Cybersécurité: un plan pour la santé à l’échelle européenne
Mercredi dernier, la Commission européenne a présenté un plan d’action pour améliorer la cybersécurité du secteur médical. À l’heure où l’IA intègre les soins de santé, ce dispositif vise à mieux prévenir les cybermenaces, mieux les détecter et les identifier, y réagir efficacement, limiter les dégâts et dissuader les potentiels responsables. Des acteurs du terrain partagent leur avis sur le projet.
À l’heure du numérique et de l’entrée croissante de l’IA dans le quotidien, l’UE tient à mieux en protéger les citoyens et les différents secteurs des cyberattaques. Le 10 décembre dernier est entrée en vigueur la “législation sur la cyberrésilience, toute première législation de l’UE imposant des exigences de cybersécurité obligatoires pour les produits comportant des éléments numériques“. Le cadre de cyberrésilience voit le milieu hospitalier et tous les prestataires de santé, où l’IA fait doucement son entrée, comme prioritaires.
C’est pourquoi, la Commission vient de présenter un plan d’action, pour doter les hôpitaux et autres services de santé d’une cybersécurité efficace. Les axes majeurs sont :
- Une prévention accrue, par l’apport de guides pratiques en cybersécurité, de bons financiers aux structures médicales plus petites et de ressources de formations pour les professionnels de santé.
- Une détection améliorée, par le lancement d’un service d’un service d’alerte précoce à l’échelle européenne d’ici 2026.
- Une réponse rapide, par des exercices nationaux et manuels pour gérer des menaces comme les ransomwares, ces logiciels d’extorsion par la blocage de l’accès aux fichiers, ainsi qu’un service de réaction rapide via la réserve de cybersécurité de l’UE.
- Une dissuasion plus certaine, en faisant usage de la cyberdiplomatie pour décourager les attaques.
“De la nécessité des moyens humains“
Les cyberattaques dans la santé constituent déjà un danger, à la fois pour la structure de soins, mais aussi pour les patients, leur sort dépendant du fonctionnement du service les prenant en charge, lequel ne peut plus se passer du numérique.
Au CHU Brugmann, le projet est acueilli avec enthousiasme : “C’est un plan nécessaire et ambitieux, répondant aux principaux défis auxquels les hôpitaux font face en matière de cybersécurité”, explique Marc van Treel, directeur IT de l’hôpital. Celui-ci voit d’ailleurs d’un bon oeil l’idée d’un Centre européen de soutien à la cybersécurité : “Cela nous permettrait de mieux anticiper les cyberattaques, de limiter leurs impacts sur les soins aux patients et de renforcer la confiance des équipes soignantes et des patients dans nos systèmes numériques”. Le CHU Brugmann, comme d’autres, “a déjà fait face à des incidents de cybersécurité, bien que la plupart aient vite pu être maîtrisés”, d’où l’importance, précise Marc van Treel, de “rester vigilant et de renforcer nos défenses. Personne n’est à l’abri, aucune citadelle n’est imprenable”. “Les principales difficultés incluant le manque de ressources humaines qualifiées en cybersécurité, les ressources d’apprentissage pour le personnel hospitalier sont indispensables, d’autant qu’elles incluent la sensibilisation à la protection des données des patients, nous aidant à garder leur confiance”.
De son côté, le Dr Benoît Debande, du Chirec, qui partage la vision selon laquelle “un des gros enjeux, ce sont les équipements et les moyens humains, que tout dépend des compétences, et que bienvenue toute initiative“, estime toutefois que “cela vient un peu tard, par rapport à l’enjeu de cybermenaces touchant le pays depuis plusieurs années. Au moment de la Covid, j’avais dit aux gens de se fédérer pour faire face aux risques existants“.
“Des mesures ont déjà été prises, souligne-t-il, comme par le CCB, l’organe public belge face aux cybermenaces, qui a dédié une structure aux soins de santé avec une équipe s’occupant davantage des hôpitaux, sans compter un partenariat avec les régions bruxelloise et wallonne, qui donnent des visuels pour promouvoir cette cybersécurité”. “Même si le budget fourni par le SPF était insuffisant, il m’a permis de financer un service de monitoring d’intervention disponible 24h/24,” poursuit le Dr Debande, avant de terminer par un dernier exemple : “Nous travaillons avec ‘Avant de cliquer’, une société qui fait de faux fishing, avec des emails de faux changements de mot de passe, avec des messages de type: ‘vous vous êtes fait prendre, faites une formation’, dans le but de préparer le personnel à de vraies situations de cyberattaques”
Une consultation publique se tiendra, afin d’affiner les actions, et de formuler les recommandations pour la fin de l’année, et les mesures seront progressivement adoptées sur la période 2025-2026.
J.D. – Photo Belga (archives)