5. Cybersécurité 5.3. Sécurité informatique et de l'information

Communication de la Commission du 20 août 2025 au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions — Plan d’action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé

Rapporteur: M. Alain COHEUR
Corapporteur: M. Hervé JEANNIN
 

Conseillères	Mme Joyce LORIDAN (pour le rapporteur, groupe III) Mme Hun Xhing Madeline CHEAH (pour le corapporteur, catégorie 2)
Décision du bureau	21.1.2025
Consultation	Commission européenne, 5.3.2025
Base juridique	Article 304 du traité sur le fonctionnement de l’Union européenne
Compétence	Commission consultative des mutations industrielles
Adoption en commission	4.6.2025
Adoption en session plénière	18.6.2025
Session plénière no	597
Résultat du vote (pour/contre/abstentions)	123/1/1

1. Conclusions et recommandations

1.1. Le CESE se réjouit du niveau d’ambition affiché dans le plan d’action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé et de l’attention qui est désormais accordée à ce sujet. Le secteur de la santé demeure une cible de prédilection des acteurs malveillants. La santé est un enjeu d’ordre personnel dont l’organisation est gérée localement dans les États membres et leurs régions. La cybersécurité, en revanche, est une priorité pour la Commission européenne s’agissant de protéger la santé de nos concitoyens, l’espace européen des données de santé et le secteur des soins de santé au sens large dans les États membres, lequel englobe diverses entités ressortissant à la santé telles que les hôpitaux, les services d’urgence, l’industrie pharmaceutique et le secteur des biotechnologies, entités qui sont de plus en plus connectées au monde extérieur via la télémédecine, les portails destinés aux patients, les plateformes ou les appareils portatifs. L’amélioration de la cybersécurité dans le secteur de la santé représente un gain pour la sécurité et la résilience de manière générale et va dans le sens d’une «union de la préparation».

1.2. Pour améliorer les mesures de sécurité dans ce domaine, le Comité présente ici une série de propositions qui se rattachent à différentes catégories:

1.2.1. Les mesures financières

1.2.1.1. Le CESE déplore qu’aucune réponse n’ait été apportée pour le moment à la question du soutien financier destiné à la mise en oeuvre du plan d’action. Ce défaut pourrait entraîner des inégalités dans le niveau de protection dont bénéficient les patients, en fonction des ressources dont disposent les établissements de santé. Le CESE encourage la Commission à assurer une concentration thématique du soutien financier par l’intermédiaire des fonds de cohésion.

1.2.1.2. Le CESE pointe du doigt les disparités que les investissements dans la cybersécurité accusent au sein de l’Union européenne, et il observe que la France entend à elle seule investir plus d’un milliard d’euros chaque année, ce qui, extrapolé à l’Union tout entière, suggère qu’il faudrait engager au minimum 7,5 milliards d’euros tous les ans. Afin de prévenir les cyberattaques, les hôpitaux devraient consacrer à la cybersécurité environ 10 % de leurs budgets informatiques. La question du contrôle de la dimension territoriale donnée aux investissements devra être prise en compte.

Le CESE prend acte du soutien à hauteur de 6 millions d’euros destiné à l’Agence de l’Union européenne pour la cybersécurité (ENISA), mais il souligne que ce financement n’est pas suffisant au regard des enjeux pour la sécurité des hôpitaux, des citoyens et des patients, lesquels pourraient se retrouver privés d’accès aux diagnostics et aux traitements en cas d’attaque. Il faudrait inviter l’ENISA à compléter le panorama des menaces pour le secteur de la santé qu’elle a dressé sous le titre ENISA Threat Landscape: Health Sectorpar une cartographie financière de l’état d’avancement des investissements en faveur de la cybersécurité dans les États membres.

Le soutien financier au plan d’action européen devrait concerner les investissements engagés dans les domaines suivants:

• la prévention: sécurisation des dispositifs et des infrastructures hospitalières, qui totalisent 2,3 millions de lits dans l’Union européenne (1);
• l’éducation: sensibilisation et formation de plus de 10 millions de professionnels dans les secteurs de la santé et de l’action sociale (2);
• la remédiation et le rétablissement, qui peuvent se chiffrer à plusieurs millions d’euros pour chaque incident (3).

L’ENISA pourrait bénéficier de prêts accélérés qui seraient destinés à la protection informatique et à des outils de cybersécurité. Ces fonds devraient être spécialement affectés au secteur de la santé et de l’aide sociale et soumis à des conditions spécifiques.

1.2.1.3. Le CESE suggère que soit examinée l’opportunité d’une prise en compte des dépenses engagées pour la cybersécurité dans le domaine de la santé au titre de la clause dérogatoire générale du pacte de stabilité et de croissance, et de leur qualification comme des dépenses relevant de la défense, engagées pour protéger la santé des citoyens européens et les infrastructures sanitaires critiques. Les investissements dont les structures du secteur de la santé auront besoin pour garantir la cybersécurité dans le cadre de la prestation de soins de santé seront plus élevés que dans d’autres secteurs, compte tenu du risque d’incidents.

1.2.1.4. Sachant qu’il est difficile d’estimer le montant total du coût que représentent les attaques liées à la cybercriminalité qui sont dirigées contre le secteur des soins de santé dans l’Union (en France, le coût par attaque a pu grimper jusqu’à 20 millions d’euros), le CESE suggère que l’on investisse dans le traçage et le suivi des coûts, de sorte que la Commission européenne puisse mieux dimensionner les investissements, qu’il s’agisse de cibler les foyers de criminalité, d’aider localement les territoires qui en ont davantage besoin ou de comprendre quelles technologies de sécurité ou quelles campagnes éducatives sont les plus efficaces.

1.2.1.5. Le CESE met en avant le rôle qui revient aux autorités chargées de la protection des données dans les États membres pour veiller à ce que les hôpitaux et les autres établissements de santé prennent les mesures de sécurité qui s’imposent. Les États membres peuvent jouer un rôle dans le cas où aucune mesure préventive n’aurait été prise dans le domaine de la cybersécurité, en infligeant des amendes (4).

1.2.2. Les mesures techniques

1.2.2.1. Le CESE recommande:

• de mener une action de sensibilisation aux pratiques élémentaires d’hygiène numérique, que sont par exemple l’application de politiques appropriées en matière de contrôle de l’accès au système, le blocage des ports USB, l’utilisation d’antivirus sur les terminaux, le cloisonnement des dispositifs non sécurisés ou la mise en quarantaine des machines infectées;
• d’investir dans des jumeaux numériques pour les hôpitaux, les systèmes de soins de santé ou les dispositifs médicaux afin de faciliter les procédures d’assurance et de test;
• de fournir une assistance technique aux unités médicales qui ne disposent pas d’un service informatique (moyennant par exemple la fourniture de serveurs sécurisés ou de services de sécurité par une autorité centralisée telle que l’ENISA) et qui, du fait de leur petite taille, ne sont pas en mesure d’investir pour faire face aux risques liés à la cybersécurité;
• d’investir dans des capacités techniques stratégiques (en ce qui concerne par exemple la sécurité des technologies opérationnelles, le lien entre sûreté et sécurité, la préparation à la criminalistique numérique, l’intelligence artificielle, etc.).

1.2.3. Les mesures relatives aux processus

1.2.3.1. Le CESE voudrait attirer l’attention sur un ensemble de mesures de précaution et de prévention qui devraient améliorer le niveau de protection dans le secteur des soins de santé et réduire le risque de cyberattaques:

• réaliser des tests appropriés (tests de résistance, de pénétration, etc.), non seulement au niveau des appareils et des fournisseurs, mais aussi à l’échelle du système (quand les dispositifs sont intégrés dans les systèmes de santé) et au niveau opérationnel;
• mettre au point des plans de continuité des activités, qui devront être mis à jour et revus régulièrement à la fois en interne et par des auditeurs externes indépendants. Ces plans devraient également prévoir l’intégration d’un mode de secours ou d’un mode sécurisé pour les hôpitaux et les systèmes de soins de santé afin qu’ils puissent continuer à fonctionner;
• effectuer un suivi des bonnes pratiques en matière de surveillance et de remédiation, notamment pour s’assurer que les niveaux de réaction soient suffisants, à la fois au niveau décentralisé (au sein de chaque hôpital, fournisseur ou système de santé, et même chez les particuliers) et centralisé (par exemple en faisant appel aux équipes nationales des CSIRT ou des ISAC). Il convient, dans le cadre des pratiques de passation de marchés, d’obtenir les documents nécessaires pour pouvoir certifier ou valider la cybersécurité des équipements (et s’assurer par exemple du respect des dispositions réglementaires du RGPD relatives à la cybersécurité).

1.2.3.2. Le CESE est d’avis que la Commission devrait envisager, dans le cadre du plan d’action, une certification des fournisseurs de cybersécurité de manière à contribuer à la création d’un écosystème fiable, mais il pointe cependant du doigt la charge financière qui pèse actuellement sur les hôpitaux et les établissements de santé et adresse en conséquence une mise en garde contre toute augmentation supplémentaire des coûts.

1.2.3.3. Le CESE reconnaît que la normalisation est très utile, mais il signale néanmoins qu’elle entraîne aussi, de façon inévitable, un manque de résilience, sauf à mettre en place des contre-mesures et dispositifs de secours spécifiques. Le plan à l’examen devrait être articulé avec d’autres initiatives en faveur de la cyberrésilience mais aussi de la résilience physique, notamment le règlement sur la cyberrésilience.

1.2.4. Les mesures éducatives

1.2.4.1. L’éducation constitue un aspect central du plan d’action, et le CESE recommande d’élaborer des plans d’apprentissage et de formation en continu avec les partenaires sociaux et de mettre au point des mécanismes de transfert de connaissances entre les diverses entités et parties prenantes professionnelles, afin de relever les défis qui se posent dans les domaines de la cybersécurité, de l’éthique, du respect de la vie privée et de l’intelligence artificielle.

1.2.4.2. Le CESE suggère d’assurer, dans le cadre du déploiement de nouveaux outils informatiques, une réponse institutionnelle cohérente face aux cyberattaques, la protection de la vie privée et la bonne gestion des données, conformément à ce que prévoient la législation des États membres et les conventions collectives issues de la négociation avec les partenaires sociaux.

1.2.4.3. Le CESE estime que pour lutter contre les menaces en matière de cybersécurité, le parcours éducatif dans le secteur de la santé doit inclure une formation ciblée à la cybersécurité. Les microcertifications offrent une solution flexible à moindre coût pour mettre à niveau les compétences des professionnels sans qu’il soit nécessaire de modifier fondamentalement le contenu de leur formation. Elles améliorent la résilience du secteur de la santé et constituent un axe essentiel de l’initiative de la Commission relative à une «union des compétences».

1.2.4.4. Le CESE estime que remédier à la pénurie de professionnels de la cybersécurité et au niveau insuffisant de la sécurité dans le domaine de la santé doit constituer une priorité dans la révision du programme pour la décennie numérique de l’Union européenne. Des investissements stratégiques dans des compétences pluridisciplinaires — cybersécurité, intelligence artificielle, préparation à la criminalistique et sécurité des dispositifs médicaux — seront essentiels pour parer à des menaces complexes et renforcer la résilience sur le long terme.

1.2.4.5. Le CESE reconnaît que la numérisation de la santé et du bien-être ainsi que les menaces potentielles qui se présentent sous la forme de violations de la cybersécurité peuvent constituer une source d’angoisse pour les professionnels de la santé et les patients, et qu’il est à ce titre nécessaire de généraliser la diffusion, auprès des citoyens européens comme des professionnels de la santé, de connaissances et de compétences élémentaires en matière de cybersécurité.

1.2.4.6. Le CESE recommande à la Commission d’exercer pleinement son rôle de soutien et de coordination en utilisant des fonds européens pour promouvoir des campagnes de sensibilisation à la cybersécurité qui soient axées sur les dangers et la prévention au travail, moyennant des recommandations en matière d’«hygiène numérique».

2. Observations générales

2.1. En 2020, l’Agence de l’Union européenne pour la cybersécurité (ENISA) signalait que la fréquence des cyberattaques avait progressé de 47 % en tout dans l’ensemble de l’Union européenne par rapport à l’année précédente, tandis qu’en France, le nombre de cas déclarés a doublé en 2021. L’ENISA a reconnu les besoins du secteur des soins de santé en matière de cybersécurité et s’est félicitée du plan d’action présenté par la Commission européenne en janvier 2025, dont l’objectif est d’améliorer continuellement la cyberrésilience à partir de 2025 et qui vise à mettre en place dans les hôpitaux, les cliniques et les centres de soins un haut niveau de protection contre toute attaque dirigée contre les systèmes informatiques ou opérationnels de ces entités.

2.2. Protéger les particuliers, les entreprises et les institutions contre les risques liés à la cybersécurité constitue une priorité fondamentale de la déclaration européenne sur les droits et principes numériques pour la décennie numérique (5). Le CESE souligne que l’Union européenne doit se doter d’une politique globale et transversale en matière de cybersécurité aux fins de préserver la santé publique et le droit à recevoir des soins de santé (6). Il encourage la Commission à adopter vis-à-vis de la cybersécurité une approche qui soit fondée sur les droits et qui repose sur les valeurs constitutives de l’Union et sur celles qu’elle prône dans le domaine du numérique, et l’invite à reconnaître que la cybersécurité constitue un droit fondamental exactement au même titre que le droit à la vie privée, à la protection des données ou à la sécurité physique. Enfin, le CESE recommande de ne pas limiter la cybersécurité à la protection des infrastructures, des systèmes et des données.

2.3. Les systèmes robotiques et les dispositifs numériques jouent un rôle de plus en plus important dans les interventions chirurgicales, le monitoring des patients et les examens médicaux, ce qui pose potentiellement le problème des atteintes concrètement portées à l’intégrité physique et mentale des patients dans le cas où ces systèmes numériques ne seraient pas protégés, par exemple en cas de calibrage délibérément faussé de robots chirurgicaux ou d’introduction de dispositifs de «porte dérobée» (backdoor triggers) dans des systèmes de diagnostic par l’intelligence artificielle. Le CESE plaide pour que l’on s’intéresse de beaucoup plus près aux «systèmes hérités» ainsi qu’à la «confluence entre les technologies de l’information et les technologies opérationnelles», car c’est là où il existe des lacunes dans la normalisation des processus et dans la prise de conscience que les enjeux deviennent complexes. Relever les défis posés par la confluence dont il est ici question nécessite une approche pluridisciplinaire (y compris en faisant intervenir l’ingénierie de la sécurité), des connaissances spécialisées et une capacité à reconnaître les menaces nouvelles et à les détecter à l’aide d’outils et de modes opératoires novateurs. Le plan d’action devrait également examiner les systèmes «cyberphysiques» et les efforts déployés pour avancer dans ce domaine.

2.4. Le CESE invite la Commission à clarifier le champ des prestataires de soins de santéconcernés par le plan d’action. Il est indiqué dans ce plan que le secteur de la santé compte un grand nombre d’entités et d’acteurs, notamment les hôpitaux, les cliniques, les établissements de soins, les centres de réadaptation et divers prestataires de soins de santé, aux côtés de l’industrie pharmaceutique, médicale et des biotechnologies, ainsi que des fabricants de dispositifs médicaux et des instituts de recherche en santé. Le CESE demande à la Commission de préciser s’il s’agit là de sa vision exhaustive du secteur de la santé et renvoie aux objectifs sanitaires qui ont été définis par l’ENISA (7). La Commission doit tenir compte des enjeux qui recoupent indirectement cet écosystème pris au sens large, notamment ceux qui touchent au marché du bien-être (par exemple les dispositifs de suivi de la condition physique, l’aide à la perte de poids, etc.).

2.5. La Commission européenne insiste fortement sur la coopération avec les entreprises technologiques et les organisations privées à but lucratifqui fournissent des services de cybersécurité afin de garantir la protection des hôpitaux et du secteur des soins de santé. Si la collaboration avec le secteur à but lucratif peut apporter des avantages précieux pour renforcer la cybersécurité, il convient néanmoins de rester prudent. Les établissements de santé doivent être attentifs aux conflits d’intérêts potentiels qui peuvent se présenter lorsque des entreprises commerciales sont impliquées dans la gestion de données sensibles relatives aux patients. Le risque pourrait exister que les intérêts commerciaux de ces entreprises, comme la maximisation de leurs profits, prennent le pas sur la protection de la vie privée des patients et l’intégrité des données médicales. Force est de souligner que les entreprises européennes doivent se conformer à la législation européenne qui protège la vie privée des patients et l’intégrité des données médicales (RGPD).

2.6. Le CESE serait favorable à ce que des normes éthiques et des clauses de protection de la vie privéesoient incluses dans le plan d’action européen.

2.7. Le CESE encourage la Commission à renforcer le mandat des centres de réponse aux incidents de sécurité informatique (CSIRT) en améliorant la coordination, en rationalisant la communication et en renforçant la coopération transfrontière entre les hôpitaux européens, afin qu’ils partagent plus efficacement les renseignements glanés sur les menaces. Le renforcement de la sécurité informatique dans le secteur des soins de santé, grâce à la mise en commun et à la professionnalisation de l’expertise en matière de cybersécurité, renforcera de façon globale la cyberrésilience du secteur et sa préparation face à une menace qui évolue. De même, le renforcement de la sécurité des technologies opérationnelles et le durcissement des systèmes médicaux grâce à une ingénierie intégrée de la sûreté et de la sécurité permettront de circonscrire les cibles privilégiées des cyberattaques.

2.8. Une boîte à outils en matière de cybersécuritépourrait fournir une panoplie complète de ressources, de bonnes pratiques et d’outils pour aider les petits comme les grands établissements de santé à se protéger contre les menaces numériques. Le recours à des simulations et à des mises en situation pourrait améliorer l’apprentissage des enjeux et aider les professionnels à comprendre les implications concrètes des brèches en matière de cybersécurité.

2.9. Le nombre de personnes autorisées à accéder aux réseaux externes en ligne et à introduire des données depuis l’extérieur doit être limité. On sait bien que l’opérateur humain peut être le maillon le plus fragile dans la protection d’un système informatique. Par conséquent, on devrait mettre en place, pour détecter les attaques, des systèmes axés sur le facteur humain(et qui peuvent éventuellement être alimentés par une intelligence artificielle), et dispenser des formations sur les moyens de limiter les menaces internes. Idéalement, les postes de travail devraient être déconnectés du réseau hospitalier afin que seul l’ordinateur infecté soit touché et qu’une quantité minimale de données soit dupliquée. Après vérification de l’absence de virus dans les données, l’ordinateur est déconnecté du réseau externe et connecté au réseau hospitalier pour transmettre les données. Les ordinateurs sont mis à jour tous les matins avec les données du jour relatives aux patients.

2.10. Si les employés ont besoin d’accéder au réseau en ligne non sécurisé, ils doivent le faire à partir d’un ordinateur non connecté au réseau hospitalier et sans qu’il soit possible de sauvegarder ou transférer des données.

2.11. Il convient de prendre des dispositions pour parer à une éventuelle menace interneen milieu hospitalier (même si ce cas de figure ne représente que 2 % des incidents(8)), en adoptant une approche fondée sur les risques pour déterminer le niveau de surveillance le plus approprié, que celle-ci soit exercée au moyen de réseaux informatiques, de dispositifs physiques, par exemple des caméras, ou de points de contrôle d’accès, par exemple des passes pour les employés. Le dialogue social dans les hôpitaux et dans le secteur de la santé doit permettre d’éviter qu’à partir de l’objectif initial que constitue la surveillance, on ne verse dans une logique d’intrusion.

2.12. Le CESE considère que les hôpitaux de l’Union européenne doivent impérativement se doter de plans de gestion des incidentset de continuité des activités comportant des procédures de réaction aux incidents, des solutions de communication de secours et des sauvegardes déconnectées pour réagir rapidement et efficacement en cas d’attaque. Un aspect fondamental des plans de gestion des incidents et de continuité des activités consiste à réaliser fréquemment des tests de résistance, en simulant des scénarios de cyberattaque dans un environnement virtuel pour pouvoir mesurer la gravité et le niveau d’impact d’une cyberattaque, et vérifier les capacités de réaction de l’établissement de santé. Il est d’une importance cruciale, à cet égard, d’y associer de façon idoine le personnel et de le doter de compétences concrètes en la matière.

2.13. Le CESE suggère que soit mis au point un simulateur numériquecomportant des scénarios d’attaque et de réaction faciles à déployer et à utiliser. Ce simulateur pourrait servir d’outil de démonstration pour des opérations de sensibilisation, d’information et de formation.

2.14. Il faut effectuer des exercices de simulation d’attaquede façon régulière et observer comment le plan de rétablissement des services est déployé, puis améliorer les procédures lors de l’exercice budgétaire suivant, soit en augmentant le nombre de personnes formées à ces plans de rétablissement, soit en mettant en place des instructions plus simples et plus explicites, par exemple.

2.15. En cas d’attaque non détectée qui, du fait de sa sophistication, a occasionné de graves dommages aux services, il est nécessaire d’appliquer un mode dégradé, avec un retour temporaire à un fonctionnement manuel, afin de ne pas bloquer les opérations au début de l’attaque. Le personnel doit être formé de telle sorte qu’il sache comment organiser le service sur papier jusqu’à ce que le service informatique soit rétabli. Une saisie manuelle des actions entreprises est effectuée a posteriori.

2.16.Tout équipement doté d’un microprocesseur(et/ou toute documentation attachée à l’équipement) qui est installé dans un hôpital doit faire l’objet d’une vérification préalable par le dépositaire du risque de cybersécurité en interne afin de contrôler en amont l’absence de virus. Nous reconnaissons que tous les hôpitaux ne seront pas en mesure d’affecter un service interne complet à la cybersécurité. Nous proposons que le dépositaire du risque (par analogie avec un contrôleur des données au sens du RGPD) soit le responsable du contreseing, avec l’appui des fournisseurs de technologies, de leur service informatique et/ou des membres de l’initiative en question.

2.17. Le CESE demande qu’une attention soit portée aux unités médicales qui ne disposent pas d’un service informatique, et que soit clarifié le rôle revenant à l’ENISA dans la fourniture de logiciels ou de serveurs sécurisés. Il encourage les hôpitaux pionniers à échanger avec les unités plus petites et à contribuer à l’apprentissage en matière de cybersécurité.

2.18. Le plan d’action européen pourrait intégrer à titre de pratique courante le recours à des pirates informatiques éthiques rattachés à des organisations à but non lucratif, en facilitant des collaborations formelles ou des programmes permettant aux établissements de santé de s’appuyer sur cette expertise externe sans devoir supporter des charges financières conséquentes. Non seulement cette solution renforcerait la cybersécurité globale, mais elle contribuerait aussi à diffuser plus largement une culture de la collaboration et du partage des connaissances dans le secteur.

2.19. Le CESE suggère, conformément à ce que prévoit la législation des États membres, de s’en remettre à la négociation collectiveet aux conventions qui en découlent pour garantir une réponse institutionnelle cohérente face aux cyberattaques, la protection de la vie privée et la bonne gestion des données, et dans le même temps de consolider le dialogue social et d’associer les partenaires sociaux au suivi et au contrôle des processus relatifs aux cyberattaques et à la confidentialité des données des salariés et des patients. Il insiste sur la nécessité d’aborder, dans le cadre du dialogue social, la question du risque de stress psychologique induit par la cybersécurité.

2.20. Dans la course aux armementsque se livrent assaillants et défenseurs, les premiers vont en théorie plus vite que les seconds, et par analogie, l’innovation déployée par les criminels s’accélère. Les centres d’aide devraient abriter en leur sein des activités non seulement de renseignement sur les menaces, mais aussi de veille et de prospective. Par exemple, les acteurs de la menace qui implantent des rançongiciels (ransomware) peuvent non seulement se livrer à leurs activités attendues d’intrusion dans les données, mais aussi, même dans les cas où l’accès est rétabli, avoir compromis l’intégrité de ces données de façon sélective (surtout si la cible est stratégique).

2.21. La cybersécurité s’étend désormais à des sphères bien plus larges que celles de l’environnement logiciel et de la connectivité. Elle englobe également des éléments des systèmes physiques ainsi que l’intelligence artificielle. Il faut donner la priorité à l’intégrationdes processus d’assurance et des exigences obligatoires, comme en contiennent par exemple le protocole MDR ou le règlement européen sur l’intelligence artificielle.

2.22. Dans toute la mesure du possible, nous recommandons de placer les données sensibles de préférence dans des nuages médicaux européens, publics et souverains, dont l’accès aux personnes autorisées nécessite une double ou une triple vérification. Cette solution est également très utile pour rétablir rapidement le service après une intrusion dans les systèmes informatiques.
Bruxelles, le 18 juin 2025.

Le président du Comité économique et social européen
Oliver RÖPKE
                  
(1) Healthcare resource statistics — beds — Statistics Explained.
(2) Le nombre total de personnes travaillant dans ces secteurs était estimé à 13,1 millions en 2021.
(3) Voir par exemple l’analyse de 6 incidents au Portugal, qui a mis en évidence un impact financier pouvant s’échelonner de 115 882,96 à 2 317 659,11 EUR, rien que pour ces quelques occurrences, les piratages ayant touché le secteur de la santé aux États-Unis, dont le coût moyen atteint 10,1 millions USD, ou encore l’attaque «WannaCry» qui a coûté au service national de santé britannique près de 6 millions GBP.
(4) Le 17 décembre 2024, l’autorité belge de protection des données a décidé d’imposer une amende de 200 000 EUR à un hôpital belge au motif que le sous-investissement dans la cybersécurité y avait entraîné une brèche en la matière.
(5) Déclaration européenne conjointe de 2022 sur les droits et principes numériques pour la décennie numérique, chapitre V (Sûreté, sécurité et autonomisation — Un environnement numérique protégé, sûr et sécurisé).
(6) Avis du Comité économique et social européen — Forger une initiative phare européenne en faveur de la santé (avis d’initiative) (JO C, C/2025/105, 10.1.2025, ELI: http://data.europa.eu/eli/C/2025/105/oj).
(7) Voir les objectifs recensés dans le rapport ENISA Threat Landscape: Health Sector de 2023.
(8) Voir la partie du rapport ENISA Threat Landscape: Health Sector de 2023 consacrée aux acteurs de la menace et à leurs motivations, pages 18 à 23.