La cybersécurité, un défi dans le contexte de l'ère du tout numérique

La numérisation de tous les processus a considérablement élargi le champ d’attaque pour les cybercriminels. Les agences en charge de sécurité des systèmes d'information constatent une hausse significative des cyberattaques au sein de l'Union Européenne[1] (ENISA) et dans les états membres, y compris en France (ANSSI).

Dans ce contexte, de très nombreux textes ont défini des obligations en matière de cybersécurité aux niveaux européen et français, au-delà bien sûr de l’exigence générale de sécurité du Règlement Général sur la Protection des Données.

Dans les secteurs sensibles compte tenu des impacts, notamment la santé, les différents textes applicables intègrent des dispositions spécifiques relatives à la cybersécurité.

Face au foisonnement de textes, un rapide décryptage du cadre légal et des exigences s'impose.
 

1. EXIGENCES GÉNÉRALES DE SÉCURITÉ

Certaines exigences visent les acteurs, quand d’autres visent les produits.

1.1. Maturité cyber des acteurs

La directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union[2] (« NIS 2 »), adopté en novembre 2022 et entré en vigueur le 13 mai 2023 vient abroger la directive Network and Information Security[3] (« NIS 1 »), et établir un niveau élevé commun de sécurité des réseaux et systèmes d'information. La directive NIS 2 a un champ d'application plus large que la directive NIS 1, puisqu'elle couvre 18 secteurs d'activités (contre 7 pour NIS 1). Il a été estimé à 10 000 le nombre d'entités concernées en France. En plus du critère sectoriel, la directive s'appliquera à toutes les entités de plus de 50 salariés avec un chiffre d'affaires annuel ou un bilan annuel total mondial de plus de 10 millions d'euros. Selon le secteur et les seuils dépassés, une entité pourra se voir classer en tant qu'entité dite "essentielle" ou "importante". De façon générale et commune à tout type d'entité concernée, la directive pose trois exigences principales : (i) le partage d'"informations à l'autorité nationale, (ii) la gestion des risques cyber, (iii) ainsi que l'obligation de déclarer tout incident de sécurité. Uniquement pour les entités essentielles, des obligations et des mesures de contrôles des autorités désignées par les Etats membres supplémentaires. Sont concernés dans le secteur de la santé (i) les prestataires de soins de santé, (ii) les laboratoires de référence de l'Union européenne, (iii) les entités exerçant des activités de recherche et de développement dans le domaine des médicaments, (iv) les entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques, ainsi que (v) les entités fabriquant des dispositifs médicaux considérés comme critiques en cas d'urgence de santé publique. La date de transposition de la directive dans les Etats membres a été fixé au 17 octobre 2024. Concernant la France, en raison de la dissolution de l'Assemblée nationale, le processus de législatif de transposition a pris du retard. Le projet de loi de transposition[4] a été déposé au bureau du Sénat le 16 octobre 2024. Bien que le Gouvernement ait engagé une procédure législative accélérée, le texte n'a pas encore été mis à l'ordre du jour des débats au sein du Sénat.

Également adopté en 2022 (décembre), la directive Resilience of Critical entities[5] (« REC ») vise à renforcer la résilience des infrastructures critiques contre divers risques (catastrophes naturelles, attaques terroristes, sabotage). Elle tend à s'appliquer à onze secteurs, dont notamment les entités du secteur de la santé couvertes par la directive NIS 2. Trois critères caractérisent les entités critiques : (i) être concerné par l'un des onze secteurs, (ii) être situé sur le territoire de l'Etat membre et (iii) démontrer qu'un incident pourrait perturber les services de l'Etat membre. Sur l'aspect de la cybersécurité, la directive applique, par renvoi, les mêmes exigences que la directive NIS 2. Cette directive sera transposée en droit français par la même loi que celle transposant la directive NIS 2.

Enfin, toujours en 2022, a été adopté par l'Union européenne, le règlement sur la résilience opérationnelle numérique du secteur financier[6] (« DORA »). Ce règlement concerne 21 catégories d'entités du secteur de la banque, de l'assurance, de la finance ainsi que les prestataires tiers de services liés aux technologies de l'information et de la communication (TIC). Le règlement DORA (i) renforce la cybersécurité en imposant aux entités financières de mettre en œuvre des mesures de cybersécurité solides pour se protéger contre les perturbations liées aux (TIC), (ii) souligne l'importance de la gestion des risques associés aux fournisseurs de services tiers, en veillant à ce que ces partenaires adhèrent également à des normes de sécurité rigoureuses, et (iii) exige des organisations qu'elles mettent en place des mécanismes efficaces de signalement des incidents, afin de faciliter la communication en temps utile des incidents importants en matière de cybersécurité. Principalement, elle impose aux infrastructures du secteur financier l'obligation de (i) signaler les incidents liés aux TIC, (ii) mettre en place la planification de la continuité des activités, (iii) et de mettre en œuvre des mesures visant à renforcer la résilience de leurs systèmes TIC face aux cybermenaces. Dans le cadre de son application et pour assurer la mise en place des mesures de coordination rendues nécessaires par le règlement DORA, en 2022 a été adoptée une directive[7] modifiant les règlements des entités du secteur financier (directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341). Cette directive sera transposée en droit français par la même loi que celle transposant la directive NIS 2.

Au-delà de ces obligations concernant les acteurs et leurs prestataires, les produits eux-mêmes sont visés par des exigences spécifiques de cybersécurité.

1.2. Maturité cyber des produits et services

L'Union européenne a publié une proposition de règlement concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques[8] (« Cyber Resilience Act » (CRA)). Ce dernier sera applicable aux services numériques en santé -à l’exception des Dispositifs Médicaux Numériques (« DMN ») déjà soumis à des règles de sécurité spécifiques en application du Règlement européen relatif aux dispositifs médicaux - et vise à assurer un cycle de vie sécurisé (développement, mise sur le marché, maintenance) des produits comportant des éléments numériques, une documentation de conformité, ainsi qu’une transparence à l’égard des utilisateurs sur le niveau de sécurité, avec bien sûr, des sanctions administratives dissuasives, d’un montant maximum de 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial.

Ce règlement a pour objectifs (i) de sécuriser les produits numériques tout au long de leur cycle de vie, (ii) d'harmoniser les normes européennes de cybersécurité, (iii) d'assurer une meilleure transparence dans le cadre de vulnérabilités, et (iv) d'assurer le signalement de tout incident ou vulnérabilité exploitée dans un produit, à l'ENISA.

Le règlement CRA représente un progrès significatif dans la protection des consommateurs européens contre les menaces numériques, tout en augmentant les responsabilités des fabricants.

1.3. Maturité des systèmes d'IA

Cette année [2024] a été adoptée, par l'Union européenne, la première règlementation relative à l'intelligence artificielle. En effet, le règlement établissant des règles harmonisées concernées l'intelligence artificielle[9] (« AI Act ») est entrée en vigueur en août 2024 et entrera progressivement en application jusqu'en Août 2027. L'AI Act s'applique à tous les acteurs (fournisseur, déployeur, importateurs, distributeurs, fabricants, mandataires, personnes concernées) inclus dans le développement, le déploiement et l'utilisation des systèmes d'IA. L'AI Act se fonde sur une approche par les risques en distinguant, les systèmes à (i) risque inacceptable, (ii) les systèmes d'IA à haut risque, (iii) certains systèmes d'IA spécifique, (iv) les modèles d'IA à usage général, ainsi que (v) d'autres systèmes d'IA.

Sur la cybersécurité, l'IA Act impose des exigences relatives à la robustesse et à l'exactitude des données (contrôle de sécurité). Pour les systèmes d'IA à haut risque, l'AI Act renvoie aux exigences du Cyber Resilience Act. Communément aux autres systèmes d'IA évoqués précédemment, l'AI Act impose la mise en place d'un niveau approprié de protection en matière de cybersécurité.

1.4. La cybersécurité, vers une solidarité européenne face aux incidents

Le 18 avril 2023, La Commission européenne a proposé un règlement établissant des mesures destinées à renforcer la solidarité et les capacités dans l’Union afin de détecter les menaces et incidents de cybersécurité, de s’y préparer et d’y réagir[10] (« Cyber Solidarity Act »).  Cette initiative législative de la Commission européenne, qui est en cours de discussion au sein du Parlement européen et du Conseil, découle de la prise de conscience de la dépendance de l'UE à la technologie numérique et de la vulnérabilité de l'espace numérique, mise en évidence par le conflit entre l'Ukraine et la Russie. Ce texte vise à renforcer la préparation, la détection et la réponse aux incidents relatifs à la cybersécurité au niveau européen, notamment en instaurant un bouclier européen de cybersécurité, un mécanisme d'urgence cybernétique ainsi qu'un mécanisme d'examen des incidents de cybersécurité.

Cette proposition s'inscrit dans la continuité de la directive NIS 2, puisque son champ d'application se superpose à celui de ladite directive. En effet, le Cyber Solidarity Act s'applique aux entités des secteurs critique et hautement critique, y compris dans le secteur de la santé, visé dans les annexes de la directive européenne NIS 2.

1.5. La cybersécurité des données de santé, un enjeu fondamental

La sécurité des données de santé est un enjeu fondamental de l'Union Européenne.

Dès 2017, les règlements relatifs aux dispositifs médicaux[11] ((UE) 2017/745) (« RDM ») et aux dispositifs médicaux de diagnostic in vitro[12] ((UE) 2017/746) (« RDIV »), qui  visent à assurer le bon fonctionnement du marché intérieur, en accordant la priorité à la protection de la santé des patients et des utilisateurs et en soutenant les PME du secteur, fixent des normes de qualités et de sécurité élevé, notamment des exigences de sécurité informatique et des obligations de notification des incidents pour les fabricants.

Plus précisément, ces deux règlements imposent des conditions de sécurité et de performance pour les technologies et services médicaux numériques, y compris les logiciels de dispositifs médicaux, mis sur le marché de l'UE. Pour mémoire, on peut retenir cinq exigences principales : (i) assurer la sécurité du processus de conception des logiciels afin d'atténuer les risques, (ii) assurer la conformité du DM et garantir la conformité aux exigences du marquage CE, (iii) le développement et la fabrication des logiciels doivent être conforme à l'état de l'art, (iv) mettre en place un Système de Management et de qualité, (v) et adhérer aux systèmes de surveillance post-commercialisation.

Dans la continuité de ses règlements, l’Agence Nationale de Sécurité du Médicament et des produits de santé (« ANSM) a initié des travaux sur la cybersécurité des DM et des DMDIV. Publiée en 2022, l'ANSM propose 68 recommandations[13] articulées autour du cycle de vie du logiciel du dispositif médical numérique.

Toujours en santé, et plus récent, la Commission européenne propose un règlement visant à mettre en place un espace européen des données de santé[14] (Règlement EHDS [EN]/EEDS [FR]). Ce règlement a été adopté par les députés européens le 24 avril 2024, il s'agit de la première déclinaison sectorielle du règlement sur la gouvernance des données (DGA). L’espace européen des données de santé est un pilier de l'union européenne de la santé forte et le premier espace de données européen commun dans un domaine spécifique découlant de la stratégie européenne pour les données. Il encadre l'utilisation primaire et secondaire des données de santé, et renvoie aux exigences de sécurité relatives aux logiciels des dispositifs médicaux numérique du RDM et du RDIV, ainsi qu'à l'AI Act. L'EHDS instaure des exigences spécifiques en matière d'interopérabilité pour les systèmes de dossiers médicaux électroniques (DME). Il impose aux dispositifs médicaux et aux systèmes d'IA à haut risque, des normes d'interopérabilité avec les systèmes DME. L'EHDS contribue ainsi à renforcer la sécurité et la confiance dans les conditions de traitement des données de santé.

A la fin du mois d'octobre 2024, l'Union européen lance le projet CYDERCO [CYber DEtection, Response and Collaboration] visant à contrer les cyberattaques par la mise en place d'une plateforme pour améliorer les capacités de détection et de réponse des entités concernées dans les Etats membres de l'UE. Ce projet[15] prévu pour septembre 2026, bénéficiant d'un budget de 2,8 millions d'euros est piloté par Eviden [ligne d’activité du groupe Atos leader dans le digital, le cloud, le big data et la sécurité] avec l'aide de trois autre partenaires (Atos, ISEP [Instituto Superior de Engenharia do Porto] et le DNSC [Romanian National Cybersecurity Directorate]). L’objectif de cette plateforme est de fournir aux SOC [Security Operations Centers] des informations essentielles sur les acteurs de la menace, leurs tactiques, techniques et procédures et leurs indicateurs de compromission, afin d’améliorer la collaboration, l’efficacité et la proactivité dans la lutte contre les cyberattaques.
 

2. EXIGENCES SPÉCIFIQUES DE SÉCURITÉ ET D’INTEROPÉRABILITÉ

Au-delà du cadre susvisé, la France s’est dotée de mesures spécifiques de sécurité dans le secteur de la santé.

2.1. Obligations réglementaires de sécurité

Ainsi, les services numériques en santé doivent être conformes aux référentiels de sécurité et interopérabilité[16] élaborés par l’Agence du Numérique en Santé (« ANS ») approuvés par arrêté du ministre chargé de la santé. Leur respect conditionne l’attribution de fonds publics et/ou leurs conditions de prise en charge. A cet égard, la PGSSI-S, ayant notamment pour but de soutenir les acteurs des secteurs sanitaires, médico-social et social dans le choix de leur politique de sécurité, s’articule autour de référentiels d’identification électronique, d’imputabilité et de force probante élaborés dans un objectif d’opposabilité, ainsi que de guides, élaborés dans un objectif d’accompagnement.

Par ailleurs, au regard des risques particuliers liés à l’interopérabilité entre solutions, des exigences ont été définies dans le CI-SIS, fixant les règles d’une informatique de santé communicante dans le secteur de la santé, du médico-social et du social, et proposant des règles techniques et sémantiques.

Plus spécifiquement concernant l’interopérabilité des Dispositifs Médicaux Numériques (DMN) et DMN de télésurveillance, des référentiels s’appliquent concernant « l'extraction, le partage et le traitement des données de santé ».

Enfin et pour mémoire, en droit français, l’hébergeur de données de santé à caractère personnel doit être certifié sur la base du référentiel de certification des hébergeurs de données de santé. Révisé, ce référentiel[17] introduit, en plus des obligations initiales, une obligation d'héberger les données au sein de l'Espace Economique Européen.

2.2. Bonnes pratiques, certifications et référentiels sectoriels

En plus des certifications de cybersécurité européennes (normes internationales ISO & certification cloud européenne[18] (en construction)), les différentes autorités françaises sectorielles, telles que l’ANS, l’ANSSI, la Commission nationale de l'informatique et des libertés (CNIL) et la Haute Autorité de Santé (« HAS »), élaborent des exigences et bonnes pratiques dans la gestion du risque cyber. Ainsi, par exemple, le manuel de certification des soins de l’HAS intègre un critère de maitrise des risques cyber : l’établissement de santé doit s’appuyer sur un système d’information sécurisé, prévoir un plan d’action de continuité et sensibiliser l’ensemble des professionnels.  Dans le même sens, la HAS a publié un guide des questions à se poser pour le choix d’un DMN dans sa pratique professionnelle. Les acteurs du secteur social et médico-social ne sont pas en reste, avec un guide spécifique de l’ANS, et un Observatoire MaturiN-SMS (Maturité Numérique pour le secteur du social et du médico-social) ayant pour objectif d’accompagner les établissements et services sociaux et médico-sociaux dans leur montée en maturité en matière de numérique, via un système d’indicateurs à paliers. Dans le même sens, l'ANSSI propose des nombreuses recommandations (guides & bonnes pratiques) en matière de cybersécurité, et également une certification sur la base du volontariat pour les acteurs du cloud (Secnumcloud) proposant un ensemble de règles de sécurité garantissant un haut niveau d’exigence tant du point de vue technique, qu’opérationnel ou juridique. Dans la continuité de la régulation des acteurs cloud, a été adoptée en mai 2024 la loi visant à sécuriser et réguler l'espace numérique[19] ("Loi SREN"), portant adaptation du droit national au droit de l'UE pour un marché unique numérique [loi de transposition du Data Governance Act & du Data Act]. En effet, la loi SREN intéresse notamment le marché de l’informatique en nuage ("cloud") introduisant des dispositions visant à renforcer la confiance et la concurrence dans l’économie de la donnée, avec plusieurs objets dont garantir l'interopérabilité des services cloud, et protéger les données stratégiques et sensibles sur le marché cloud.

De manière générale, les autorités de protection des données européennes et nationales contribuent, par le biais de recommandations relatives à la protection des données, à la cybersécurité. Spécifiquement, France, la CNIL publie et met à jour des référentiels incluant des parties relatives aux mesures de sécurité à mettre en place selon les données traitées, mais également, plus généralement un guide la sécurité des données personnelles. La cybersécurité est un enjeu fondamental, notamment dans le secteur de la santé, en amélioration continue, se traduisant par un arsenal réglementaire européen et national de plus en plus dense et polyforme afin de faire face aux menaces sur les droits et libertés des personnes.

Marguerite Brac de La Perrière, avocate associée Numérique & Santé, et Baptiste Pilard, stagiaire du cabinet Fieldfisher