Communication de la Commission du 20 août 2025 au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions — Plan d’action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé

JOUE Série C du 20 août 2025

Ce texte présente des recommandations/suggestions concernant le plan d’action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé.
Le Comité économique et social européen présente une série de propositions impactant l’aspect financier, technique et éducatif dans ce domaine.
Ces mesures de sécurité recommandent notamment :
– de mener une action de sensibilisation aux pratiques élémentaires d’hygiène numérique (par exemple l’application de politiques appropriées en matière de contrôle de l’accès au système, le blocage des ports USB, l’utilisation d’antivirus sur les terminaux, le cloisonnement des dispositifs non sécurisés ou la mise en quarantaine des machines infectées) ;
– d’investir dans des jumeaux numériques pour les hôpitaux, les systèmes de soins de santé ou les dispositifs médicaux afin de faciliter les procédures d’assurance et de test ;
– de fournir une assistance technique aux unités médicales qui ne disposent pas d’un service informatique ;
– de réaliser des tests appropriés (tests de résistance, de pénétration…) non seulement au niveau des appareils et des fournisseurs, mais aussi à l’échelle du système (quand les dispositifs sont intégrés dans les systèmes de santé) et au niveau opérationnel ;
– d’élaborer des plans de continuité des activités, mis à jour et révisés régulièrement à la fois en interne et par des auditeurs externes indépendants. Ces plans devraient également prévoir l’intégration d’un mode de secours ou d’un mode sécurisé pour les hôpitaux et les systèmes de soins de santé afin qu’ils puissent continuer à fonctionner ;
– de certifier les fournisseurs de cybersécurité pour contribuer à la création d’un écosystème fiable malgré les coûts que cela engendre ;
– d’inclure dans le parcours éducatif du secteur de la santé une formation ciblée à la cybersécurité ;
– de clarifier le champ des prestataires de soins de santé concernés par le plan d’action ;
– de créer une boîte à outils en matière de cybersécurité pour fournir une panoplie complète de ressources, de bonnes pratiques et d’outils pour aider les petits comme les grands établissements de santé à se protéger contre les menaces numériques ;
– de se préparer à une éventuelle attaque interne en milieu hospitalier en adoptant une approche fondée sur les risques pour déterminer le niveau de surveillance le plus approprié (que celle-ci soit exercée au moyen de réseaux informatiques, de dispositifs physiques, par exemple des caméras, ou de points de contrôle d’accès, par exemple des passes pour les employés) ;
– de doter les hôpitaux de l’Union européenne de plans de gestion des incidents et de continuité des activités. Ces plans doivent comporter des procédures de réaction aux incidents, des solutions de communication de secours et des sauvegardes déconnectées pour réagir rapidement et efficacement en cas d’attaque ;
– d’instaurer un simulateur numérique comportant des scénarios d’attaque et de réaction faciles à déployer et à utiliser. Ce simulateur pourrait servir d’outil de démonstration pour des opérations de sensibilisation, d’information et de formation ;
– d’effectuer des exercices de simulation d’attaque de façon régulière pour observer la façon dont le plan de rétablissement des services est déployé afin d’améliorer les procédures ;
– d’intégrer dans le plan d’action européen le recours à des pirates informatiques éthiques rattachés à des organisations à but non lucratif ;
– de placer les données sensibles de préférence dans des nuages médicaux européens, publics et souverains, dont l’accès aux personnes autorisées nécessite une double ou une triple vérification.
Figure en pièce jointe l’avis du Comité européen des régions sur la cybersécurité des hôpitaux et des prestataires de soins de santé.