Quand des heures décident de vies : les hôpitaux sont des cibles de choix pour les cyberattaques – la disponibilité des services vitaux n’est pas un luxe, mais un devoir.
Obligations de signalement de l’article 23 pour les hôpitaux – ce qui est en jeu
Les obligations de signalement de l’article 23 pour les hôpitaux sont strictes : la directive NIS2 de l’UE impose aux « entités essentielles et importantes » de déclarer les incidents graves – notification initiale, rapport détaillé et rapport final dans des délais précis. Concrètement, pour un hôpital : une panne IT du planning opératoire, une perte de données au laboratoire ou un cyberincident sur l’infrastructure peuvent déclencher une déclaration obligatoire auprès du CSIRT national ou de l’autorité compétente. La Suisse introduit des obligations similaires pour les infrastructures critiques et les prestataires de santé. Les textes correspondants sont en cours d’élaboration ou d’entrée en vigueur. (Dossier BSI sur l’obligation de notification NIS-2)
Le Health Threat Landscape d’ENISA
Le rapport d’ENISA « Health Threat Landscape » (janvier 2021 à mars 2023) est explicite : 53 % des incidents signalés dans la santé touchent des prestataires de soins, dont hôpitaux, cabinets dentaires et établissements de soins. Les rançongiciels représentent plus de la moitié des cas, avec des incidents qui affectent la sécurité des données et la disponibilité des services. (ENISA Health Threat Landscape Report)
Cas pratique : Barcelone – un hôpital sous pression
En mars 2023, un hôpital de Barcelone a dû annuler de nombreuses opérations et reporter des milliers de consultations externes après une cyberattaque ayant compromis ses systèmes. Les soins et l’administratif ont été ralentis ; toutefois, des circuits de signalement clairs et des plans d’urgence éprouvés ont limité l’impact. (ICT&Health – ENISA alerte sur le hacktivisme)
Cas Suisse : des réseaux hospitaliers visés ?
En Suisse, les signaux se multiplient : les prestataires de santé sont davantage ciblés. Le rapport ENISA recense des incidents en Suisse parmi les cas étudiés. Aucun grand hôpital n’a été totalement paralysé, mais des perturbations IT plus limitées ont entraîné l’arrêt temporaire de services spécialisés. Ces événements rappellent l’impératif de tester les structures de signalement (interne/externe) et les plans d’urgence – y compris chez les fournisseurs et prestataires tiers.
Pratique : mettre en œuvre les obligations de signalement de l’article 23 pour les hôpitaux
Une mise en œuvre pragmatique des obligations de signalement de l’article 23 pour les hôpitaux repose sur plusieurs étapes :
1. Modèles de rapports prêts à l’emploi : notification initiale, rapport intermédiaire et final avec des rubriques claires (quand, quoi, qui est touché, impacts, nombre d’utilisateurs affectés).
2. Clarifier les responsabilités : désigner qui valide la déclaration et qui pilote la communication (interne, autorités, personnes concernées).
3. Mettre en place une détection précoce : outils de supervision, alertes automatiques, journalisation disponible et scans de vulnérabilités permettant de détecter et d’évaluer rapidement un incident.
Conclusion
Les obligations de signalement de l’article 23 pour les hôpitaux ne sont pas une formalité : elles protègent la sécurité des patients, la sécurité juridique et accélèrent le rétablissement opérationnel. Les hôpitaux qui structurent et entraînent leurs processus de déclaration protègent leur mission tout en se conformant de manière proactive et efficace.
CISO as a Service – votre prochain pas
Pour implémenter efficacement l’article 23 de NIS2, notre offre CISO as a Service vous accompagne : processus de signalement, modèles d’incident et formations – adaptés aux hôpitaux et établissements médicaux.
Contactez-nous pour convenir d’un rendez-vous et mettre en place des obligations de signalement NIS2 sûres et opérationnelles.
En bref – structurer le signalement avec rigueur
Élaborez des modèles pour l’alerte précoce, les rapports intermédiaires et finaux, attribuez clairement les rôles et revoyez régulièrement les processus : vous réduisez ainsi délais de réaction et risques.
