points de contrôle d’accès, par exemple des passes pour les employés) ;

• de doter les hôpitaux de l’Union européenne de plans de gestion des incidents et de continuité des activités. Ces plans doivent comporter des procédures de réaction aux incidents, des solutions de communication de secours et des sauvegardes déconnectées pour réagir rapidement et efficacement en cas d’attaque ;

• d’instaurer un simulateur numérique comportant des scénarios d’attaque et des réaction faciles à déployer et à utiliser. Ce simulateur pourrait servir d’outil de démonstration pour des opérations de sensibilisation, d’information et de formation ;

• d’effectuer des exercices de simulation d’attaque de façon régulière pour observer la façon dont le plan de rétablissement des services est déployé afin d’améliorer les procédures ;

• d’intégrer dans le plan d’action européen le recours à des pirates informatiques éthiques rattachés à des organisations à but non lucratif ;

• de placer les données sensibles de préférence dans des clouds médicaux européens, publics et souverains, dont l’accès aux personnes autorisées nécessite une double ou une triple vérification.