Sécurité des soins de santé : le plan d'action de l'UE.

En quoi consiste le plan d’action
? Le plan préconise une approche proactive et multicouche de la cybersécurité. Les hôpitaux et les cliniques sont invités à mener des évaluations complètes des risques, à mettre à jour leurs systèmes informatiques obsolètes et à former leur personnel aux bonnes pratiques de cybersécurité. Un système d’alerte précoce à l’échelle de l’UE dédié au secteur de la santé, qui devrait être opérationnel d’ici 2026, permettra de détecter rapidement les menaces émergentes. En outre, l’accent est mis sur des mesures solides de réponse aux incidents, telles qu’une « réserve » de cyber-équipes d’intervention d’urgence et des exercices de gestion de crise renforcés. L’un des éléments clés du plan est l’obligation de signaler les cyberincidents afin de promouvoir la transparence et de permettre une intervention rapide. Par ailleurs, le plan prévoit de signaler toute intention de payer une rançon en cas d’attaque, dans le but de dissuader les cybercriminels.
 

Impact sur le secteur médical
Le plan d’action promeut une stratégie de cybersécurité à plusieurs niveaux, articulée autour de quatre capacités fondamentales : la prévention, la détection, la réaction et la dissuasion. Parmi les mesures clés figurent des évaluations complètes des risques, l’amélioration du signalement des incidents, le renforcement de la formation en cybersécurité du personnel de santé et la mise en place d’un système d’alerte précoce à l’échelle de l’Union européenne, qui devrait être opérationnel d’ici 2026.

• Évaluations des risques et mises à niveau: les établissements doivent passer en revue leurs systèmes informatiques, mettre à jour leurs logiciels obsolètes et renforcer la sécurité de leur réseau. La cybersécurité n'est plus seulement une préoccupation informatique ; elle est essentielle pour garantir la continuité des soins aux patients et la résilience opérationnelle.
• Formation du personnel : L'importance accordée à la formation est évidente. Tous les professionnels de santé, des médecins au personnel administratif, doivent être formés aux bonnes pratiques en matière de cybersécurité afin de réduire les erreurs humaines.
• Préparation à la gestion des incidents: avec la mise en place de nouvelles directives visant à garantir une gestion efficace des incidents et l'organisation régulière d'exercices de sécurité, les hôpitaux devront investir dans des systèmes de sauvegarde et des plans de reprise d'activité complets.

Les fournisseurs de technologies médicales, qu’il s’agisse de fournisseurs de logiciels et de matériel informatique ou de prestataires de services de sécurité gérés (MSSP), doivent désormais intégrer la sécurité dans leurs produits. Cela implique de concevoir des solutions « sécurisées dès la conception », de mettre en place des processus rigoureux de signalement des vulnérabilités et d’accompagner les clients du secteur de la santé grâce à des services de cybersécurité intégrés. La collaboration entre les hôpitaux et les fournisseurs de technologies permet de garantir la protection de chaque maillon de la chaîne des soins de santé.
 

Mises en œuvre nationales au sein de l'UE
Bien que le plan d'action s'applique à l'ensemble de l'UE, sa mise en œuvre variera considérablement d'un État membre à l'autre en fonction de leur niveau de maturité en matière de cybersécurité et de leurs cadres réglementaires existants.

• Pays-Bas: Les Néerlandais sont depuis longtemps des pionniers en matière de cybersécurité. Leur Centre national de cybersécurité (NCSC-NL) et les recommandations sectorielles diffusées par le Zorg-CERT leur permettent d’être bien préparés aux changements à venir. Les hôpitaux néerlandais respectent déjà des normes rigoureuses, notamment des évaluations obligatoires des risques et la conformité à la norme NEN 7510, spécialement adaptée au secteur de la santé. Leurs mécanismes proactifs de partage de renseignements sur les menaces devraient s’intégrer sans difficulté au nouveau cadre réglementaire de l’UE.
• Espagne: S'alignant rapidement sur les directives de l'UE, l'Espagne a approuvé en janvier 2025 un projet de loi visant à renforcer la gouvernance nationale en matière de cybersécurité. Le Centro Nacional de Ciberseguridad (CNC), ou Centre national de cybersécurité, récemment créé, fera office d'autorité de référence et veillera à ce que les hôpitaux respectent les nouvelles obligations de déclaration et se soumettent à des audits réguliers. Les établissements de santé espagnols doivent s'attendre à une surveillance plus stricte et à un système centralisé de signalement des incidents, ainsi qu'à des subventions qui incluent désormais la mise à niveau de leurs systèmes de cybersécurité.
• Estonie: Reconnue comme le pionnier européen du numérique, l’Estonie a presque entièrement numérisé ses services de santé, ce qui nécessite des mesures de cybersécurité rigoureuses. L'autorité estonienne chargée des systèmes d'information (Riigi Infosüsteemi Amet, ou RIA) applique certaines des politiques de sécurité des données les plus strictes de la région. L'adoption précoce par l'Estonie d'une sécurité blockchain pour les dossiers médicaux électroniques illustre parfaitement son engagement en faveur d'une santé numérique sécurisée. Grâce à ces bases solides, l'Estonie est bien préparée pour intégrer, voire dépasser, les nouvelles exigences de l'UE en matière de cybersécurité.
• France: Déjà à la pointe en matière de cybersécurité dans le secteur de la santé, le programme français CaRE, lancé en 2023, va connaître une expansion dans le cadre du nouveau plan d’action. Ce programme, qui bénéficie d’un financement important, met à la disposition des hôpitaux un catalogue d’outils de cybersécurité pré-évalués et met l’accent sur la coordination des achats. Les hôpitaux français peuvent s’attendre à un renforcement de la réglementation, à des obligations de déclaration plus strictes et à une intégration plus étroite avec les agences nationales de cybersécurité telles que l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
• Allemagne: L'approche allemande consiste à moderniser la protection de ses infrastructures critiques. Bien que la transposition de la directive NIS2 ait été initialement lente, l'Allemagne vise à la mettre pleinement en œuvre d'ici début 2025. Les lignes directrices existantes destinées aux grands hôpitaux seront étendues à un plus grand nombre d’établissements de santé, et le Bundesamt für Sicherheit in der Informationstechnik (BSI), ou Office fédéral pour la sécurité de l’information, devrait jouer un rôle encore plus actif. Les hôpitaux allemands doivent se préparer à des exigences plus strictes en matière de signalement des incidents et à un renforcement de la surveillance réglementaire, accompagnés de mesures incitatives financières supplémentaires pour les investissements en cybersécurité.
   

Calendrier et étapes clés
Le plan devrait être mis en œuvre rapidement :

• Janvier 2025 : annonce officielle et début des consultations avec les parties prenantes.
• Mi-2025 : les États membres entament la transposition de la directive NIS2, et des lignes directrices spécifiques au secteur de la santé sont publiées.
• Fin 2025 : les principaux éléments attendus, tels que les guides d'intervention en cas d'incident et les protocoles obligatoires de signalement des attaques par rançongiciel, sont mis en œuvre.
• Début à mi-2026 : Lancer le service d’alerte précoce à l’échelle de l’UE, qui diffusera des alertes en temps quasi réel sur les cybermenaces potentielles. Mettre en œuvre le service d’intervention rapide dans le cadre de la réserve de cybersécurité de l’UE et déployer les « chèques cybersécurité » auprès des prestataires de soins de santé éligibles.
• Au-delà de 2026 : intégration continue des pratiques de cybersécurité dans les opérations quotidiennes des établissements de santé, accompagnée de révisions et de mises à jour périodiques.
   

Comment Getronics peut aider les établissements de santé (
) S'adapter à ces réglementations en constante évolution en matière de cybersécurité peut s'avérer difficile. Fort de son expertise approfondie dans les services informatiques gérés et les technologies de santé, Getronics occupe une position unique pour accompagner les organisations dans cette transition. Nos services vont de l'évaluation des risques et du conseil en conformité à la surveillance des menaces 24 h/24 et 7 j/7, en passant par une réponse rapide aux incidents. En s'associant à Getronics, les prestataires de soins de santé s'assurent non seulement de respecter les nouvelles exigences réglementaires, mais aussi de mettre en place une cyberdéfense solide et résiliente qui garantit la sécurité et la continuité des soins prodigués aux patients.

Getronics a déjà réalisé plusieurs avancées dans le secteur de la santé. L'entreprise prend en charge la norme Wi-Fi 7 dans les hôpitaux et explore le rôle de l'IA en médecine.

Contactez Getronics dès aujourd'hui et laissez-nous vous aider à faire face aux complexités de la cybersécurité dans un secteur de la santé en constante évolution.

Rédigé par Rob Nidschelm, responsable mondial de la sécurité opérationnelle chez Getronics.

MISE À JOUR DU 27/08/2025 :
Les cybercriminels ont fait du secteur de la santé européen l’une de leurs cibles de prédilection, les attaques par ransomware et celles visant la chaîne d’approvisionnement exposant les hôpitaux et les patients à de graves risques.

Au début de cette année, nous avons publié notre première analyse intitulée « Sécurité dans le secteur de la santé : le plan d'action de l'UE ».

Cette mise à jour sur la sécurité des soins de santé examine la manière dont ce plan sera mis en œuvre progressivement au cours des deux prochaines années et ce à quoi les organismes de santé doivent s'attendre après 2026. Ce plan n'est pas simplement une ligne directrice de plus. Il s'agit d'une initiative coordonnée à l'échelle de l'Union européenne, destinée à renforcer la résilience, à développer les compétences et à apporter un soutien rapide en cas d'attaque.

Contenu du plan d'action
Un centre européen de soutien à la cybersécurité

Un centre spécialisé apportera un soutien direct aux hôpitaux et aux autres prestataires. Il servira de plaque tournante pour la préparation, la détection et la réponse aux incidents. Des projets pilotes seront lancés dans les États membres afin de tester les meilleures pratiques en matière de cyberhygiène, d'évaluation des risques et de surveillance continue.

Cartographie du cadre réglementaire

Les organismes de santé sont confrontés à un ensemble disparate de réglementations. Le plan d’action comprend un outil de cartographie réglementaire destiné à aider les prestataires à s’y retrouver parmi la directive NIS 2, le RGPD, la loi sur la cyber-résilience et d’autres règles qui se recoupent. Parallèlement, une évaluation coordonnée des risques sera menée, en mettant l’accent sur les dispositifs médicaux et les données des patients cloud.

Réponse aux incidents et réserve de cybersécurité

La loi sur la cyber-solidarité permet aux hôpitaux de faire appel à des prestataires privés de confiance en cas de crise. Un guide de cyber-sécurité spécifique au secteur de la santé sera élaboré, parallèlement à la mise en place d’exercices réguliers de cyber-sécurité au niveau européen. Les ransomwares représentant plus de la moitié des incidents survenus dans le secteur de la santé ces dernières années, on ne saurait trop insister sur l’importance de ces mesures. En vertu de la directive NIS2, tout paiement de rançon devra également être signalé.

Système d'alerte précoce

Un service d'alerte précoce à l'échelle de l'Union européenne diffusera des alertes en temps quasi réel concernant les menaces spécifiques au secteur de la santé. Les hôpitaux transmettront leurs notifications d'incidents à l'ENISA par l'intermédiaire du Centre de soutien, garantissant ainsi une diffusion rapide des informations.

Effectifs et gouvernance

Les équipes chargées de la cybersécurité dans le secteur de la santé souffrent d’un manque chronique de personnel. Selon l’ISC2, les trois quarts des professionnels considèrent que les pénuries de personnel constituent un risque majeur. Pour y remédier, la mise à jour sur la sécurité dans le secteur de la santé met en place un réseau européen des RSSI du secteur de la santé, destiné à mettre en relation les responsables, à partager l’expertise et à renforcer la résilience collective.

Calendrier des principales mesures
Phase 1 : 2025-2026 (mise en œuvre initiale)

Calendrier Actions clés
Janvier 2025 : Lancementofficiel du plan d’action ; début des consultations avec les parties prenantes.
2e trimestre 2025 : Premiers projets pilotes sur la cyberhygiène hospitalière et la préparation aux incidents.
Mi-2025 : Création du Centre européen de soutien à la cybersécurité.
3e trimestre 2025 : Déploiement du service d’alerte précoce et des alertes de menaces à l’échelle de l’UE dans le secteur de la santé.
4e trimestre 2025 :Première évaluation coordonnée des risques liés à la chaîne d’approvisionnement ; publication de recommandations affinées.
Début 2026 :Publication du guide d’intervention en cas de cyberincident dans le secteur de la santé ; début des exercices de cybersécurité à l’échelle de l’UE.
Tout au long de l’année 2026 :Déploiement continu d’outils d’intervention et de reprise, notamment des services d’intervention rapide et des référentiels de décryptage.
 

Phase 2 : Au-delà de 2026 (Expansion stratégique)

Calendrier -- Actions clés
Fin 2026 – 2027 :publication de recommandationssupplémentairespar la Commission, sur la base des résultats des projets pilotes et des consultations.
Après 2026 (en cours) :poursuite des travaux du Conseil consultatif sur la cybersécurité dans le domaine de la santé et des centres nationaux de soutien.
2027 et au-delà :Développement d’un marché unique européen de la cybersécurité, avec des budgets plus clairs, des objectifs mesurables et des exercices de cybersécurité élargis à l’échelle de l’UE.
2030–2035 :Transition vers l’adoption de la cryptographie post-quantique dans l’ensemble des systèmes de santé critiques.
En continu :Intégration de la sécurité des soins de santé dans les cadres plus larges de l’UE, notamment la directive NIS2, la loi sur la cyber-résilience et la loi sur la cyber-solidarité, avec des mandats évolutifs selon les besoins.
 

Contexte législatif général
Le plan d'action vient compléter les récentes réglementations de l'UE qui redéfinissent le paysage de la sécurité :

• Directive NIS2 ( en vigueur depuis décembre 2022) : renforce les exigences applicables aux secteurs essentiels, notamment celui de la santé, et instaure des règles harmonisées en matière de signalement des incidents.
• Loi sur la cyber-résilience (CRA) (adoptée en octobre 2024) : elle porte principalement sur les produits comportant des éléments numériques, tels que les dispositifs médicaux, et impose la gestion des vulnérabilités ainsi que la mise en place de mises à jour de sécurité.
• Loi sur la résilience opérationnelle numérique ( DORA) (entrée en vigueur en janvier 2025) : elle vise le secteur financier, mais a également des répercussions sur les prestataires de services TIC au sein des écosystèmes de santé.
   

Pourquoi est-ce important ?
Les hôpitaux ne peuvent pas se permettre de temps d’arrêt. Une attaque par ransomware qui rendrait inaccessibles les dossiers des patients ou perturberait le fonctionnement des appareils connectés peut mettre des vies en danger. Le plan d’action de l’UE marque un tournant : il s’agit désormais de passer d’une approche réactive à un renforcement structuré de la résilience. En mettant en place un centre d’assistance, un réseau de RSSI et un guide d’intervention s’appuyant sur des informations en temps réel, l’Europe franchit une étape majeure vers la protection du secteur de la santé.

Chez Getronics, nous aidons les prestataires de soins de santé à se conformer aux normes NIS2, DORA, ISO 27001 et aux directives spécifiques à leur secteur. Nos services de sécurité gérés, nos informations sur les menaces et notre expertise en matière de réponse aux incidents permettent d’accompagner les organisations dans leur préparation au nouveau contexte européen. Nous prenons très au sérieux chaque mise à jour en matière de sécurité dans le secteur de la santé, afin d’offrir un accompagnement cohérent et toujours à jour.