Le cadre européen de la cybersécurité n’en finit pas de s’en renforcer. Après le RGPD pour les données à caractère personnelles, la directive NIS pour les services dans le nuage, le règlement relatif aux dispositifs médicaux intégrant la sécurité dans les exigences essentielles, voici le règlement relatif à l’ENISA, l’Agence de l’Union européenne pour la cybersécurité, et à la certification de cybersécurité des technologies de l’information et des communications.
Les dispositions relatives à l’Agence ne présentent qu’un intérêt modéré pour les professionnels du secteur de la santé, à la différence de celle ayant pour objectif d’atteindre un niveau élevé de cybersécurité, de cyber-résilience et de confiance en recourant à des certifications de cybersécurité des « produits TIC », « services TIC » et « processus TIC ». En effet, si le Cybersecurity Act s’applique sans préjudice d’une réglementation européenne spécifique, force est de constater que la santé – pourtant domaine réservé des Etats membres – semble concernée par le texte. La compétence des Etats membres semble en effet limité aux activités relatives à la sécurité publique, à la défense et à la sécurité nationale, et à la sphère pénale.
Autre élément à prendre en compte, le règlement concerne les produits, services et processus TIC et vise des données, sans plus de précision, de sorte que peuvent entrer dans son champ d’application tous les produits connectés et les services numériques.
L’objectif pratique est d’assurer la sécurité, mais également le fonctionnement du marché unique européen en matière numérique. Or, voir chaque Etat membre devait établir son propre référentiel pour tel ou tel produit ou service TIC– qui a pensé à l’hébergement de données de santé ? –engendrerait des problèmes d’interopérabilité rendant le marché unique inopérant. Pour y remédier, l’Union Européenne a donc décidé de fixer un cadre européen, décliné par des « schémas européens de certification de cybersécurité ».
Ces schémas devront fixer les objectifs de sécurité sur dix aspects différents : outre les aspects classiques de la sécurité, tels que définis par exemple au RGPD, les schémas devront revenir sur les politiques d’habilitation des utilisateurs en termes d’accès aux données, services ou fonctions, la conservation et l’audit des traces de consultation, d’utilisation et de traitement des données, fonctions ou services. Les schémas devront également fixer des objectifs en termes de vérification des vulnérabilités connues des produits et services, tout au long de leur cycle de vie. A cet égard, les schémas reviendront nécessairement sur les mécanismes de mise-à-jour des produits et services. Notons enfin que le règlement impose le Security by Default et le Security by Design.
Les exigences des schémas de certification varieront selon la sensibilité du produit, du service ou du processus TIC, chaque niveau ayant ses propres contraintes en termes de formalités à accomplir.
De façon concrète, le niveau d’assurance « élémentaire » visera les produits et services grand public, non critiques, tandis que le niveau « élevé » sera appliqué en présence d’un risque d’attaques majoré. Le niveau intermédiaire, dit « substantiel », pourrait s’appliquer à l’informatique en nuage.
Ces schémas seront établis par l’ENISA, à la demande de la Commission européenne et vu le premier paragraphe du texte, notre domaine de prédilection pourrait rapidement être touché. La santé est en effet le premier exemple de « secteur clé » visé par le législateur européen.
Certains pourraient y voir une nouvelle source de contraintes. Un schéma dédié aux produits et services de santé pourrait être l’occasion de combler une lacune fréquemment dénoncée du RGPD : son côté non-prescripteur. En effet, si la liberté d’action que cela devait offrir était souhaitable en théorie, en pratique les fabricants et éditeurs se retrouvaient parfois confrontés à une page blanche angoissante. Les schémas pourraient sinon faire disparaître, à tout le moins réduire cette perception.