7 février 2025
Introduction : La directive NIS 2 et son importance
La directive NIS 2 constitue une pierre angulaire de la stratégie de l’Union européenne visant à renforcer la cybersécurité dans les États membres. Adoptée en 2023, cette directive révisée s’appuie sur sa prédécesseure de 2016 pour répondre aux complexités croissantes de la numérisation et à l’évolution des cybermenaces. La directive NIS 2 élargit considérablement son champ d’application, englobant non seulement les secteurs traditionnels comme l’énergie, les transports et la banque, mais également les soins de santé, les infrastructures numériques et même la fabrication de dispositifs médicaux et de produits pharmaceutiques.
L’un des principaux objectifs de la directive NIS 2 est d’harmoniser les normes de cybersécurité dans les États membres tout en veillant à ce que les organisations de taille moyenne et grande adoptent des pratiques de gestion des risques solides. Pour le secteur de la santé, cette directive est particulièrement cruciale, compte tenu de la dépendance du secteur à l’égard des systèmes interconnectés et de la sensibilité des données des patients. En appliquant des mesures de conformité et de responsabilité plus strictes, la directive NIS 2 vise à atténuer les risques et à renforcer la résilience des services essentiels dans toute l’UE.
Quelles sont les échéances pour la mise en œuvre de la directive NIS 2 ?
Pour faciliter la mise en œuvre de la directive NIS 2, la directive prévoit des échéances et des étapes clés :
17 octobre 2024: Les États membres doivent transposer la directive NIS 2 dans leur législation nationale, en veillant à ce que toutes les entités couvertes comprennent leurs obligations.
17 janvier 2025: Les États membres sont tenus de notifier à la Commission européenne les sanctions administratives applicables aux entités essentielles et importantes qui ne se conforment pas à la directive.
17 avril 2025: Les États membres doivent finaliser et publier une liste complète des entités essentielles et importantes relevant de leur juridiction, y compris les fournisseurs de services de noms de domaine et d’autres entités critiques.
17 octobre 2027: la Commission européenne évaluera la mise en œuvre de la directive dans les États membres et soumettra un rapport au Parlement européen et au Conseil.
En outre, la directive impose:
Des normes techniques et méthodologiques: La Commission définira des exigences techniques et méthodologiques spécifiques pour guider la mise en œuvre des mesures de cybersécurité.
Cadres de sanctions et de rapports: Des orientations claires seront fournies aux États membres sur l’identification des incidents importants et le respect des délais de notification.
Évaluations opérationnelles: Le réseau CSIRT évaluera périodiquement les progrès opérationnels réalisés pour renforcer la coopération et la résilience.
Ces délais soulignent l’urgence pour les entités de soins de santé de se préparer de manière proactive à la mise en conformité.
La législation européenne en matière de cybersécurité : Un cadre interconnecté
La directive NIS 2 s’inscrit dans un cadre plus large de cybersécurité de l’UE qui met l’accent sur la résilience interconnectée dans divers secteurs. Les principaux éléments de ce cadre sont les suivants
La loi sur la cybersécurité: Elle établit l’ENISA (l’agence de l’Union européenne pour la cybersécurité) et un cadre de certification de la cybersécurité à l’échelle de l’UE pour les produits, les services et les processus liés aux TIC. Cette initiative renforce la confiance et la transparence dans les capacités de cybersécurité des solutions numériques.
Proposition de loi sur la cybersolidarité: Mise en place d’un système d’alerte en matière de cybersécurité afin de détecter et de partager les alertes, de renforcer la préparation et de coordonner la réponse aux incidents entre les États membres.
Loi sur la cyber-résilience: Cette loi vise à garantir que les fabricants et les fournisseurs de services respectent des normes de cybersécurité élevées pour leurs produits, en s’attaquant aux vulnérabilités de la chaîne d’approvisionnement et des écosystèmes numériques.
DORA (Digital Operational Resilience Act): Cible spécifiquement le secteur des services financiers, en imposant une résilience opérationnelle sécurisée afin d’atténuer les risques pour les infrastructures financières critiques.
CER (Critical Entities Resilience – résilience des entités critiques): vise à renforcer la résilience des entités critiques dans des secteurs tels que la santé, les transports et l’énergie, afin de protéger les services essentiels contre les menaces physiques et numériques.
Réglementations sectorielles: comprend des initiatives adaptées aux télécommunications, à l’automobile et à d’autres secteurs, afin de répondre à leurs défis spécifiques en matière de cybersécurité.
Cette approche cohérente garantit que les différentes industries peuvent collaborer et maintenir une norme unifiée de résilience en matière de cybersécurité, renforçant ainsi le paysage de la sécurité numérique de l’UE.
Les hôpitaux et les autres entités essentielles du secteur des soins de santé sont en première ligne pour ce qui est de l’impact réglementaire de la NIS 2. En tant que services essentiels, ils doivent faire face à de nouvelles exigences de conformité, relever des défis uniques en matière de cybersécurité et procéder à des ajustements opérationnels significatifs pour répondre aux normes de la directive.
Le paysage de la conformité pour les hôpitaux comprend:
Des politiques de cybersécurité complètes: Les hôpitaux ont besoin de politiques détaillées qui intègrent la cybersécurité dans leur cadre de gouvernance. Il s’agit notamment de remédier aux vulnérabilités des dispositifs médicaux, des dossiers médicaux électroniques et de l’infrastructure numérique.
Responsabilité accrue: la direction et le conseil d’administration des hôpitaux ont une responsabilité accrue dans la mise en œuvre et la supervision des mesures de cybersécurité. Ils doivent veiller au respect de la NIS 2 et adopter une approche proactive de la gestion des risques.
Ajustements opérationnels: Les établissements de santé doivent adapter leurs flux de travail pour y inclure des protocoles solides de détection et de réponse aux incidents. Cela peut impliquer l’utilisation d’outils de surveillance avancés, la formation du personnel et la collaboration avec des experts externes en cybersécurité.
Les défis de la cybersécurité pour les hôpitaux comprennent la protection des données sensibles des patients contre les attaques de ransomware, la gestion des risques posés par les dispositifs médicaux interconnectés et la sécurisation des relations de la chaîne d’approvisionnement avec des fournisseurs tiers. Pour relever ces défis, il est nécessaire de s’engager de manière stratégique et continue à renforcer la cyber-résilience.
Étude sur les cyberattaques visant les hôpitaux en 2024
Entre janvier et septembre 2024, les hôpitaux du monde entier ont connu une forte augmentation des cyberattaques, révélant la vulnérabilité croissante du secteur.
Statistiques mondiales: une moyenne de 2 000 attaques par semaine a ciblé les hôpitaux dans le monde, soit une augmentation de 32 % par rapport aux années précédentes.
Contexte européen: Les hôpitaux européens ont subi 1 686 cyberattaques, soit une augmentation de 56 %.
Plusieurs attaques très médiatisées ont illustré la gravité de la menace :
Mai 2024: Hôpital de Cannes – Simone Veil (France)
Août 2024: Val-de-Reuil (France)
Septembre 2024: Bobingen et Schwabmünchen (Allemagne)
Ces statistiques, provenant de Check Point Research et rapportées par 01net.com, soulignent le besoin urgent pour les hôpitaux de renforcer leurs cadres de cybersécurité afin de lutter contre les menaces croissantes.
Lutter contre les menaces internes et les risques liés aux tiers
L’un des quatre domaines les plus négligés de la cybersécurité dans le secteur de la santé est la menace interne et le risque de violation par des tiers. Parce qu’ils conservent de grandes quantités de données sensibles sur les patients et d’informations de recherche exclusives, les organismes de santé doivent:
Imposer un contrôle d’accès strict: Les autorisations basées sur les rôles doivent dicter qui a accès aux systèmes sensibles.
Procéder à des audits de sécurité réguliers des fournisseurs tiers: Confirmer que les partenaires externes adhèrent aux mêmes exigences strictes en matière de cybersécurité.
Suivre l’analyse du comportement des utilisateurs (UBA): Déployer des solutions basées sur l’IA pour mettre en évidence les anomalies comportementales qui pourraient signaler des activités d’initiés malveillantes.
Comment mettre en œuvre le Zero Trust dans les soins de santé ? Une approche réaliste
Une approche Zero Trust devient une nécessité pour la cybersécurité des soins de santé. Les stratégies clés comprennent:
Ne faites jamais confiance, vérifiez toujours tous les utilisateurs et appareils avant d’accorder l’accès.
Méthode de division du réseau en segments plus petits et isolés afin d’éviter qu’une violation potentielle ne se propage à d’autres parties du réseau
Surveillance des menaces en temps réel sur les points d’extrémité les plus critiques à l’aide de solutions EDR (Endpoint Detection & Response)
L’adoption des principes Zero Trust peut grandement aider les organisations de santé à renforcer leur cyber-résilience et à réduire leur surface d’attaque.
Obligations en matière de sécurité et de déclaration dans le cadre du NIS 2
La NIS 2 impose aux entités de mettre en œuvre des mesures techniques, opérationnelles et organisationnelles efficaces pour gérer et réduire les risques liés à la cybersécurité. Ces mesures consistent notamment à encourager la divulgation des vulnérabilités et à assurer une formation régulière pour renforcer la sensibilisation et la préparation. Les entités doivent appliquer des mécanismes de contrôle d’accès robustes, tels que l’authentification multifactorielle, afin de garantir la sécurité des systèmes et des données. L’accent est mis sur la sécurité de la chaîne d’approvisionnement, les entités étant tenues de prendre en compte les risques liés à leurs fournisseurs et partenaires. En outre, les États membres ou la Commission européenne peuvent exiger l’utilisation de produits, services ou processus TIC certifiés afin de renforcer les normes de sécurité. Pour soutenir les efforts collectifs en matière de cybersécurité, le groupe de coopération coordonne les évaluations des risques ciblant les chaînes d’approvisionnement en TIC critiques, promouvant ainsi une approche unifiée et proactive de la gestion des risques dans toute l’UE.
En outre, les entités doivent respecter des obligations strictes en matière de notification des incidents importants, en veillant à communiquer en temps utile avec le CSIRT ou les autorités compétentes. Une alerte rapide doit être émise dans les 24 heures suivant l’identification d’un incident présumé ayant des implications transfrontalières potentielles, afin de signaler immédiatement les menaces émergentes. Dans les 72 heures, une notification détaillée de l’incident doit suivre, décrivant la gravité, l’impact et les indicateurs de compromission. Un rapport final est requis dans un délai d’un mois, offrant des détails complets sur l’événement, ou des mises à jour sur l’évolution de la situation si l’incident est toujours en cours. Les entités sont également tenues d’informer les destinataires des services des incidents ou menaces importants sans délai excessif. Dans certaines situations, la divulgation publique des incidents peut s’avérer nécessaire, en fonction de leur nature et de leur impact. Ces mesures visent à renforcer la transparence, à favoriser des réponses rapides et à améliorer la coordination transfrontalière dans la gestion des incidents de cybersécurité.
Conclusion : Mesures pratiques pour se préparer
Les organismes de santé doivent agir dès maintenant pour s’aligner sur le NIS 2 et les réglementations connexes telles que la CER et la DORA. Les étapes pratiques sont les suivantes:
- Déterminer le champ d'application
- Mise à jour des politiques internes
- Améliorer la gestion des fournisseurs
- Gérer les obligations
- Maintenir la conformité
Identifier les services, les produits et les entités concernés par la directive
Réviser les procédures, les plans d’intervention en cas d’incident et les programmes de formation
Renforcer les pratiques de diligence raisonnable et de passation de marchés
Mettre à jour les contrats, s’engager avec les régulateurs et examiner la couverture d’assurance
Suivre les développements juridiques, assurer la gouvernance et la coordination avec d’autres cadres tels que la directive sur les marchés publics.
Une préparation proactive garantira la conformité et renforcera la résilience face aux menaces futures, protégeant ainsi les opérations et la confiance des patients.
Victoria Derumier
