En 2025, un établissement de santé français était attaqué en moyenne toutes les 72 heures selon l'ANSSI. CHU, cliniques privées, EHPAD, cabinets libéraux : aucun n'est épargné. La donnée médicale se revend entre 50 et 500 € par dossier sur le dark web — dix fois plus qu'une carte bancaire. Et les conséquences d'une interruption sont directement vitales pour les patients.
Pourquoi le secteur médical est hypervulnérable
Des systèmes vieillissants : une grande partie des logiciels médicaux (LGC, PACS d'imagerie, systèmes de biologie) tourne sur des OS non supportés (Windows 7, Windows Server 2012) qui ne reçoivent plus de patchs de sécurité. Les mises à jour sont complexes car elles nécessitent la recertification des dispositifs médicaux.
Une surface d'attaque élargie : téléconsultation, dossier médical partagé (DMP), messagerie sécurisée de santé (MSSanté), objets connectés de monitoring, applications patients — chaque connexion est un vecteur d'entrée potentiel. Le cabinet médical moderne est hyperconnecté mais rarement mieux protégé qu'en 2015.
La valeur des données : un dossier médical complet contient des informations impossibles à changer (contrairement à un numéro de carte bancaire) : antécédents, traitements, diagnostics, numéro de Sécurité sociale. C'est une mine pour l'usurpation d'identité et la fraude à l'assurance maladie.
La pression à payer : quand les dossiers patients sont chiffrés, la pression sur le praticien est maximale. Un EHPAD qui ne peut plus accéder aux traitements de ses résidents est dans une situation de danger vital — ce que les groupes ransomwares exploitent délibérément pour obtenir le paiement.
Les obligations légales spécifiques au secteur médical
RGPD article 9 : les données de santé sont des données "sensibles" qui nécessitent des mesures de protection renforcées. Tout traitement de données de santé doit faire l'objet d'une analyse d'impact (AIPD) et d'une sécurité adaptée. La CNIL a sanctionné plusieurs établissements pour des mesures insuffisantes.
Notification CNIL sous 72h : en cas de violation de données de santé, vous devez notifier la CNIL dans les 72 heures. Si le risque pour les patients est élevé (données volées et non chiffrées), vous devez également notifier chaque patient concerné individuellement. La gestion de ces notifications est complexe et coûteuse.
NIS2 pour les établissements de santé : les hôpitaux, cliniques et certains établissements médico-sociaux entrent dans la catégorie "entités essentielles" de NIS2 si leur taille dépasse 50 salariés. Ils sont soumis aux 10 obligations techniques et à la notification ANSSI sous 24h en cas d'incident significatif.
Le référentiel HDS (Hébergeur de Données de Santé) : toute solution cloud ou d'hébergement externe utilisée pour stocker des données de santé doit être certifiée HDS. Utiliser un hébergeur non certifié expose à des sanctions CNIL et engage votre responsabilité en cas de violation.
Ce qu'une assurance cyber couvre pour un cabinet médical
Ransomware et chiffrement des dossiers : indemnisation de la perte d'exploitation pendant l'interruption (consultations annulées, facturation impossible), frais de restauration des données et des systèmes, frais de forensics pour identifier la compromission. Pour un cabinet de 3 médecins, une interruption de 5 jours peut représenter 15 000 à 25 000 € de perte sèche.
Violation de données patients : prise en charge des frais d'avocat spécialisé RGPD pour la notification CNIL, rédaction et envoi des courriers de notification aux patients, surveillance des identités (si proposée), gestion de la communication de crise.
RC cyber : si des patients subissent un préjudice du fait de la violation de leurs données (ex. : discrimination, usurpation d'identité), l'assurance cyber prend en charge votre défense et les indemnisations. La RC cyber est distincte de la RC médicale — vérifiez que vous êtes couverts sur les deux volets.
Fraude au faux virement (FOVI) : les cabinets médicaux sont ciblés par des fraudes se faisant passer pour un fournisseur (fournisseur de matériel médical, éditeur de logiciel) pour détourner des paiements. Cette garantie est incluse dans les bons contrats.
Grille de tarifs pour le secteur médical
| Type de structure | Capital conseillé | Prime estimée | Priorités |
|---|---|---|---|
| Cabinet solo (1 médecin) | 150 – 250 k€ | 350 – 600 €/an | Ransomware, FOVI, RC cyber |
| Cabinet groupe (3-10 médecins) | 250 k€ – 1 M€ | 800 – 2 500 €/an | + Notification CNIL, continuité |
| Clinique / EHPAD (< 100 sal.) | 1 – 3 M€ | 3 000 – 9 000 €/an | + NIS2, PCA, forensics inclus |
| Clinique / EHPAD (100+ sal.) | 3 – 10 M€ | 9 000 – 30 000 €/an | + Audit préalable, DSAR |
Les bonnes pratiques avant de souscrire
Vérifier que votre logiciel médical est à jour : les assureurs cyber refusent ou majorent fortement les contrats pour les cabinets avec des systèmes non patchés. C'est aussi la règle de base de la cygiène numérique. Activer le MFA sur tous les accès distants : téléconsultation, VPN, webmail — chaque accès sans double authentification est un risque majeur.
Vérifier la certification HDS de vos hébergeurs : cloud, logiciel en SaaS, sauvegarde externe — tout doit être HDS si vous y stockez des données de santé. Tester vos sauvegardes : une sauvegarde non testée est une sauvegarde inutile. Test trimestriel minimal.
FAQ — Assurance cyber pour cabinet médical
Un cabinet médical est-il obligé de souscrire une assurance cyber ?
Non légalement, mais le RGPD impose une protection renforcée des données de santé et la CNIL peut sanctionner tout cabinet en cas de violation non protégée. Les établissements de plus de 50 professionnels peuvent aussi être soumis à NIS2.
Quel est le coût moyen d'une assurance cyber pour un cabinet médical ?
Entre 350 et 600 €/an pour un cabinet solo, entre 800 et 2 500 €/an pour un cabinet groupe. Le secteur santé est classé à risque élevé, ce qui explique des primes légèrement supérieures à la moyenne.
Le logiciel de gestion médicale est-il couvert par l'assurance cyber ?
Oui. La compromission ou le chiffrement de votre LGC est couvert — frais de restauration, perte d'exploitation pendant l'interruption et RC cyber si des données patients ont fui.
Que se passe-t-il si des données médicales de patients sont volées ?
Notification CNIL sous 72h obligatoire, et notification directe aux patients si le risque est élevé. L'assurance cyber prend en charge l'avocat spécialisé, les frais de notification, la communication de crise et la RC cyber si les patients engagent votre responsabilité.