La directive NIS 2 définit dans son article 20 et dans son article 21 des mesures de gestion des risques en matière de cybersécurité minimales à mettre en œuvre par les futures entités essentielles et importantes.

La proportion des incidents informatiques d'origine malveillante est passée de 50% en 2023 à 44% en 2024, apprend-on dans le rapport annuel du CERT Santé publié le 4 juin par l'Agence du numérique en santé (ANS).

L'Agence du numérique en santé (ANS) a publié l'Observatoire permanent de la sécurité des systèmes d'information des établissements et services du secteur médico-social (Opssims), a-t-elle fait savoir fin avril sur son site internet.

Sur 605 établissements ayant fait l'objet d'une visite de certification par la Haute autorité de santé (HAS) en 2024, 97 ont présenté des "défauts ou des écarts par rapport aux attendus sur la gestion du risque numérique" qui ont impacté le niveau de leur certification, a rapporté Patrick Méchain, chef du service de certification des établissements de santé de la HAS, le 10 avril à la Journée francilienne cybersécurité et santé.

Le CHU de la Guadeloupe a déclenché le 24 mars le niveau 2 du plan de gestion des tensions hospitalières et des situations sanitaires exceptionnelles (PGTHSSE), ou "plan blanc", compte tenu des difficultés causées par la panne informatique subie depuis le 21 mars par l'établissement.

Le 19 février 2025, l’ANSSI a publié un rapport sur l’état de la menace informatique dans le secteur du cloud. Cette utilisation de ressources informatiques (serveurs, stockage, bases de données, logiciels) permet aux entreprises de bénéficier de services évolutifs, sécurisés et flexibles via Internet, sans avoir à gérer une infrastructure physique. Cependant, cet usage implique des enjeux de cybersécurité et de gouvernance des données.

Les pouvoirs publics réfléchissent à permettre l'application de sanctions en cas de non-respect par les éditeurs de certains référentiels de cybersécurité déjà opposables, a annoncé le 24 juin Christophe Mattler, directeur de projet à la délégation au numérique en santé (DNS), lors du 13ᵉ Congrès national de la sécurité des systèmes d'information (SI) de santé, organisé par l'Association pour la sécurité des SI de santé (Apssis).

Pour transposer et mettre en œuvre la directive NIS 2, il est privilégié une approche de la conformité basée notamment sur la mise en œuvre d’un référentiel de mesures de cybersécurité adapté à la menace cybercriminelle. La norme ISO 27001 et le référentiel de mesures cyber de l’ANSSI poursuivent des objectifs différents. L’obtention d’une certification ISO 27001 ne permet pas, en elle-même, une conformité à NIS 2. Mais cette norme constitue un outil et une méthodologie pour accompagner le déploiement du référentiel de sécurité.

En juin 2024, un groupe de pirates russe avait déployé un rançongiciel sur le parc informatique d'un prestataire fournissant des analyses et des transfusions de sang à de nombreux établissements publics de santé. Un événement qui a contribué au décès d'une personne, ce qui constitue une première mondiale.

La délégation au numérique en santé (DNS) a soumis à concertation publique le 12 mai sa proposition de guide d'implémentation d'une intelligence artificielle (IA) en santé éthique.

La Commission européenne a lancé une consultation publique autour de son plan d'action visant à renforcer la cybersécurité des hôpitaux et des prestataires de soins, a-t-elle fait savoir dans un communiqué le 7 avril.

La délégation au numérique en santé (DNS) a annoncé le 11 mars dans un communiqué le lancement "fin mars" du deuxième appel à financement du programme Care (Cybersécurité accélération et résilience des établissements), qui porte sur la stratégie de continuité et de reprise d'activité des établissements après une cyberattaque.