Les hôpitaux européens ont été confrontés à près de 300 incidents de cybersécurité en 2024, ce qui fait des soins de santé le secteur essentiel le plus ciblé. Largement attribués à des groupes liés à la Russie, les incidents majeurs coûtent environ 300 000 EUR chacun, mais les dommages vont bien au-delà des pertes financières. Le plan d’action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé (2025) constitue une étape essentielle vers la protection des soins de santé de l’UE contre les menaces hybrides. Samuel Goodger et Elizabeth Kuiper, du Centre de politique européenne, exposent les priorités à respecter pour assurer la bonne mise en œuvre du plan.
Le nombre croissant de cyberattaques contre les infrastructures de santé de l’UE s’inscrit dans le cadre d’une guerre hybride plus large, dont la Russie est la principale instigatrice, visant à intimider, déstabiliser et tester la détermination européenne. Pendant que l’on assiste à un remodelage de la prestation des soins de santé induit par la santé numérique et l’intelligence artificielle, la portée des cyberattaques ne cesse quant à elle de s’étendre. Depuis 2023, des groupes de pirates informatiques pro-russes, tels que Killnet et Anonymous Sudan, ont lancé des attaques coordonnées contre des hôpitaux et des autorités sanitaires au Danemark, aux Pays-Bas, en Espagne et en Suède. Rien qu’en 2024, au moins 289 incidents de cybersécurité ont touché les prestataires de soins de santé de l’UE, soit davantage que dans tout autre secteur essentiel.
Le coût de l’inaction est énorme. Les incidents majeurs coûtent en moyenne 300 000 EUR chacun, ce qui signifie que la charge cumulée pesant sur les systèmes de santé peut atteindre des milliards.
La désinformation, par exemple partagée sur les médias sociaux, peut également multiplier les effets des attaques. Lorsque les hôpitaux sont ciblés, les fausses déclarations sur les violations des données des patients peuvent amplifier l’anxiété publique, éroder la confiance dans les établissements de soins de santé et aggraver les effets déjà préoccupants d’une faible maîtrise des connaissances en matière de santé.
Pourquoi les soins de santé?
Plusieurs facteurs rendent les systèmes de santé attrayants. Les dossiers médicaux personnels peuvent faire l’objet d’usurpation d’identité ou d’extorsion. La fragmentation des environnements informatiques — mélange de systèmes anciens et d’infrastructures modernes — contribue aux vulnérabilités. Les dépendances au sein des chaînes d’approvisionnement créent des points d’entrée supplémentaires, étant donné que la violation d’un système peut se répercuter sur d’autres.
La préparation en matière de cybersécurité dans le domaine des soins de santé varie considérablement d’un État membre à l’autre. Tandis que certains États membres disposent d’écosystèmes matures, tels que le Z-CERT néerlandais, qui fournit des renseignements sectoriels sur les menaces et la réaction aux incidents, d’autres ne disposent pas d’une expertise spécifique en matière de santé. Cette fragmentation crée des vulnérabilités que les acteurs hostiles peuvent exploiter. Les carences au niveau du partage transfrontière de renseignements sur les menaces permettent aux auteurs d’attaques de réutiliser les mêmes vulnérabilités d’un pays à l’autre.
Enfin, les pénuries de main-d’œuvre aggravent également ces lacunes: en 2024, selon les estimations, ce sont 300 000 professionnels de la cybersécurité qui faisaient défaut à l’UE. Le problème est particulièrement aigu dans le domaine des soins de santé, où environ deux tiers des rôles en matière de cybersécurité sont occupés par des professionnels de l’informatique non spécialisés dans ce domaine.
IA — Une occasion cruciale à saisir
Dans ces circonstances, le plan d’action européen de janvier 2025 sur la cybersécurité des hôpitaux et des prestataires de soins de santé constitue une avancée essentielle. S’appuyant sur une législation existante substantielle, telle que la directive SRI 2, le RGPD et le règlement sur l’espace européen des données de santé, le plan trace la voie à suivre pour protéger les systèmes de santé de l’UE au moyen de quatre piliers: prévention, détection, réaction et rétablissement, dissuasion.
Les outils actuels fondés sur l’IA offrent un potentiel de défense important: surveillance continue, détection fine des atteintes à la sécurité, hiérarchisation des alertes et endiguement précoce automatisé des menaces. Toutefois, nos adversaires bénéficient également de ces évolutions, par exemple en manipulant les modèles d’IA au moyen d’entrées contradictoires ou d’empoisonnements de données. Pour garantir l’intégrité du système, il est donc nécessaire de surveiller en permanence et de sécuriser les canaux de développement. La validation par des analystes humains reste essentielle pour l’obligation de redevabilité.
Par ailleurs, l’IA renforce également de manière significative les acteurs de la désinformation. En analysant les données volées, les agresseurs peuvent générer des courriels d’hameçonnage adaptés aux rôles spécifiques des individus. Lors d’incidents, une désinformation coordonnée peut éroder la confiance du public, précisément lorsque la confiance est la plus fragile.
Recommandations
Avant que la Commission ne prenne de nouvelles mesures pour mettre en œuvre le plan d’action, nous recensons six priorités:
Premièrement, tirer parti de l’IA pour détecter les menaces et y répondre. Les systèmes de santé devraient expérimenter l’IA spécialisée pour la gestion automatisée des vulnérabilités et l’analyse comportementale. Des systèmes d’IA fermés mais explicables sont préférables, afin de réduire les risques de fuites de données.
Deuxièmement, améliorer le renseignement sur les menaces transfrontières. La Commission doit mettre en place des systèmes de surveillance des vulnérabilités contextualisés dans les flux de travail cliniques. La coopération internationale devrait être renforcée dans le cadre de l’initiative internationale de lutte contre les rançongiciels et du G7.
Troisièmement, renforcer la passation conjointe de marchés pour la sécurité de la chaîne d’approvisionnement. La mise en place de mécanismes communs de passation de marchés au niveau de l’UE agrégerait la demande et faciliterait la surveillance des exigences en matière de sécurité dès la conception.
Quatrièmement, remédier à la crise de capacité s’agissant de la main-d’œuvre. Les professionnels de la santé eux-mêmes constituent à la fois la première ligne de défense et une vulnérabilité majeure. La formation à l’hygiène informatique doit inclure des compétences en matière de lutte contre la désinformation et la reconnaissance des attaques d’ingénierie sociale renforcées par l’IA.
Cinquièmement, cibler les risques de désinformation. La Commission devrait élaborer des initiatives de maîtrise de l’IA spécifiques aux soins de santé expliquant les processus décisionnels et les implications en matière de respect de la vie privée. Les citoyens doivent être en mesure de distinguer les communications authentiques des contenus manipulés.
Sixièmement, veiller à ce qu’un financement adéquat soit disponible. Les investissements publics devraient faire l’objet d’une réorientation des ressources existantes, mais aussi bénéficier de la clause dérogatoire du pacte de stabilité et de croissance. L’UE devrait envisager de créer un Fonds pour la résilience doté d’une enveloppe spécifique de 10 milliards d’euros pour les secteurs les plus exposés aux cybermenaces.
Pour garantir la cyber-résilience des systèmes de santé de l’UE, il est nécessaire de passer à une approche collaborative et proactive. Il faut pour cela surmonter la fragmentation et favoriser une action collective intégrée et innovante. En tirant parti de l’IA, en approfondissant la coopération transfrontière, en investissant dans le développement de la main-d’œuvre et en donnant aux patients les moyens d’agir, l’UE peut transformer le secteur des soins de santé d’un objectif vulnérable en une infrastructure résiliente.
Samuel Goodger est analyste politique et Elizabeth Kuiper est directrice associée au Centre de politique européenne. Le présent article se base sur leur note stratégique de novembre 2025 «From ransomware to statecraft: Protecting EU healthcare in the new threat landscape».
Le Centre de politique européenne (CPE) est un groupe de réflexion indépendant et à but non lucratif qui vise à favoriser l’intégration européenne par l’analyse et le débat, en aidant et en stimulant les décideurs à tous les niveaux à prendre des décisions éclairées fondées sur des données probantes et des analyses, et en fournissant une plateforme pour associer les partenaires, les parties prenantes et les particuliers à l’élaboration des politiques de l’UE et au débat sur l’avenir de l’Europe.
