Qui devrait lire ceci: responsables informatiques du secteur de la santé, responsables de la conformité, responsables de la sécurité informatique du secteur pharmaceutique, fabricants de dispositifs médicaux
Les systèmes de santé en Europe sont à la fois des infrastructures critiques, des gardiens de données personnelles sensibles et des environnements opérationnels dans lesquels les failles de cybersécurité peuvent directement mettre en danger la vie humaine. La directive NIS2 reconnaît ce profil de risque accru en désignant les soins de santé comme un secteur critique, soumis à des obligations de cybersécurité complètes qui vont au-delà de la seule protection des données.
L’annexe I, secteur 5 du NIS2 définit le champ d’application des soins de santé de manière spécifique: la désignation s’applique aux prestataires de soins de santé (hôpitaux, cliniques, établissements de soins) et aux prestataires de services de santé. La directive s’étend explicitement aux fabricants de médicaments et de dispositifs médicaux, mais avec des nuances importantes en ce qui concerne leur rôle dans la chaîne d’approvisionnement par rapport à la fourniture directe de services.
Pour les établissements de santé, le NIS2 impose des obligations qui reflètent la nature vitale de l’informatique des soins de santé: mise en œuvre de mesures techniques et organisationnelles proportionnées pour gérer les risques de cybersécurité, établir des structures de gouvernance qui incluent la responsabilité au niveau du conseil d’administration, réalisation d’évaluations des risques, gestion des fournisseurs tiers et maintien de procédures de réponse aux incidents et de signalement. Ce billet détaille ces obligations, clarifie la portée du Secteur 5 et fournit des conseils pratiques aux établissements de santé qui se préparent à la mise en œuvre du NIS2.
Définition du secteur de la santé dans le cadre du NIS2
Le secteur 5 de l’annexe I énumère le secteur des soins de santé comme englobant: les établissements tels que les hôpitaux et les établissements de traitement spécialisés qui fournissent des services médicaux aux patients hospitalisés. La désignation est fonctionnelle plutôt que catégorique: tout prestataire fournissant des soins médicaux aux patients hospitalisés est concerné, quel que soit son secteur (public, privé ou à but non lucratif) ou sa taille.
La directive reconnaît que les établissements de santé dépendent de réseaux interconnectés: systèmes de dossiers médicaux électroniques (DSE), réseaux d’imagerie diagnostique, systèmes de pharmacie, moniteurs de patients et systèmes administratifs. Une violation, une attaque par rançongiciel ou un incident de déni de service affectant l’un de ces systèmes peut perturber les opérations cliniques et menacer la sécurité des patients.
Les fabricants de produits pharmaceutiques et de dispositifs médicaux sont explicitement répertoriés en tant que prestataires de services essentiels lorsque leurs activités contribuent à l’approvisionnement et à la continuité des médicaments et des dispositifs médicaux. Cette inclusion est plus restreinte qu’une désignation générale: une société pharmaceutique est un fournisseur de services essentiels du NIS2 parce que ses réseaux de fabrication et de distribution sont essentiels à la continuité des soins de santé, et pas simplement parce qu’elle gère les données de santé.
Pour les fabricants de dispositifs médicaux, la désignation dépend du rôle de l’appareil dans les soins intensifs. Un fabricant de dispositifs cardiaques implantables ou de ventilateurs serait admissible; un fabricant d’appareils portables destinés au bien-être général ne le serait pas. Le test consiste à déterminer si les activités du fabricant sont essentielles à la fourniture de services de santé.
Gestion proportionnée des risques dans le cadre du NIS2
L’une des pierres angulaires du NIS2 est la proportionnalité: la directive impose aux entités de mettre en œuvre des mesures techniques et organisationnelles «appropriées» pour gérer le risque de cybersécurité de manière proportionnée au risque auquel elles sont confrontées (article 21). Pour les soins de santé, ce principe ne signifie pas une approche minimaliste; cela signifie plutôt que les obligations évoluent en fonction de la taille de l’organisation, de sa complexité et de la sensibilité des actifs sous gestion.
Un petit dispensaire rural et un grand hôpital universitaire urbain disposeront de cadres de gestion des risques proportionnellement différents. La clinique peut mettre en œuvre une évaluation des risques rationalisée, un processus de gestion des fournisseurs et une procédure de réponse aux incidents. L’hôpital universitaire doit établir des structures de gouvernance complètes, effectuer des évaluations régulières des risques sur son réseau complexe, mettre en œuvre une détection avancée des menaces et maintenir des plans détaillés de réponse aux incidents et de continuité des activités.
NIS2 ne spécifie pas les technologies. Il n’impose pas aux établissements de santé de déployer des systèmes de détection d’intrusion, des normes de cryptage ou des mécanismes d’authentification particuliers. Elle oblige plutôt les entités à documenter leur approche de gestion des risques, à mettre en œuvre des contrôles proportionnés à leur profil de risque et à revoir et mettre à jour périodiquement ces contrôles.
Cependant, les soins de santé sont confrontés à des attentes de base. La sécurité des patients et l’intégrité des données ne sont pas négociables. Les contrôles devraient porter sur les vulnérabilités spécifiques de l’informatique de santé: systèmes existants qui ne peuvent pas être mis à jour, dispositifs médicaux dotés de configurations logicielles fixes, exigences de segmentation du réseau entre les systèmes cliniques et administratifs, et dépendances de la chaîne d’approvisionnement vis-à-vis des fournisseurs d’appareils et de logiciels.
Gouvernance, responsabilité des dirigeants et supervision du conseil d’administration
L’article 21 de la NIS2 exige que les entités mettent en place des structures de gouvernance dans lesquelles la haute direction, y compris le conseil d’administration, est clairement responsable des risques de cybersécurité. Pour les organisations de santé, ce n’est pas une ambition; c’est obligatoire.
La gouvernance de la cybersécurité au niveau du conseil d’administration dans le secteur de la santé devrait aborder:
Évaluation des risques et hiérarchisation des priorités: le conseil d’administration doit comprendre quels systèmes sont les plus critiques pour la sécurité des patients et quels actifs sont exposés aux plus grands risques cybernétiques. Les réseaux d’imagerie, les systèmes pharmaceutiques et les équipements de surveillance des patients méritent des profils de risque distincts.
Allocation des ressources: les budgets de cybersécurité entrent en concurrence avec l’équipement clinique, le personnel et la maintenance des installations. Le conseil d’administration devrait prendre des décisions explicites concernant les niveaux d’investissement dans la cybersécurité, en reconnaissant que le sous-financement expose l’organisation à des risques réglementaires et à des risques pour la sécurité des patients.
Gestion des risques liés aux tiers: les établissements de santé dépendent des fournisseurs de dossiers médicaux électroniques, des fabricants de dispositifs médicaux, des fournisseurs de services cloud et des fournisseurs de support informatique. Le conseil doit comprendre ces dépendances, exiger des attestations des pratiques de cybersécurité des fournisseurs et établir des cadres contractuels pour la réponse aux incidents.
Réponse aux incidents et signalement: le conseil d’administration devrait établir une procédure d’escalade claire afin que les incidents de cybersécurité importants parviennent à la haute direction et déclenchent la notification réglementaire appropriée (voir ci-dessous).
Pour les fabricants de produits pharmaceutiques et de dispositifs médicaux, la gouvernance doit également refléter la criticité de leurs opérations. Une panne de fabrication causée par un rançongiciel affecte l’approvisionnement en médicaments dans toute l’UE. Les fabricants d’appareils doivent veiller à ce que la cybersécurité soit intégrée à la conception des produits et à ce que les correctifs de cybersécurité soient déployés rapidement après leur commercialisation.
Évaluation des risques et contrôles proportionnés
L’article 21 oblige les entités à effectuer des évaluations des risques pour identifier les menaces, les vulnérabilités et l’impact des violations potentielles. Pour les soins de santé, cette évaluation devrait mettre en correspondance les flux de travail cliniques et les dépendances informatiques. Où s’intègre le système EHR à la pharmacie? Comment le système d’archivage et de communication d’images (PACS) interagit-il avec l’aide à la décision clinique? Quels sont les points de défaillance uniques?
Les évaluations des risques devraient ensuite éclairer la sélection des contrôles. Pour une petite clinique, cela peut signifier:
Contrôles d’accès de base: authentification utilisateur unique par mot de passe ou authentification multifactorielle pour tous les systèmes.
Gestion des correctifs: processus défini pour appliquer les mises à jour de sécurité des fournisseurs, en hiérarchisant les correctifs critiques et de gravité élevée.
Réponse aux incidents: une personne ou une équipe désignée chargée de répondre aux incidents de cybersécurité, avec des procédures pour informer les autorités compétentes si les incidents atteignent le seuil «significatif».
Pour un grand système de santé, les contrôles proportionnés seront plus étendus:
Contrôles d’accès avancés: contrôle d’accès basé sur les rôles, gestion des accès privilégiés et surveillance de l’activité administrative.
Segmentation du réseau: séparation des réseaux cliniques des réseaux administratifs, isolation des dispositifs médicaux de l’infrastructure informatique générale et interfaces contrôlées entre les systèmes.
Surveillance continue: les systèmes de gestion des informations et des événements de sécurité (SIEM) détectent les comportements anormaux, détectent les intrusions sur les segments du réseau et détectent et répondent aux terminaux (EDR) sur les postes de travail et les serveurs cliniques.
Sécurité de la chaîne d’approvisionnement: évaluations des risques liés aux fournisseurs, exigences contractuelles relatives à la notification des incidents de sécurité et procédures de gestion des correctifs et des mises à jour fournis par les fournisseurs.
La gestion par des tiers est particulièrement importante pour les soins de santé. Les hôpitaux ne développent pas leurs propres systèmes de DSE; ils se les procurent auprès de fournisseurs tels qu’Epic, Cerner ou Medidata. Les fabricants de dispositifs médicaux tels que Philips et GE fournissent des équipements de diagnostic et de surveillance. Les fournisseurs de cloud tels qu’AWS et Microsoft hébergent les données des patients. NIS2 exige que ces relations avec des tiers soient gérées avec des obligations de cybersécurité clairement attribuées par contrat.
Réponse aux incidents, signalement et seuil d’incident significatif
L’article 23 du NIS2 impose aux prestataires de services essentiels (y compris les soins de santé) de signaler les incidents aux autorités compétentes et aux CSIRT sans retard injustifié et, en tout état de cause, dans les 24 heures suivant la détection d’un incident significatif. Il est important de noter que le NIS2 ne définit pas le terme «significatif» au moyen d’une règle claire; il établit plutôt des critères à l’article 23, paragraphe 3.
Un incident est «significatif» si:
Cela a entraîné une perturbation généralisée de la prestation des services essentiels (pour les soins de santé, cela inclut clairement la perturbation des opérations cliniques).
Elle a considérablement compromis la disponibilité, l’intégrité ou la confidentialité des réseaux ou des systèmes d’information utilisés pour fournir le service essentiel.
Elle a eu un impact important sur des fonctions critiques ou a généré un impact opérationnel ou de sécurité important.
Pour les soins de santé, le seuil de signification est d’autant plus élevé. Une attaque par rançongiciel chiffrant le DSE et obligeant les hôpitaux à revenir aux dossiers papier atteindrait le seuil. Une violation de données affectant les dossiers des patients y remédierait probablement. Une attaque par déni de service distribué ralentissant temporairement un système administratif non critique ne le ferait pas.
Une fois qu’un incident atteignant le seuil est identifié, les établissements de santé doivent en informer leur autorité nationale compétente et le CSIRT national dans les 24 heures. La notification doit inclure des informations essentielles: ce qui s’est passé, quand cela a été détecté, l’impact estimé et les mesures de confinement immédiates. Les rapports de suivi peuvent fournir des détails supplémentaires au fur et à mesure de l’avancement de l’enquête.
Les établissements de santé devraient établir des procédures claires de réponse aux incidents définissant qui décide si un incident est significatif, qui initie la notification et quelles informations sont fournies aux autorités. Cette décision ne devrait pas attendre une enquête médico-légale complète; la notification initiale devrait être rapide et des informations supplémentaires devraient être fournies au fur et à mesure de l’avancement des enquêtes.
Considérations spécifiques pour les fabricants de produits pharmaceutiques et de dispositifs médicaux
Les fabricants de produits pharmaceutiques et de dispositifs médicaux sont confrontés à des considérations supplémentaires. Leur rôle fait partie de la chaîne d’approvisionnement des soins de santé: un incident de cybersécurité affectant leurs opérations se répercute sur les hôpitaux et les patients.
Pour les fabricants de produits pharmaceutiques, les obligations NIS2 mettent l’accent sur la continuité de la fabrication et l’intégrité de la chaîne d’approvisionnement. Une attaque de rançongiciel qui interrompt la chaîne de production d’un médicament essentiel touche les prestataires de soins de santé et les patients dans toute l’UE. Les contrôles proportionnés devraient inclure:
Sécurité des systèmes de fabrication: les systèmes de contrôle industriels (ICS) sécurisant les recettes, les enregistrements de lots et les équipements de production nécessitent des espaces d’aération, des contrôles d’accès et une surveillance.
Résilience de la chaîne d’approvisionnement: les contrats avec les fournisseurs de matières premières, les fabricants tiers (fabricants sous contrat) et les prestataires logistiques doivent inclure des attentes en matière de cybersécurité et des exigences de notification des incidents.
Intégrité du système de distribution: s’assurer que les médicaments ne sont pas contrefaits et que les canaux de distribution sont sécurisés.
Pour les fabricants de dispositifs médicaux, les obligations NIS2 interagissent avec les exigences plus générales de sécurité des produits en vertu de la Cyber Resilience Act (CER) et des réglementations existantes en matière de sécurité des produits (MDR, IVDR). Le fabricant de l’appareil doit s’assurer que:
Les appareils sont conçus avec un système de sécurité par défaut, intégrant un démarrage sécurisé, une authentification et un cryptage adaptés au fonctionnement de l’appareil.
Les vulnérabilités connues sont corrigées par des mises à jour du microprogramme et des mécanismes sont mis en place pour déployer des correctifs sur les appareils utilisés en clinique.
La surveillance après commercialisation permet de détecter les failles de sécurité et d’y remédier rapidement.
Les intégrations cliniques (par exemple, un appareil connecté à un EHR) sont documentées et testées.
Pouvoir discrétionnaire des États membres et orientations sectorielles
Il est important de noter que le NIS2 laisse aux États membres toute latitude pour définir le seuil de désignation des entités en tant que prestataires de services essentiels. Certains États membres peuvent fixer un seuil de taille minimal (par exemple, les hôpitaux de plus de 50 lits), tandis que d’autres peuvent inclure tous les prestataires de soins de santé. Les responsables de la conformité devraient surveiller la mise en œuvre dans leur État membre afin de comprendre quelles entités de leur organisation entrent dans le champ d’application.
Certains États membres peuvent publier des orientations sectorielles clarifiant les attentes en matière de cybersécurité des soins de santé. Par exemple, les directives peuvent spécifier que la segmentation du réseau entre les systèmes cliniques et administratifs constitue un contrôle proportionné pour tous les hôpitaux, ou que des évaluations de vulnérabilité doivent être effectuées au moins une fois par an.
Les États membres peuvent également établir des canaux de communication spécifiques ou des plateformes de signalement d’incidents. Au lieu de notifier une autorité compétente générique, les établissements de santé peuvent faire rapport à une autorité spécifique au secteur de la santé ou au CSIRT ayant une expertise technique dans les systèmes de santé.
Principaux points à retenir
- Les soins de santé sont considérés comme des infrastructures critiques dans le cadre du NIS2 (annexe I, secteur 5), au même titre que les fabricants de produits pharmaceutiques et certains fabricants de dispositifs médicaux. Des obligations de cybersécurité proportionnées s’appliquent en fonction de la taille de l’organisation et de son profil de risque.
- La gouvernance doit être explicite au niveau du conseil d’administration, avec des responsabilités claires en matière de gestion des risques de cybersécurité, d’allocation des ressources, de supervision par des tiers et de réponse aux incidents.
- Les évaluations des risques doivent associer les flux de travail cliniques aux dépendances informatiques, identifier les points de défaillance uniques et hiérarchiser les contrôles qui protègent la sécurité des patients et l’intégrité des données.
- La notification des incidents est obligatoire pour les incidents «significatifs» (ceux qui perturbent considérablement les services, compromettent l’intégrité du système ou génèrent un impact opérationnel important) dans les 24 heures aux autorités compétentes et aux CSIRT nationaux.
- La gestion par des tiers est essentielle: les contrats avec les fournisseurs, les fabricants d’appareils et les fournisseurs de cloud doivent clairement répartir les responsabilités en matière de cybersécurité et exiger la notification des incidents.
- Les fabricants de produits pharmaceutiques et de dispositifs médicaux sont des prestataires de services essentiels dont les pratiques de cybersécurité ont une incidence directe sur la continuité des soins de santé; la sécurité de la chaîne d’approvisionnement et la gestion des vulnérabilités après la commercialisation sont des obligations proportionnées.
