La donnée de santé est la plus chère sur les marchés cybercriminels : jusqu'à 250 € par enregistrement complet sur le dark web, contre 5 à 15 € pour une donnée bancaire classique. Conséquence : médecins, cabinets, EHPAD, cliniques sont des cibles prioritaires. Le cadre juridique (HDS, secret médical) ajoute des contraintes spécifiques.
Pourquoi la santé est ultra-ciblée
Trois raisons. Valeur des données : antécédents médicaux, identifiants, numéros de sécurité sociale, données financières — combinaison parfaite pour fraudes complexes. Pression à payer : un EHPAD ne peut pas rester sans dossiers patients pendant une semaine. Maturité cyber souvent faible : équipements médicaux anciens, segmentation insuffisante, formation des soignants peu investie, budget IT limité.
Le cadre juridique spécifique
Hébergeur de Données de Santé (HDS) : obligation de stocker chez un hébergeur certifié. Secret médical : violation = sanction pénale (article 226-13 code pénal, 1 an et 15 000 €) en plus du RGPD. Référentiel Sécurité Numérique en Santé (PSSI-S) publié par l'ANS : exigences spécifiques de cybersécurité. Article L1110-4 du code de la santé publique : encadrement strict du partage de données.
Les sinistres types du secteur
Ransomware sur établissement : arrêt des soins programmés, transfert de patients, paralysie 5 à 30 jours, coût 800 000 € à 8 M€ selon taille. Vol de bases patients : data breach massif, notification ANS et CNIL, recours collectifs. Compromission d'un cabinet libéral : ransomware sur le PC du médecin, perte des dossiers, redémarrage difficile. Fraude à la téléconsultation : usurpation de praticien, prescriptions frauduleuses.
Garanties spécifiques santé
Une assurance cyber santé sérieuse inclut : couverture des frais HDS post-incident, prise en charge de la notification ANS (obligatoire en plus de la CNIL pour les opérateurs santé), expertise médico-légale en cas de mise en cause de la responsabilité, gestion de la communication patient (sujet sensible), couverture de la perte de la clientèle (patientèle). Le plafond RC cyber doit être dimensionné sur l'ensemble de la patientèle, pas seulement sur le CA.
Tarifs observés en santé
Cabinet médical libéral (1 à 3 praticiens) : 600 à 1 400 €/an pour 250 000 à 500 000 € de capital. Cabinet de groupe ou maison de santé (5 à 15 praticiens) : 1 800 à 4 500 €/an pour 1 M€. EHPAD ou clinique (50 à 200 lits) : 8 000 à 35 000 €/an pour 2 à 5 M€. La majoration secteur santé par rapport à une PME standard est de 30 à 60 %, justifiée par l'exposition.
Prérequis incontournables pour souscrire
Hébergeur HDS certifié pour les données patients. MFA sur tous les accès au DPI (dossier patient informatisé). Sauvegardes immuables des dossiers patients, testées au moins une fois par an. Conformité au PSSI-S de l'ANS attestée. Désignation d'un référent sécurité ou DPO mutualisé. Plan de continuité documenté incluant un mode dégradé papier pour les soins urgents. Sans ces prérequis, refus quasi systématique en 2026.
Cas concret — un cabinet dentaire
Cabinet de 4 praticiens à Clermont-Ferrand. Ransomware sur le serveur, dossiers et logiciel de radiologie chiffrés. Arrêt 11 jours. Coût total : 78 000 € (perte d'exploitation 42 000 €, forensic 12 000 €, reconstitution dossiers 14 000 €, notification 3 200 patients 7 000 €, avocat RGPD 3 000 €). Cabinet assuré 1 100 €/an avec capital 250 000 € : franchise 2 500 €, le reste pris en charge. Le sinistre s'est soldé par 2 500 € de franchise et 11 jours de désorganisation, au lieu de la liquidation possible sans assurance.